Lo studio è stato condotto da un team guidato da Vladimír Smitka, fondatore di Lynt Services, azienda che si occupa di marketing online e servizi Web. L'obbiettivo dei ricercatori era capire quanti siti Internet permettessero l'accesso libero alla directory .git. Su un campione di 230 milioni di domini ben 390,000 pagine Web avrebbero una directory .git accessibile senza nessun tipo di controllo.

Il normale errore 403 non tutela infatti dall'accesso al codice del sito ed esistono diverse procedure per arrivare ad esso, lo stesso Smitka è riuscito ad esempio a scaricare e a ricostruire il contenuto di una directory .git in modo quasi automatico, tramite i GitTools.

Il passo successivo di Smitka è stato quello di determinare la tecnologia sfruttata su tali progetti, iniziando dal linguaggio con cui sono stati sviluppati e dall'HTTP server utilizzato. Gran parte di essi sarebbe stato sviluppato usando script Python, PHP e per NodeJS, mentre il Web server più diffuso sarebbe Apache seguito da Nginx.

Il sistema operativo di riferimento è ovviamente Linux (Ubuntu, Debian e CentOS), mentre l'App framework più utilizzato dovrebbe essere CodeIgniter seguito da ASP.NET. Si tratta dunque, nella maggioranza dei casi, di progetti open source largamente utilizzati e, a seconda della versione installata, è possibile risalire a diverse falle di sicurezza note, magari corrette nelle release successive. Verrebbero così fornite diverse informazioni che permettono di sfruttare falle di sicurezza presenti, oltre che nel codice del sito Web, anche nei software adottati.

Gli obbiettivi di tale ricerca erano individuare i siti più popolari e visitati che presentano tale problematica ed evidenziare la questione ai developer Web cosi da sensibilizzarli. Per Smitka lasciare libero accesso alla directory .git potrebbe non rappresentare un problema di sicurezza immediato, ciò però non esclude il possibile verificarsi di problemi anche gravi in futuro.

Via Eirini-Eleni Papadopoulou

1 CommentoDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *

Il fatto che la .git sia accessibile dalla www indica che chi gestisce il server non ha la più pallida idea di come si "deploya" un server. Il resto discende a cascata.

Marco Buratto
Marco Buratto