git репозитарии, или как взломать сайт : Создание сайтов и поисковая оптимизация (SEO)

Всем привет. Решил поделиться с уважаемой публикой Olegon.ru своими заметками и находками.

что я знаю про git ? да ничего, я не знаю как им пользоваться - знаю некоторые команды записанные в блокноте, но по настоящему мне стал так близок git когда я начал искать уязвимости сайтов

Да, я не силен в программировании как большинство читающих этот пост, но тем не менее именно отсутствие навыков программирования и анализа кода навело меня на столь банальный , ибо умные люди сидели бы и анализировали код, и до таких ну банальных и простых манипуляций не догадались бы.
Вернемся к нашему git репозитарию. Сейчас такая то-ли мода то-ли движение, но многие сайты имеют свои копии в git-е, с одной стороны это упрощает работу программистам сайта, с другой стороны упрощает работу мне.
А почему упрощает спросите вы ?
git сайта это зачастую полный слепок сайта, в котором можно найти файлы которые не должны попасть посторонним - начиная от паролей к бд, заканчивая лицензионными ключами
Я не особо могу красиво написать и иногда теряю нотку текста, так вот простым запросом в поисковике, я могу найти десятки сотен открытых проектов дающих мне пароли от бд, другие полезные файлы.
Самое главное что я искал решения только на интересующей меня CMS, а сотни тысяч других пропускал - не интересны они мне. (joomla drupal и прочее)

Многие люди задаются вопросом как взломали мой сайт, мол пароль никто не знает и так далее.
Что бы обезопасить себя от потенциального взлома, в настройках БД разрешите только localhost, символ % дает доступ любому
Не ставьте стандартные пароли - буквально не давно наткнулся на сайт одного из министерств (оф сайт), с логином root и пустым паролем - ставится по умолчанию веб окружением битрикс
Так же, если ваш сайт имеет репозитарий, позаботьтесь о том что бы он был закрыт для посторонних глаз а не находился в открытом доступе.



Надеюсь эта информация будет кому то полезной
Если инфа полезная жмем спс

Правильно ли я понимаю, что суть-то в том, что пароли от БД лежат в git, а сама БД торчит задом в интернет?

Верно. и пароли от бд, и файлы конфигурации и прочие файлы которые не должны быть видны посторонним
К примеру некоторые разработчики битрикса, не имеющих особо моральных принципаов , вшивают в систему файл авторизации в админ панель, он не меняет ни пароля ничего просто дает вход в панель. а там уже что надо то и делай

К примеру

В этом примере информация не актуальна - репозитарию 5 лет, но наглядно показывает мысль которую хотел донести

мда, немного, но есть...

Запрос не тот. Но суть примерно такова. Здесь же не форум по взлому, поэтому не публикую запрос который выведет десятки а то и сотни страниц, а у каждого юзера может быть и не 1 проект а 10 и более. В общем инфы валом.
Суть поста на наступайте на грабли других и храните свои данные безопасно

Да, углубляться не надо, а суть интересная, да...