github代碼泄露

❶ 微軟等50多家科技公司源代碼泄露的原因是什麼

開發人員Tillie Kottmann在受訪時稱，這是因為不安全的DevOps應用程序導致公司專有信息暴露，他已經撤回源代碼。

據外媒報道，包括微軟、Adobe、聯想、AMD、高通、聯發科、通用電氣、任天堂、迪士尼等 50 家公司在內的源代碼被泄露上網。

此番，任天堂被偷跑的代碼在網上引起了廣泛關注，因為它讓外界得以深入了解一系列經典游戲背後的秘辛，包括馬力歐、馬力歐賽車、塞爾達傳說、F-Zero零式賽車和精靈寶可夢系列游戲。甚至，任天堂的代碼還包括預發布作品、完全可玩的一些游戲原型甚至是從未完成「胎死腹中」的項目。

(1)github代碼泄露擴展閱讀：

代碼被公開之痛

每一次源代碼被公開，伴隨著的都是巨大的損失。

比如大疆前員工將含有公司商業機密的代碼上傳到了 GitHub 的公有倉庫中，造成源代碼泄露的事件。根據當時的報道，這些源代碼，攻擊者可以 SSL 證書私鑰，訪問客戶的敏感信息，比如用戶信息、飛行日誌等等。根據評估，這次泄漏代碼一共給大疆造成了 116.4 萬的經濟損失。

再比如，2019 年 4 月，B 站整個網站後台工程源碼泄露，並且「不少用戶密碼被硬編碼在代碼裡面，誰都可以用。」

當天，在開源及私有軟體項目託管平台 GitHub 上，出現了名為「嗶哩嗶哩bilibili 網站後台工程源碼」的項目。據悉，該項目由賬號「 openbilibili 」創建，由於網站的開源性質，登錄網站者均可使用。當日 B站股價跌 3.27%。

雖然很快被封禁，B 站也已經報警處理，但有不少網友克隆了代碼庫，隱患已經埋下，補救起來也頗為頭疼。當然，除了主動泄露私鑰，還有很多人在 GitHub 上把登錄信息和明文密碼也都一起開源的。

而這些被開源的代碼一旦被黑客利用，造成的損失就要看黑客的心情了。

❷ 常見的Web源碼泄漏及其利用

Web源碼泄漏漏洞及利用方法

Git源碼泄露是由於在執行git init初始化目錄時，會在當前目錄下自動創建一個.git目錄，用於記錄代碼變更等信息。若未將.git目錄刪除即發布到伺服器，攻擊者可通過此目錄恢復源代碼。修復建議：刪除.git目錄或修改中間件配置以隱藏.git隱藏文件夾。

SVN源碼泄露源於其使用過程中自動生成的.svn隱藏文件夾，包含重要源代碼信息。若網站管理員直接復制代碼文件夾至WEB伺服器，暴露.svn隱藏文件夾，攻擊者可利用.svn/entries文件獲取伺服器源碼。修復方法：刪除web目錄中的所有.svn隱藏文件夾，嚴格使用SVN導出功能，避免直接復制代碼。

Mercurial（hg）源碼泄露通過生成的.hg文件暴露，漏洞利用工具為dvcs-ripper。運行示例需具體說明。

CVS泄露主要針對CVS/Root和CVS/Entries目錄，直接暴露泄露信息。修復工具為dvcs-ripper，運行示例同樣需具體說明。

Bazaar/bzr泄露為版本控制工具泄露問題，因其不常見但多平台支持，同樣存在通過特定目錄暴露源碼的風險。具體修復方法與運行示例需進一步說明。

網站備份壓縮文件泄露是管理員將備份文件直接存放於Web目錄，攻擊者通過猜測文件路徑下載，導致源代碼泄露。常見備份文件後綴需具體列出，利用工具御劍用於這類漏洞的利用。

WEB-INF/web.xml泄露暴露了Java WEB應用的安全目錄，若直接訪問其中文件需通過web.xml文件映射。WEB-INF目錄主要包括文件或目錄，通過web.xml文件推斷類文件路徑，最後直接訪問類文件，通過反編譯得到網站源碼。

.DS_Store文件泄露源於Mac系統中Finder保存文件展示數據的文件，每個文件夾下對應一個。若上傳部署到伺服器，可能造成文件目錄結構泄漏，特別是備份文件、源代碼文件的泄露。利用工具為github.com/lijiejie/ds_...

SWP文件泄露為編輯文件時產生的臨時文件，是隱藏文件，若程序意外退出則保留。直接訪問並下載.swp文件，刪除末尾的.swp後，可獲得源碼文件。

GitHub源碼泄露通過關鍵詞搜索功能，容易找到目標站點的敏感信息，甚至下載網站源碼。此類泄露源自代碼託管平台，需注意個人代碼管理安全。

總結，Web源碼泄漏涉及多個環節，從代碼版本控制到備份存儲，再到代碼託管平台，每個環節都可能成為攻擊點。修復策略包括刪除隱藏文件、嚴格使用版本控制功能、加強代碼備份安全措施以及提高代碼託管平台安全意識。