海外のホワイトハッカーから脆弱性レポートを頂きました!

海外の兄貴のサムネ
作成日 2025年11月13日 最終更新日 2025年11月13日

ある日、ブログのお問い合わせフォームを通して謎の海外ニキから連絡が来ました。


内容は、こうです。

「あなたのWebサイト、ドキュメントルートに.gitが裸で置いてあるので、このままだと全データが盗まれ放題でやばいっすよ」(意訳)


どうやら .gitフォルダは置きっぱなしにしとくと作業ディレクトリ内のデータが全て漏洩してしまうみたいです。やば


何も考えずにgitを使っていた私は.gitにそんな脆弱性があるとは全く知りませんでした。


何事かという

githubは便利なので、何かしらの開発をするってなったら多くの人が使うと思います。


ブログを書くときも使います。これによってdeployがめっちゃ楽になるんですよね。これを使うとftpとかでいちいちファイル転送とかしなくて済むのです


こんな感じで、
①localhostで編集して、動作を確認したら、pushする。その後、
②webサーバにsshして、pullするだけ。

簡単なgithub deployの図

しかし、.gitフォルダには、コミット履歴とかブランチの情報とかまで、全部入ってるわけです。


なので、対策しないとデータは全部持ってかれ放題で、場合によってはリポジトリが破壊されることもあるみたいですね...こあい


対策の巻

要は.gitへのリクエストを全部アク禁にしてやればよい訳です。


.htaccessファイルに以下を記述します。

.htaccess

RewriteEngine On:urlの書き換え機能を有効にする

RewriteRule ^\.git - [F]:.gitから始まるurlを、書き換えずに、403を返す

  • ^ (ハット):文字列の先頭を意味する正規表現。
  • . (ドット) は、「任意の一文字」を意味する正規表現なので、\.として、文字としてのドットを示している。
  • - (ハイフン):置換先なしの意味
  • [F]:(Forbidden)の意味で、403 Forbiddenを返す。

書いたら、curlで確認しましょう

これで403が返ってくればokです。

スペシャルなサンクス

今回、脆弱性レポート(Vulnerability Report)を下さった方を紹介します。


こちらのBlacksoloさんという方です。ありがとうございます!!


※本人に許可をとってリンク載せてます

簡単なgithub deployの図

名前とアイコンがダーク側。でもめっちゃいい人です!!

どうやらこの人は、色んなサイトの脆弱性を見つけては、教えてあげる活動をしてる人みたいです。


hackerone(バグバウンティプラットフォーム)にも所属していて、活動実績を見ると、SpotifyとかU.S Dept(アメリカ国防省)まである。。凄すぎぃ


https://hackerone.com/iamblacksolo?type=user 報告履歴

感謝しかない

この人がいなければ、私は脆弱性に気づかず、サイト開設初っ端から色んなものをぶっ壊されるところでした


ありがとう