
Você sabe o que é exposição de git? nessa aula você ira aprender o que é e como funciona.
Nessa aula você ira aprender a estrutura da pasta .git e quais as informações que ela contem.
Você irá aprender a explorar a pasta git e saber identificar as informações sensíveis.
Após essa aula você estará habilitado a encontrar e saber buscar sistemas vulneráveis a exploração do git.
Essa aula irá te ensinar a diferença entre intext e intitle na hora de realizar suas dorks.
Você estará apto depois dessa aula a encontrar arquivos gitignore e entender as ferramentas e arquivos ao qual o projeto foi desenvolvido.
Nessa aula iremos ver uma maquina para capture the flag com a falha de git e também iremos conhecer e instalar o dotgit, uma extensão para usar no navegador.
Alem do dotgit, nessa aula iremos aprender a encontrar vulnerabilidade com nmap.
Nessa aula iremos aprender a baixar o diretório encontrado após localizar a falha do git.
Nessa aula iremos utilizar a ferramenta que nos auxilia no download do projeto vulnerável encontrado na internet.
Nessa aula iremos aprender a localizar usuário e senhas, credenciais de banco e etc.
Vasculhando e pesquisando falhas que a plataforma pagou e paga, quanto custa e quanto você lucrar.
Aprendendo a escrever um relatório, como ele pode ser dividido e como envia-lo.
Esse assunto acredito que é muito falado por ai e poucos desenvolvedores se preocupa com isso, mas deveriam dar uma atenção maior pois a exposição da pasta .git pode comprometer todo seu projeto, pois la temos muitas informações sensíveis.
Hoje em dia diversas aplicações (sites ou até sistemas web) utilizam o GIT para versionar e/ou publicar códigos de aplicações. Assim, como várias outras tecnologias novas que apareceram de uns tempos para cá, o GIT cumpre bem o seu papel ao ajudar profissionais de engenharia de software, mas também acabou abrindo novas brechas de segurança.
O perigo ocorre quando a aplicação deixa exposto o diretório “.git”, que fica na raiz do sistema.Vamos utilizar como exemplo, a aplicação WEB, que foi desenvolvida para fins de demonstração. Podemos verificar se a falha existe, simplesmente acessando o endereço [http://]sistemavuln[.]com/[.git], que pode ser validado como vulnerável, caso consiga listar os arquivos desse diretório. Vamos então acessar essa URL e procurar pelo diretório objects, para assim pegarmos o arquivo com extensão pack.
Agora, surge a primeira pergunta, por que você deve se preocupar ou aprender sobre pastas git abertas em seu site ou ambiente de trabalho?
1 - Porque é fácil de detectar.
2 - A análise do código-fonte pode revelar outras vulnerabilidades que são mais críticas.
3 - Qualquer pessoa pode usar seu código-fonte para intenções maliciosas, causando danos financeiros e à sua reputação.
4 - Podemos encontrar arquivos contendo informações confidenciais, como credenciais, tokens, novos endpoints, etc.