Accessible Deleted Data in Github

이 블로그 게시물에서 보고된 바와 같이, 삭제된 데이터에 접근하는 방법이 있습니다.

Accessing Deleted Fork Data

1. 공개 저장소를 포크합니다.

2. 포크에 코드를 커밋합니다.

3. 포크를 삭제합니다.

Accessing Deleted Repo Data

1. GitHub에 공개 저장소가 있습니다.

2. 사용자가 귀하의 저장소를 포크합니다.

3. 그들이 포크한 후에 데이터를 커밋합니다(그리고 그들은 결코 포크를 귀하의 업데이트와 동기화하지 않습니다).

4. 전체 저장소를 삭제합니다.

Accessing Private Repo Data

1. 결국 공개될 개인 저장소를 생성합니다.

2. 그 저장소의 개인 내부 버전을 생성하고(포크를 통해) 공개하지 않을 기능에 대한 추가 코드를 커밋합니다.

3. "업스트림" 저장소를 공개하고 포크를 비공개로 유지합니다.

How to discover commits from deleted/hidden forks

같은 블로그 게시물에서 2가지 옵션을 제안합니다:

Directly accessing the commit

커밋 ID(sha-1) 값이 알려져 있다면 https://github.com/<user/org>/<repo>/commit/<commit_hash>에서 접근할 수 있습니다.

Brute-forcing short SHA-1 values

두 가지 모두 접근하는 방법은 동일합니다:

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463

그리고 마지막 링크는 브루트포스 가능한 짧은 sha-1을 사용합니다.

References

• https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github