WEB安全之.git文件夹
今天收到客户那边发过的一个函...
客户一个项目被上级查到有安全漏洞,源码都能被人家拉下来!!!
函中明确写明了是通过.git
这个文件夹,使用脚本将源码拉下来了...
第一反应是这是什么操作,细想之后确实是可以的,每次commit
都会在.git
这个文件夹中记录,对这些提交进行解析
那轻轻松松得到源码了.
不过解决这个问题还是有很多办法的
- 将这个文件夹删除,不建议,代码维护起来艰难.
- 给这个文件夹减权,使web软件如Nginx无法访问,给个600这类的权限.
- 将web入口文件放到里层目录中去(Laravel就是如此).