VPN服務商Mysterium的研究團隊發布一份2026年網際網路規模資料研究,指出有4,964,815個IP位址的網站伺服器,可從公開網路存取Git儲存庫的.git中繼資料,等同近500萬臺伺服器在部署或設定上出現疏漏,讓原本不應對外的內部檔案留在網站可被讀取的位置。研究也發現其中252,733個案例的.git/config內含部署憑證,其風險不僅是資訊暴露,更可能帳號權杖被濫用,甚至衍生後續入侵。
研究人員在報告中指出,.git目錄不只是放置原始碼的副檔案夾,也保存版本歷史與設定資訊,足以讓外部人士拼湊出專案結構與變更脈絡。要是站點將.git目錄一併放入對外的網站根目錄,攻擊者可能藉此取得原始碼、設定檔線索或其他敏感資料,進一步用來研判弱點與橫向擴張。
這類問題並非新型態漏洞,研究人員指出幾種常見情境,包括開發者將整個專案目錄直接上傳到正式環境,打包工具在產出檔案時把隱藏目錄一併帶入,以及站點只在主要網域做了保護,卻忽略其他入口,例如替代網域或直接以IP存取時仍可讀取隱藏目錄。由於不少Web伺服器預設不會主動阻擋隱藏目錄,便會讓小疏忽成為可被大量掃描發現的曝險面。
曝險IP以美國最多,達1,722,949個,其後也包含德國、法國、印度與新加坡等地。研究人員強調,這些數字反映的是伺服器託管位置,而非網站所屬企業的登記地,與雲端區域選擇、內容傳遞架構與共享託管密度都有關。
被特別提及的是暴露.git/config的危險性,該檔案保存遠端儲存庫位置與抓取規則等設定,在部分既有流程中,部署帳號密碼或存取權杖可能直接寫入遠端URL,讓憑證隨設定檔一併外洩。當曝險從中繼資料升級到憑證層級,風險就不再只是資訊暴露,還可能導致私有儲存庫遭未授權存取、程式碼被竄改,甚至放大供應鏈風險。
研究人員建議的處置方向有兩個,第一是立即封鎖對.git等隱藏目錄的公開存取,並確認所有對外入口都一致套用規則。第二則是回到部署策略本身,避免把完整Git工作目錄帶上正式環境,改以構件或容器映像檔交付,降低歷史紀錄與設定檔留在公開Web根目錄的機率。