На одном из блогов появилась информация о том, что было взломано громадное количество сайтов, в том числе yandex, rbc и другие крупные проекты. Секрет заключался в том, что крупные проекты используют svn для управления кодом в команде. Но svn создает в директории с исходниками скрытую папку .svn в которую помещается много полезной для хакера и важной для разработчика информации. Такое сообщение не могло не вызвать общения и комментаторов.
И вот тут возникает вопрос – правда или нет? Ведь если это правда, то хакеры действительно взломали важные сайты и теперь обладают исходниками крупных проектов. Мое мнение простое – скорей всего это пиар чистой воды.
Смысл атаки прост - все, кто используют в своей работе SVN для управления кодом подвержены ошибке. Дело в том, что эта система создает в каждой папке директорию .svn в которой много полезного, вплоть до копий исходных файлов. Пошел слух на каком-то блоге (ссылку давать не будут, чтобы не делать им рекламу, потому что пока что это выглядит только как способ пропиарится), что двух хакерам удалось утянуть исходники из базы .svn таких крупных сайтов как yandex, rbc и даже крупных зарубежных сайтов. Интересно, а исходники Google утянули? ведь там используют svn.
1. На мой взгляд взлом невозможен, потому что все файлы и директории, имена которых начинается с точки являются скрытыми. К ним нельзя получить доступ из WEB. Если бы это было возможно, то я бы утащил у всех файлы .htaccess. Специально сейчас проверил, и мой Apache не дал доступа к файлам в папке .svn/. Может что-то нужно делать еще (танец с бубном), но просто так доступ к скрытым файлам запрещен.
2. Не уверен, что с помощью svn публиукуются файлы на WEB серверах. Да, svn используется в крупных проектах очень часто, но только как SVN, но не как средство публикаций. Лично у нас в компании используется SVN, но хранилище никак не связано с реальными сайтами. Оно используется для тестирования и когда сайт проверен, то с помощью скриптов файлы проталкиваются на рабочий сервер. Неужели все крупнейшие сайтовладельцы сразу заливают на сервер все подряд? Просто не верю в это. Если так, то разочаруюсь.
Если кому-то удалось повторить доступ к SVN базе через браузер, то просьба сообщить мне какой там был WEB сервер - навание и версия. Если возможность доступа к файлам существует, то виноват WEB сервер, однозначно.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Я видел тему об этом на хабре 2 или 3 дня назад. Там речь шла не о прямой краже всех исходников, а об утечке информации о структуре сайтов и т п.
Михаил, что лично Вам даст то, что исходные коды GOOGLE были выкраны? Ответ на поверхности - НИЧЕГО! Я прав?
Вы отошли от искусства ХАКИНГА, поэтому приходится завидывать подобным образом - описание подобных статей! Понимаю Вас, но Вы ведь можете вернуться обратно! Подумайте!
Мне ничего не даст и я не понял, чем я отошел от какого-то искусста? Если ребята действительно совершили взлом, то я рад за них и за их находчивость. Я же просто считаю, что взлома не было, потому что у меня не получилось повторить даже на старой версии WEB сервера. Ну нет возможности видеть скрытые файлы и директории. И куда я должен вернуться я тоже не понимаю, потому что никогда к хаку не принадлежал и не собираюсь. Нужно хоть какое-то доказательство того, что этот взлом был.
Сомнительно - контроль версий - это инструмент разработки, обычно выносимый на отдельный домен и защищаемый паролем. Решение устранение уязвимости на хабре - просто смешно - запретите обращение к .svn через Web. Проще удалить... что и нужно сделать, если это конечный сервер. Не выкладывается отлаженный код при помощи .svn, тем более в крупных проектах - только в версии для разработчиков. Пока нет подтверждения, а также выложенных кодов - веры нет никакой.
>1. На мой взгляд фигня полнейшая, потому что все файлы
>и директории, имена которых начинается с точки >являются скрытыми.
Да.
>К ним нельзя получить доступ из WEB.
Это не всегда так. Только если запрещено на уровне Web-сервера, для .htaccess такой запрет имеется по умолчанию в httpd.conf, для других файлов - нет.
Если чесно, то я даже не знал, что можно разрешить доступ к скрытым файлам. Я даже представить себе такого не могу, зачем это может понадобиться. Надо будет проверить настройки, я проверял с настройками по умолчанию.
Тогда получается, что все крупные проекты разрешили доступ к скрытым файлам? Все равно фантастика.
Возможно был не апач, а nginx?
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
