Исследователи Pen Test Partners обнаружили на посвящённом защите информации сайте GDPR.eu уязвимость, позволявшую любому пользователю извлечь логин и пароль для базы данных MySQL.
GDPR.eu – консультативный сайт для организаций, нуждающихся в совете по соблюдению требований «Общего регламента защиты данных» (The General Data Protection Regulation, GDPR). Ресурсом управляет швейцарская корпорация Proton Technologies AG.
Инцидент заключался в том, что папка .git на сайте была доступна для чтения любому пользователю. Это достаточно частая проблема.. Многие web-разработчики используют инструмент разработки Git с открытым исходным кодом для создания страниц для отслеживания всех изменений, внесённых в файлы проекта. Эта папка может содержать исходный код, ключи доступа к серверу, пароли базы данных, размещённые файлы, встроенный модификатор входа хэш-функции (соль) и т.д.
В репозитории сайта находилась копия wp-config.php, ключевого файла, содержащего информацию, нужную для работы сайтов на WordPress. В нём содержались и настройки управления базой данных MySQL (имя, локальный хост, логин и пароль). Злоумышленник с доступом к файлу мог переписать содержимое сайта или вовсе удалить его.
Proton Technologies уже исправила уязвимость.
.jpg)
.jpg)
.png){kind=logo}
(1).jpg)
.png)