Что произошло после того, как я просканировал 2,6 миллиона доменов на наличие открытых файлов .DS_Store
17 ноября 2022 г.История продолжается!
После сканирования общедоступных каталогов .git и открыли файлы .env. Я просканировал набор данных из 2,6 миллиона доменов на наличие открытых файлов .DS_Store. Я нашел 8 462 открытых файла .DS_Store. Из этих файлов я извлек 19 266 уникальных имен папок и файлов. Около 40% этих файлов доступны. Было обнаружено 10 дампов баз данных с логинами и паролями, конфиг-файлами, ssl-сертификатами и «псевдо-скрытыми» админ-панелями.
TLDR: следите за ошибками в процессе развертывания. Никогда не выставляйте свой скрытый файл .DS_Store на всеобщее обозрение.
Что такое файлы .DS_Store?
Файлы .DS_Store — это скрытые файлы, которые автоматически создаются Finder (файловый браузер Apple macOS, ранее OS X). Эти файлы скрыты в файловой системе и не отображаются в Finder. DS_Store расшифровывается как Desktop Service Store. В этом файле хранятся настройки вида папок, положения значков и т.д. В операционных системах Windows файл .DS_Store можно сравнить с также скрытым файлом desktop.ini. В каждой папке вы найдете скрытый файл .DS_Store.
В файле .DS_Store также может быть указано содержимое папки (имена файлов или папок). Файлы .DS_Store являются двоичными файлами и не могут быть прочитаны людьми напрямую. Однако есть инструменты, которые могут извлекать содержащиеся в них данные. (Привет @gehaxelt, который создал этот замечательный инструмент для извлечения данных из файла .DS_Store: https://github.com/gehaxelt/ Python-dsstore).
Как произошла утечка данных через файлы .DS_Store?
Если такие файлы .DS_Store копируются на веб-сервер, их можно загрузить и проанализировать. Через имена файлов и папок в .DS_Store можно обнаружить файлы, папки или файлы, которые не предназначены для общего доступа.
Доступ к файлу .DS_Store можно легко получить. Например, https://example.com/.DS_Store n Если вы проигнорируете недействительные сертификаты SSL, вы найдете гораздо больше.
В большинстве случаев скрытые файлы автоматически загружаются на веб-сервер с помощью инструмента, используемого для разработки и развертывания веб-сайта.
Яркий пример: Microsoft Vancouver
Осенью 2021 года исследователи CyberNews в области безопасности обнаружили файл .DS_Store на веб-сервере Microsoft в Ванкувере. По содержимому этого файла дампы базы данных могут быть загружены с сервера. Эти дампы базы данных содержали имена пользователей, адреса электронной почты и хэши паролей различных сотрудников.
Как проверить, не затронут ли мой домен?
Вы можете сканировать свои домены и поддомены с помощью шаблона ядра или использовать такую службу, как scan.nan.io, для автоматической проверки ваших доменов и поддоменов на наличие уязвимых файлов.
Вывод. Проверьте свой сервер и развертывание, чтобы не открывать скрытый файл .DS_Store.
Оригинал