Accessible Deleted Data in Github
Sposoby dost臋pu do danych z GitHub, kt贸re rzekomo zosta艂y usuni臋te, zosta艂y zg艂oszone w tym po艣cie na blogu.
Dost臋p do usuni臋tych danych fork贸w
Forkujesz publiczne repozytorium
Zatwierdzasz kod do swojego forka
Usuwasz swojego forka
Dane zatwierdzone w usuni臋tym forku s膮 nadal dost臋pne.
Dost臋p do usuni臋tych danych repozytori贸w
Masz publiczne repozytorium na GitHubie.
U偶ytkownik forkowa艂 twoje repozytorium.
Zatwierdzasz dane po tym, jak oni je forkowali (i nigdy nie synchronizuj膮 swojego forka z twoimi aktualizacjami).
Usuwasz ca艂e repozytorium.
Nawet je艣li usun膮艂e艣 swoje repozytorium, wszystkie zmiany wprowadzone w nim s膮 nadal dost臋pne przez forki.
Dost臋p do danych prywatnych repozytori贸w
Tworzysz prywatne repozytorium, kt贸re ostatecznie stanie si臋 publiczne.
Tworzysz prywatn膮, wewn臋trzn膮 wersj臋 tego repozytorium (poprzez forkowanie) i zatwierdzasz dodatkowy kod dla funkcji, kt贸re nie zamierzasz udost臋pnia膰 publicznie.
Upubliczniasz swoje repozytorium "upstream" i zachowujesz sw贸j fork jako prywatny.
Mo偶liwe jest uzyskanie dost臋pu do wszystkich danych przes艂anych do wewn臋trznego forka w czasie mi臋dzy utworzeniem wewn臋trznego forka a udost臋pnieniem publicznej wersji.
Jak odkry膰 zatwierdzenia z usuni臋tych/ukrytych fork贸w
Ten sam post na blogu proponuje 2 opcje:
Bezpo艣redni dost臋p do zatwierdzenia
Je艣li znana jest warto艣膰 ID zatwierdzenia (sha-1), mo偶liwe jest uzyskanie do niego dost臋pu pod adresem https://github.com/<user/org>/<repo>/commit/<commit_hash>
Bruteforce'owanie kr贸tkich warto艣ci SHA-1
Dost臋p do obu z nich jest taki sam:
A ostatni u偶ywa kr贸tkiego sha-1, kt贸ry mo偶na brutalnie z艂ama膰.
Referencje
Last updated
