露出ファイルチェッカー

.envファイル（重要。データベースパスワード、APIキー、秘密トークン）、.git/config（重要。リポジトリURL、リモートオリジン）、wp-config.php（重要。WordPressデータベース認証情報）、.htpasswd（高。ハッシュ化された認証情報）、phpinfo.php（高。PHP/サーバー構成）、adminer.php（高。直接データベースアクセス）、phpmyadmin/（高。データベース管理）、composer.json/lock（中。依存関係バージョン）、package.json（低。Node.js依存関係）、.DS_Store（低。macOSメタデータ）、backup.sql/backup.zip（重要。データベース/サイトバックアップ）、.ssh/id_rsa（重要。SSHプライベートキー）、server-status/server-info（中。Apacheダイアグノスティックページ）。

即座の手順：（1）改善中にサービスをオフラインにするかアクセスをブロックします。（2）.envのすべてのシークレットが危険にさらされていると仮定します。すべてのAPIキー、データベースパスワード、トークンを直ちにローテーションしてください。（3）過去30日間のアクセスログをチェックして、検出前に.envにアクセスしたかどうかを確認します。（4）根本原因を修正します。.envをwebrootの上に移動、.htaccessに「deny from all」を追加、またはnginxをドットファイルをブロックするように構成します。（5）影響を受けたすべてのAPIキーとサービスを監査します。許可されていないアクセスまたは使用をチェックします。（6）影響を受けたユーザーに通知する必要があるかどうかを検討します（GDPR違反通知は72時間以内）。

公開されている.gitディレクトリにより、攻撃者は履歴バージョンを含むソースコード全体を再構成できます。.git/configから、攻撃者はリポジトリURLを見ることができます。git-dumperのようなツールを使用して、彼らは完全なリポジトリをダウンロードできます。すべてのソースコード、コミット履歴、削除されたファイル、歴史的なコミットでハードコードされたシークレット、インフラストラクチャ構成を含みます。これは最も危険なファイル公開の1つです。サーバー設定で.gitアクセスをブロックして修正します：nginx「location ~ /\.git { deny all; }」またはApache「RedirectMatch 404 /\.git」。

Nginx。サーバーブロックに追加：location ~ /\.(env|git|htaccess|htpasswd|DS_Store) { deny all; return 404; } Apache。.htaccessまたはhttpd.confに追加：<FilesMatch "^\.(env|git|htaccess|htpasswd|DS_Store)"> Order deny,allow / Deny from all / </FilesMatch>。phpinfo.phpのようなPHPファイル：サーバーから削除するだけです。本番環境には存在しないはずです。.gitディレクトリの場合：ディレクトリ全体をブロックします：<Directory "~/.*/\.git"> Deny from all </Directory>。

はい。このツールは、ブラウザーまたは検索エンジンボットが行うのと同じタイプのリクエストを、ウェブサイト上の特定のパスに対してのみ標準HTTP GETリクエストを実行します。セキュリティ研究者、ペネトレーションテスター、そして残念ながら攻撃者が定期的にスキャンするのと同じパスをチェックします。このチェックを実行することは、ウェブサーバーが数HTTP 200/404/403応答をログに記録するのと同等です。このツールは、脆弱性を悪用しようとしません。ファイルにアクセス可能かどうかをチェックするだけです。攻撃者が見つかる前に公開を見つけるために使用してください。