叔叔因项目目录内有 .git 目录给出处罚

帮朋友做的项目，放在阿里云

前些天收到吉林东少数民族州叔叔的处罚决定书，执行方式为当场训诫，并要求整改

原因是，项目文件夹中找到了 Git 的元数据目录(Git)，攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

目前已删除项目下 .git 目录，并提交了整改报告

想问一下，其他地方也有这种操作么

Leon777

2024-08-21 22:00:44 +08:00

中国人是却管的，我去试试把.git 传 github 上有没有美国警察来找我

GG668v26Fd55CP5W

2024-08-21 22:05:30 +08:00

这帮孙子管得太宽了，哪天家里没锁门也要去喝茶，再写个整改报告，外加罚款一万。

privil

2024-08-21 22:06:34 +08:00

@sorcerer #97 是，感觉还是外部 URL 访问到了。PHP 出个目录穿越访问的漏洞确实比较常见。

M003

2024-08-21 22:50:30 +08:00

单位电脑里什么员工/客户/手机号,身份证号保存 Excel,没有脱敏 / 登录系统密码简单 / 甚至酒店里访客登记本,摆桌子上. 这都是处罚的点..

mzmssg

2024-08-22 08:25:26 +08:00

警察要做的是防患于未然，而不是事后追责。

备案了就有可能对外提供服务，假设出了篓子，按国人的风格必然又要国家出来擦屁股。

简单但不严格的类比：装修砸了承重墙（网站密码泄露），连带他人房屋受损（银行账户被盗），个人承担不了后果，还得国家掏钱加固（追捕盗号者）。

smlcgx

2024-08-22 08:48:40 +08:00

哈哈，他不是某个组织的意志，而是有广泛群众基础的，是一种群体意识

kneep

2024-08-22 08:59:18 +08:00

这种操作是指什么？是指把.git 放出去？还是指处罚？

jay4497

2024-08-22 09:04:20 +08:00

一直以为 OP 的叔叔(亲人意义)被处罚了呢，看评论都看迷糊了，多翻了翻才意识过来，哈哈哈哈，哎，脑子真不中用了。。。

xiyuesaves

2024-08-22 09:10:39 +08:00

确实会有网警时不时来给你的网站找漏洞，不过只是要求整改和提交一份整改报告就行了

winterx

2024-08-22 09:12:44 +08:00

有公网备案的企业，叔叔是会管的，而且不定期扫描公司备案的 IP ，看有没有漏洞

ghjh

2024-08-22 09:17:24 +08:00

啊，公司老项目服务器时不时会收到整改单）

ghjh

2024-08-22 09:18:33 +08:00

@ghjh 那项目漏得跟筛子一样。
不过感觉还是扫网扫到的，OP 虽然觉得外面访问不到 .git ，但是实际可能配置有问题被暴露了

justfindu

2024-08-22 09:21:06 +08:00

你这是漏洞啊不是光因为.git
只是责令整改, 有些都是要罚钱的, 如果真的被弄了信息, 罚的超级重. 企业 100 万以下, 责任人 1-10 万, 很多情况都是顶格

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066609

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.