Accessible Deleted Data in Github
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Sposoby dostępu do danych z GitHub, które rzekomo zostały usunięte, zostały zgłoszone w tym poście na blogu.
Forkujesz publiczne repozytorium
Zatwierdzasz kod do swojego forka
Usuwasz swojego forka
Dane zatwierdzone w usuniętym forku są nadal dostępne.
Masz publiczne repozytorium na GitHubie.
Użytkownik forkował twoje repozytorium.
Zatwierdzasz dane po tym, jak oni je forkowali (i nigdy nie synchronizują swojego forka z twoimi aktualizacjami).
Usuwasz całe repozytorium.
Nawet jeśli usunąłeś swoje repozytorium, wszystkie zmiany wprowadzone w nim są nadal dostępne przez forki.
Tworzysz prywatne repozytorium, które ostatecznie stanie się publiczne.
Tworzysz prywatną, wewnętrzną wersję tego repozytorium (poprzez forkowanie) i zatwierdzasz dodatkowy kod dla funkcji, które nie zamierzasz udostępniać publicznie.
Upubliczniasz swoje repozytorium "upstream" i zachowujesz swój fork jako prywatny.
Możliwe jest uzyskanie dostępu do wszystkich danych przesłanych do wewnętrznego forka w czasie między utworzeniem wewnętrznego forka a udostępnieniem publicznej wersji.
Ten sam post na blogu proponuje 2 opcje:
Jeśli znana jest wartość ID zatwierdzenia (sha-1), możliwe jest uzyskanie do niego dostępu pod adresem https://github.com/<user/org>/<repo>/commit/<commit_hash>
Dostęp do obu z nich jest taki sam:
A ostatni używa krótkiego sha-1, który można złamać.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)