叔叔因项目目录内有 .git 目录给出处罚

75 天前
 Chappako
帮朋友做的项目,放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书,执行方式为当场训诫,并要求整改

原因是,项目文件夹中找到了 Git 的元数据目录(Git),攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录,并提交了整改报告

想问一下,其他地方也有这种操作么
15078 次点击
所在节点    问与答
120 条回复
opengps
75 天前
这样挺好
如果做过等保的话,很多这种小细节都会要求改掉,本来黑客技术就是综合利用了一些很小的漏洞来实现了很大的危险
1rv013c6aiWPGt24
75 天前
这不挺好的?
pfffs
75 天前
很多人把密钥之类的敏感信息也提交到 git ,确实不太安全
kuaner
75 天前
这种属于非常严重的低价错误
bluehr
75 天前
想问一下,其他地方也有这种操作么

这个操作很正常,这已经是入门级的网络安全题目了,比如 CTFHUB 里面的入门课程
huzhizhao
75 天前
看当地要求
我上家,做等保的时候也没有要求这些
ZGame
75 天前
又没罚钱 我感觉没啥问题吧..
cominghome
75 天前
合理,该整改就整改。个人认为等保、iso 认证一类的审计流于形式,但有些指导项和细节确实是可以的
coderluan
75 天前
不太明白,有安全问题我理解,但是为啥是叔叔管这个,是楼主这个项目本身就是给体制内用的?
follow
75 天前
问题是,1. jc 怎么知道的? 2. 你们上线服务没做基本的防护么?
proxytoworld
75 天前
@follow 有公司扫描


@coderluan 网警,确实归他们管
loading
75 天前
安全部门懂查这个,我倍感欣慰。
zljklang
75 天前
项目用的公网代码仓库吗
dingyaguang117
75 天前
政府项目?
Configuration
75 天前
如果是你的项目部署方式有问题,在服务器上被扫描到的,那没毛病,就是你的锅
iOCZS
75 天前
多大的事,我的个人网站也被这样搞过
duanxianze
75 天前
政府项目的话合理,确实是你们的错
weixind
75 天前
@follow 1. 叔叔也会扫网滴。很多人刻板印象觉得叔叔技术不好。2. 发帖的人可能都不知道这样为啥有问题。不然也不会发帖了。
twofox
75 天前
我做的小项目,一直都有这种扫描器,扫描.git 、backup.tar.gz 、config 、dump.sql 之类的很多很多
746970179
75 天前
想问下, 如果没有 git, 如何把代码同步到服务器呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX