<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Git-Exposure on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/git-exposure/</link><description>Recent content in Git-Exposure on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Thu, 19 Mar 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/git-exposure/index.xml" rel="self" type="application/rss+xml"/><item><title>Source Code Disclosure: .git Esposto, Credenziali nei Commit e Git-Dumper</title><link>https://hackita.it/articoli/source-code-disclosure/</link><pubDate>Thu, 19 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/source-code-disclosure/</guid><description>&lt;p&gt;Lo sviluppatore deploya con &lt;code&gt;git pull&lt;/code&gt; sul server di produzione. La directory &lt;code&gt;.git/&lt;/code&gt; resta nella document root, accessibile da chiunque. L&amp;rsquo;attaccante la scopre con un &lt;code&gt;curl https://target.com/.git/HEAD&lt;/code&gt; → &lt;code&gt;ref: refs/heads/main&lt;/code&gt;. Con &lt;code&gt;git-dumper&lt;/code&gt; ricostruisce l&amp;rsquo;&lt;strong&gt;intero repository&lt;/strong&gt; — codice sorgente completo, storico dei commit, e soprattutto &lt;strong&gt;ogni credenziale che è mai stata committata&lt;/strong&gt; nella storia del progetto, anche quelle cancellate anni fa.&lt;/p&gt;
&lt;p&gt;La Source Code Disclosure non è solo &amp;ldquo;leggere il codice&amp;rdquo; — è avere accesso a &lt;strong&gt;tutto ciò che è mai stato scritto e poi cancellato&lt;/strong&gt;: password hardcoded rimosse nel commit successivo (ma ancora nella history), API key di produzione committate per errore, token CI/CD, chiavi SSH, credenziali database. &lt;code&gt;git log --all -p&lt;/code&gt; è un tesoro.&lt;/p&gt;</description></item></channel></rss>