.svnやCVSディレクトリが見えてるよ

アクセス制限がかかっていないディレクトリに重要なデータを置いたせいで、それが第3者に持って行かれてしまうというのは、サーバからの情報流出では定番になっていますが、それと同じような事で.svnやCVSディレクトリにも気をつけた方がいいよという話。

「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット - スラッシュドット・ジャパン

TechCrunchの記事「初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる」によると、ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。

原理は簡単で、Webサイトでうっかり公開されてしまっている.svnや.cvsといったディレクトリを探し、発見したらその中身のデータを吸い出すだけ。確かに言われてみればうっかり見逃しそうなミスではある。皆様もご注意くださいませ。

例えばCVS/Entriesにはリポジトリで管理されているファイルの一覧が入っていたりするので、これを参照されるとサーバでDirectory Listingを無効にしていたり、Indexファイルを配置している場合でも、ディレクトリ内のファイルの一覧が外部から見えてしまいますね。これはサーバの設定の際には気をつけたいところです。