叔叔因项目目录内有 .git 目录给出处罚

29 天前

Chappako

帮朋友做的项目，放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书，执行方式为当场训诫，并要求整改

原因是，项目文件夹中找到了 Git 的元数据目录(Git)，攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录，并提交了整改报告

想问一下，其他地方也有这种操作么

14232 次点击

所在节点

问与答

120 条回复

opengps

29 天前

这样挺好
如果做过等保的话，很多这种小细节都会要求改掉，本来黑客技术就是综合利用了一些很小的漏洞来实现了很大的危险

1rv013c6aiWPGt24

29 天前

这不挺好的？

pfffs

29 天前

很多人把密钥之类的敏感信息也提交到 git ，确实不太安全

kuaner

29 天前

这种属于非常严重的低价错误

bluehr

29 天前

想问一下，其他地方也有这种操作么

这个操作很正常，这已经是入门级的网络安全题目了，比如 CTFHUB 里面的入门课程

huzhizhao

29 天前

看当地要求
我上家，做等保的时候也没有要求这些

ZGame

29 天前

又没罚钱我感觉没啥问题吧..

cominghome

29 天前

合理，该整改就整改。个人认为等保、iso 认证一类的审计流于形式，但有些指导项和细节确实是可以的

coderluan

29 天前

不太明白，有安全问题我理解，但是为啥是叔叔管这个，是楼主这个项目本身就是给体制内用的？

29 天前

问题是，1. jc 怎么知道的？ 2. 你们上线服务没做基本的防护么？

proxytoworld

29 天前

@follow 有公司扫描

@coderluan 网警，确实归他们管

29 天前

安全部门懂查这个，我倍感欣慰。

zljklang

29 天前

项目用的公网代码仓库吗

dingyaguang117

29 天前

政府项目？

Configuration

29 天前

如果是你的项目部署方式有问题，在服务器上被扫描到的，那没毛病，就是你的锅

iOCZS

29 天前

多大的事，我的个人网站也被这样搞过

duanxianze

29 天前

政府项目的话合理，确实是你们的错

weixind

29 天前

@follow 1. 叔叔也会扫网滴。很多人刻板印象觉得叔叔技术不好。2. 发帖的人可能都不知道这样为啥有问题。不然也不会发帖了。

twofox

29 天前

我做的小项目，一直都有这种扫描器，扫描.git 、backup.tar.gz 、config 、dump.sql 之类的很多很多

746970179

29 天前

想问下, 如果没有 git, 如何把代码同步到服务器呢?

第 1 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.