Icône du lab

Git Exposed

Quels secrets se cachent dans l'historique des commits ?

Défi Mis à jour le 21 juin 2026 Solution (Pro)
Git Version Control Source Code Analysis Reconnaissance Web Security

Un site web d'entreprise semble ordinaire, mais sous sa surface se cache une erreur de développeur qui expose tout. Un répertoire .git exposé se trouve sur le serveur de production, prêt à révéler ses secrets à quiconque sait où chercher. Plongez dans l'historique de contrôle de version, reconstruisez les fichiers supprimés et découvrez des informations sensibles qui n'auraient jamais dû arriver en production. Pouvez-vous extraire le flag des profondeurs de l'historique Git ?

1
Flags
50
XP
53%
Taux de Réussite

Les dépôts Git exposés représentent l'une des vulnérabilités les plus critiques et fréquemment découvertes dans la sécurité des applications web. Lorsque les développeurs déploient accidentellement leur répertoire .git sur un serveur web de production, ils exposent l'intégralité de l'historique de contrôle de version de leur projet - incluant le code source, les fichiers de configuration, les messages de commit, et potentiellement des identifiants sensibles comme les clés API et les mots de passe de bases de données.

Qu'est-ce qu'un répertoire .git ?

Git stocke toutes les métadonnées et l'historique du dépôt dans un dossier caché .git à la racine de chaque projet. Ce répertoire contient la base de données d'objets complète (toutes les versions de fichiers et commits), les références de branches, les paramètres de configuration et l'index de staging. Lorsque ce dossier est accessible sur un serveur web en production, n'importe qui peut reconstruire le code source complet et examiner chaque modification jamais apportée au projet.

Comment les dépôts Git se retrouvent exposés

Cette vulnérabilité survient généralement à cause d'erreurs de déploiement. Les causes courantes incluent la copie de l'intégralité du répertoire du projet (y compris .git) vers le serveur web via FTP ou rsync, l'utilisation de git clone directement dans la racine web, des pipelines CI/CD mal configurés qui incluent les répertoires de contrôle de version dans les artefacts de build, et des conteneurs Docker qui embarquent le dossier .git. De nombreux serveurs web populaires comme Apache et Nginx ne bloquent pas l'accès aux dotfiles par défaut, rendant l'exposition immédiatement exploitable.

Impact réel des dépôts Git exposés

Les chercheurs en sécurité et les chasseurs de bug bounty découvrent régulièrement des dépôts Git exposés sur des sites web du Fortune 500, des portails gouvernementaux et des plateformes financières. Les conséquences sont graves : les attaquants peuvent télécharger la base de code complète, fouiller l'historique des commits pour trouver des mots de passe et des jetons API commités accidentellement, découvrir des détails d'architecture interne et identifier des vulnérabilités supplémentaires dans le code source. Même les identifiants supprimés dans des commits ultérieurs restent récupérables depuis l'historique Git.

Détection et prévention

Les organisations peuvent prévenir cette vulnérabilité en configurant les serveurs web pour refuser l'accès aux répertoires .git, en utilisant des pipelines de build qui créent des artefacts de déploiement propres sans métadonnées de contrôle de version, et en scannant régulièrement les serveurs de production avec des outils automatisés. Comprendre comment les dépôts Git exposés fonctionnent et comment les attaquants les exploitent est une connaissance essentielle pour les testeurs d'intrusion et toute personne responsable de la sécurisation de l'infrastructure web.

Ce que vous apprendrez

  • Comment les répertoires .git stockent l'historique de contrôle de version et les métadonnées
  • Techniques de découverte de dépôts Git exposés sur les serveurs web
  • Reconstruction du code source à partir de dossiers .git accessibles publiquement
  • Extraction d'identifiants et de secrets depuis l'historique des commits Git
  • Prévention de l'exposition des répertoires Git par une configuration serveur appropriée

Prérequis

Basic Git version control Command line fundamentals Understanding of web servers

Prêt à hacker ce lab ?

Créez un compte gratuit et pratiquez la cybersécurité.

Commencer - C'est gratuit
Commencez Votre Défi
~1-2 min de configuration
Serveur dédié
Instance privée
Puissance standard
Nouveau ? Voici comment faire
1
Cliquez sur "Start Lab" ci-dessus Vous obtiendrez votre propre machine avec une adresse IP
2
Explorez la cible Ouvrez l'IP dans votre navigateur et cherchez des vulnérabilités
3
Trouvez et soumettez les flags Les flags sont des textes secrets cachés dans le système - collez-les ci-dessous pour marquer des XP

Prêt à hacker ce lab?

Créez un compte gratuit pour démarrer votre propre serveur dédié, soumettre des flags et gagner des XP au classement.

Commencer à Hacker Gratuitement

Labs similaires

Labs qui partagent des compétences similaires

Secrets in Source : voir le code source pour trouver le flag
Secrets in Source : voir le code source pour trouver le flag
Very Easy 50 XP 3690
View Source Code HTML Browser DevTools Information Disclosure
Hack the Login
Hack the Login
Very Easy 50 XP 5747
Authentication Bypass Broken Authentication Client-Side Security Web Security
Secrets in Source 2 : contourner la sécurité par l'obscurité
Secrets in Source 2 : contourner la sécurité par l'obscurité
Very Easy 50 XP 1173
Client-Side Security Security Through Obscurity Browser DevTools View Source
Traversed
Traversed
Medium 400 XP 142
GIT
13 000+ Hackers 100+ Labs & Cours Gratuit
Commencer Gratuitement