安全專家 Wiz 就微軟 Azure 應用服務中的一個漏洞發出警告。 該漏洞暴露了數百個源代碼存儲庫。 微軟已經修補了這個漏洞。
Wiz 在 Azure App Service 中發現了所謂的 NotLegit 漏洞。 該服務也稱為 Azure Web Apps,是一個託管網站和基於 Web 的應用程序的平台。 可以使用本地 Git 工具將源代碼和工件上傳到 Azure 應用服務。 用戶可以使用 Azure App Service 容器設置本地 Git 存儲庫,並將代碼直接推送到服務器。
據研究人員稱,這正是漏洞所在。 使用 Local Git 將代碼部署到 Azure 應用服務時,git 存儲庫設置了一個每個人都可以訪問的可公開訪問的目錄。
受影響的幾種代碼語言
尤其是用 PHP、Python、Ruby 或 Node 編寫的源代碼很容易受到攻擊。 這部分是因為這些代碼語言經常使用 Apache、Nginx 和 Flask 等 Web 服務器。 這些 Web 服務器無法處理 web.config 文件。 這允許公眾訪問所述源代碼存儲庫。
為微軟所知
Wiz 的安全專家已經在今年 XNUMX 月初通知了微軟該漏洞。 微軟已經關閉了它。 無論如何,專家們敦促用戶檢查他們的源代碼是否已被洩露,並為他們的應用程序採取行動。