Crítica
Repositorio .git accesible publicamente en agenda.upn.edu.co
Categoría
Código fuente expuesto
Confianza
verified
Observado
2026-04-30
OWASP
A05:2021 — Security Misconfiguration
Resumen
GET https://agenda.upn.edu.co/.git/HEAD retorna HTTP 200 con contenido valido de Git (ref: refs/heads/master...). El directorio .git completo es descargable.
Por qué importa
Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.
Evidencia (URL observada)
https://agenda.upn.edu.co/.git/HEADVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Cómo mitigar
- •Bloquear `/.git`, `/.svn`, `/.hg` en el WebServer con regla deny.
- •Asegurar que el deploy NO copie el directorio `.git` al docroot público.
- •Auditar el repositorio descargado: ¿quedaron credenciales en commits previos? Rotar y purgar con `git filter-repo`.