Crítica
Repositorio Git público con remote identificable en car-sda-bogota
Categoría
Código fuente expuesto
Confianza
verified
Observado
2026-05-03
OWASP
A05:2021 — Security Misconfiguration
Resumen
GET /.git/config retorna config válida con remotes: https://github.com/jbolanosrmc/oab-wp.git. git-dumper recovery del repo completo es trivial.
Por qué importa
Un .git/config visible identifica el repositorio remoto (GitHub/GitLab privado de la entidad). Aún sin acceso al remoto, el atacante puede recuperar el TODO el árbol de archivos del .git público con git-dumper, obteniendo: código fuente completo, lógica de negocio, validaciones cliente, comentarios internos, credenciales históricas commiteadas.
Evidencia (URL observada)
https://github.com/jbolanosrmc/oab-wp.gitVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Cómo mitigar
- •Bloquear `/.git`, `/.svn`, `/.hg` en el WebServer con regla deny.
- •Asegurar que el deploy NO copie el directorio `.git` al docroot público.
- •Auditar el repositorio descargado: ¿quedaron credenciales en commits previos? Rotar y purgar con `git filter-repo`.