Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Материалы за 24.09.2009
Уязвимые сайты

Была обнаружена уязвимость, с помощью которой удалось получить доступ к файловым структурам самых известных сайтов

автор: Administrator | 24 сентября 2009, 13:08 | Просмотров: 5733
теги: Уязвимые сайты, уязвимость, доступ, список, файлы, сайты, SVN, исходные коды

Пару месяцев назад нами, 2Товарища (twocomrades.ru) и Антон Исайкин (isaykin.ru), была обнаружена уязвимость, присущая в основном большим интернет-проектам (вроде Рамблера, Мейла, Яндекса, Оперы и пр.). Удалось получить доступ к файловым структурам известнейших сайтов (в общей сложности 3320 сайтов) и в ряде случаев их полные исходные коды.

Казалось бы, что в XXI веке трудно найти подобную уязвимость. Кажется, что уже всё найдено, а то что не найдено, сидит где-то очень очень глубоко. Оказалось, что корнем сегодняшнего зла является вполне повседневная вещь. Наверняка каждый из вас когда-нибудь имел дело с системой контроля версий SVN.

SVN является продвинутым средством для организации совместной разработки десятков, а то и сотен разработчиков. В силу особенностей архитектуры, SVN хранит в каждой директории проекта свои метафайлы, аккуратно сложенные в скрытую директорию .svn. В одном из файлов под названием entries находится список всех файлов и директорий, расположенных в той же папке, что и .svn.