Abo
  • Services:

Websicherheit: Riskante Git-Verzeichnisse

Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind.

Artikel veröffentlicht am , Hanno Böck
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen.
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen. (Bild: Git-Logo)

Versionsverwaltungssysteme wie Git sind heute fast überall, wo Code geschrieben wird, im Einsatz. Auch Webentwickler nutzen Git gerne, um ihre Projekte zu verwalten. Doch dabei kann ein unerwartetes Sicherheitsproblem auftreten: Wenn der Zugriff auf die Daten des Git-Repositories öffentlich möglich ist, können Angreifer unter Umständen sensible Daten abgreifen.

Öffentlich abrufbare .git-Verzeichnisse

Stellenmarkt
  1. Stiegelmeyer GmbH & Co. KG, Herford
  2. ENERCON GmbH, Aurich

In jedem Git-Repository gibt es ein Unterverzeichnis .git, in dem sich in codierter Form Metadaten und alle Änderungen des Repositories in der Vergangenheit befinden. In einem Blogeintrag berichtete der IT-Sicherheitsexperte Jamie Brown, dass er Tausende von Webseiten fand, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen lässt sich das einfach: In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

In vielen Fällen ist das ein Sicherheitsproblem. So können beispielsweise Datenbankzugänge oder andere Zugangsdaten im Git-Repository abgelegt sein oder Informationen, die nur nach einem Login zugänglich sein sollen. Jamie Brown fand nach eigenen Angaben auf der Webseite einer Menschenrechtsorganisation eine Datei, die die vollständigen Adressen aller Unterzeichner einer Petition für die Rechte von Homosexuellen enthielt. Ebenfalls ein Problem sein kann, dass manchmal in den Git-Konfigurationsdateien direkt Zugangsdaten für das Repository abgelegt sind. Damit könnte ein Angreifer dann den Code der Webseite direkt ändern. In manchen Fällen können die Git-Daten auch harmlos sein, beispielsweise wenn es sich um den Checkout eines Content-Management-Systems handelt, dessen Quellcode sowieso frei verfügbar ist.

Um Daten aus dem Git-Repository zu extrahieren, muss man die dazugehörigen Dateien finden und herunterladen. Einfach ist dies, wenn das Directory-Listing auf dem entsprechenden Webserver aktiviert ist. Doch auch mit deaktiviertem Directory-Listing lassen sich die Dateien abrufen. Die Betreiber der Webseite Internetwache haben das Problem ebenfalls analysiert und Tools geschrieben, mit denen sich in dem Fall sämtliche Dateien eines Git-Repositories anhand der Metadaten finden und herunterladen lassen.

Das Team der Internetwache hat die laut der Webseite Alexa beliebtesten eine Million Webseiten geprüft. 9.700 davon hatten ein öffentlich abrufbares Git-Repository, also knapp ein Prozent. Die Internetwache-Betreiber haben auch einige Statistiken erstellt und fanden beispielsweise heraus, dass etwa ein Zehntel der Webseitenbetreiber ihre Repositories über unverschlüsselte Protokolle verwalten. Aus Sicherheitsgründen sollte man hier entweder HTTPS oder SSH nutzen.

Auch Subversion kann zum Risiko werden

Circa 900 Systeme hatten laut Internetwache ein abrufbares Subversion-Repository. Für Subversion und andere Versionsverwaltungssysteme existiert dasselbe Problem wie bei Git, nur kommen diese Systeme deutlich seltener zum Einsatz. Auch für diese Systeme findet man auf Github Tools, mit denen man die entsprechenden Verzeichnisse herunterladen kann.

Betroffen waren laut dem Scan der Internetwache in Deutschland unter anderem die Webseite der Grünen und die Mitfahrzentrale mitfahrgelegenheit.de. Wir hatten vorab die Betreiber beider Seiten informiert und die entsprechenden Verzeichnisse sind nun gesperrt. Auch der Zahlungsanbieter Popcash hat nach unserem Hinweis den Zugriff gesperrt. Die Webseite Mystart hat auf unsere Mail nicht reagiert, dort ist das Git-Repository weiterhin abrufbar.

Wer Git oder ein anderes Versionsverwaltungssystem zum Deployment der eigenen Webseite nutzt, sollte entweder dafür sorgen, dass sich das jeweilige Verzeichnis außerhalb des Webroots befindet oder den Zugriff darauf sperren. Eine mögliche Konfiguration, um im Apache-Webserver den Zugriff auf alle Git- und Subversion-Repositories zu unterbinden, könnte etwa so aussehen:

<DirectoryMatch ".*/\.(git|svn)/.*">
  Require all denied
</DirectoryMatch>

Neu ist das Problem übrigens nicht. Immer wieder haben Webentwickler und Sicherheitsforscher in der Vergangenheit auf das Risiko hingewiesen. Scheinbar ist das aber nicht bei allem Webseitenbetreibern angekommen.



Anzeige
Spiele-Angebote
  1. 5,99€
  2. 23,49€
  3. 32,99€
  4. 36,99€

_Pluto1010_ 30. Jul 2015

Glaub mir sowas wird gemacht :-/ Ich gebe dir absolut Recht - sowas ist völlig am Ziel...

Iruwen 29. Jul 2015

Sowas gehört trotzdem in der Regel nicht ins Repository. Wenn das an anderer Stelle...

Iruwen 29. Jul 2015

Alternativ: RedirectMatch 404 /\.(git|svn)

Baron Münchhausen. 29. Jul 2015

- Wer macht noch Apps/Seiten, bei denen der document root im root des "Projektes" ist? Da...

Niantic 29. Jul 2015

viele editoren legen beim speichern backups der vorherigen version ab. diese werden auch...


Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Ökostrom Wie Norddeutschland die Energiewende vormacht
  2. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke
  3. Optoakustik US-Forscher flüstern per Laser ins Ohr

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta


        •  /