• 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

News Киберпреступники атакуют уязвимые Git-репозитории: как защитить свои данные

git.config.webp


, что обычный конфигурационный файл .git/config может стать лазейкой для злоумышленников. В конце апреля эксперты зафиксировали масштабную кампанию по сканированию веб-ресурсов на предмет открытых .git-директорий. Всего за два дня — 20 и 21 апреля — было обнаружено около 4800 уникальных IP-адресов, участвующих в атаках. Наибольшая активность исходила из Сингапура, США и Германии, а основными каналами для атак стали серверы Amazon, Cloudflare и DigitalOcean.

Чем опасна утечка .git/config?
Если файл .git/config доступен из интернета, злоумышленники могут получить доступ к критически важной информации: учетным данным, API-ключам и токенам. А если уязвима вся папка .git/, то под угрозой оказывается весь проект, включая историю коммитов, где нередко остаются пароли и другие конфиденциальные данные. Это не просто утечка — это прямая угроза безопасности всей инфраструктуры.
Осенью 2023 года хакерская кампания EmeraldWhale, по данным Sysdig, привела к компрометации более 15 000 учетных записей из-за неправильно настроенных Git-репозиториев. Злоумышленники меняют тактику: вместо атак на пользователей они эксплуатируют ошибки в инструментах разработки, которые должны обеспечивать защиту.

Как обезопасить свой проект?
  1. Закройте доступ к .git/ на уровне веб-сервера (Nginx, Apache).​
  2. Запретите доступ ко всем скрытым файлам в настройках сервера.​
  3. Мониторьте логи на предмет подозрительных запросов.​
  4. Регулярно обновляйте токены и ключи, особенно при подозрении на утечку.​
Современные облачные проекты тесно связаны с Git, и даже одна ошибка в конфигурации может привести к серьезным последствиям. Не стоит недооценивать риски — лучше заранее проверить настройки и закрыть потенциальные уязвимости.​
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Курс AD