Repositorio .git accesible publicamente en utp.edu.co
Categoría
Código fuente expuesto
Estado
ActivoConfianza
verified
Observado
2026-04-30
OWASP
A05:2021 — Security Misconfiguration
Resumen
GET https://utp.edu.co/.git/config retorna HTTP 200 con firma valida de configuracion Git. No se publica contenido del archivo; la exposicion indica que metadatos del repositorio son accesibles publicamente.
Por qué importa
Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.
Evidencia (URL observada)
https://utp.edu.co/.git/configVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Trazabilidad
Primera aparición
2026-04-30
Revisión
2026-06-28
Publicación
2026-06-28
Solución
—
Cómo mitigar
- •Bloquear `/.git`, `/.svn`, `/.hg` en el WebServer con regla deny.
- •Asegurar que el deploy NO copie el directorio `.git` al docroot público.
- •Auditar el repositorio descargado: ¿quedaron credenciales en commits previos? Rotar y purgar con `git filter-repo`.