Сегодня на хабре был опубликован отчет об обнаруженной уязвимости (точнее о распространенной ошибке при работе через) SVN.
Суть его заключается в том, что если сайт разрабатывается через систему SVN, то многие разработчики вместо команды svn export просто копируют директорию проекта из рабочих файлов SVN на продакшн – сервер и забывают, что при этом копируются скрытые папки ./svn в том числе ./svn/entries – список содержимого каталога и ./svn/text-base/ в которой и находятся исходники с дополнительным расширением .svn-base В результате можно стянуть исходный код сайта, т.к. веб-сервер не всегда передает интерпретатору файлы с расширением .svn-base и они будут передаваться plaintext-ом
Так что, не теряя времени, написал на Python граббер для сайтов, которые еще не успели дыры закрыть…
Версия 0.4 – СКАЧАТЬ
Версия 0.3 – СКАЧАТЬ
Версия 0.2 – СКАЧАТЬ
Версия 0.1 – СКАЧАТЬ
И меня пытались ломать сегодня почитав этот блог судя по статистике. какое счастье что я не пользую svn
Andy: ну, на самом деле проблема не в использовании SVN как таковом, а в его неправильном использовании
Тож пришёл по логу 404 ))
Похоже, скоро тут соберется тусовка, пришедшая по ссылке из лога)
Кстати, прикольная идея)
Кто еще пришел по 404?
Я тоже пришел по логу.
смотрю, юзер агент странный, ссылкой, ну и я завалился.
аналогично
А народ сорри…
Я просто в какой-то момент кажется в 3-ей или 4-й версии граббера решил провести эксперимент и вставил в user-agent сслыку на пост)))
Молодец "P.S.", сразу спалился сканированием моего сайта.
Ну почему-ж спалился…
Я просто скрипт выложил, а сканировать мог кто угодно, кто этот скрипт скачал и запустил…
Хотя с другой стороны, я тож этим делом не побрезговал – около 30 гигов "интернета" накачал, потом надоело…
А у меня чето не хочет запускаться под виндой…Пишет синтакс ошибка.
Если не сложно, скопипасти целиком как запускал и что он напечатал. Под Windows я запускать не пробовал даже
Ага, я с этим тоже сталкивался