<div>Hi,<br></div><div><br></div><div>My name is Peter and I'm a security researcher/white hat/ethical hacker from Hungary.<br></div><div><br></div><div>I detected a security problem on your website.<br></div><div><br></div><div>Details of the Vulnerability:<br></div><div><br></div><div>The problem is you have a publicly available git repository on your website. You can check it by visiting <a href="https://techbase.kde.org/.git/HEAD">https://techbase.kde.org/.git/HEAD</a>.<br></div><div>When you visit the directory <a href="https://techbase.kde.org/.git">https://techbase.kde.org/.git</a> you usually get 403 error because there is no <a href="http://index.html/.php">index.html/.php</a> file and you don’t allow to show the directory listing/autoindex (if you can see the directory structure you have a misconfigured webserver – it is another type of vulnerability).<br></div><div>Despite 403 it is possible to access the files directly:<br></div><div><br></div><div><a href="https://techbase.kde.org/.git/logs/HEAD">https://techbase.kde.org/.git/logs/HEAD</a> – it is the list of commits with details about commiteers.<br></div><div><br></div><div>The structure of git repository is well known, so it is possible to found references to the objects/packs in the repository, download them via direct requests and reconstruct the repository and obtain your files – not only the current ones, but also the past files.<br></div><div>It is a bad idea to store DB credentials and various API tokens in the repository, but many developers don’t follow the best practices and the vulnerability is really serious in this case.<br></div><div>It is not always possible to download the complete repo, but there are many other interesting information still, e.g. <a href="https://techbase.kde.org/.git/index">https://techbase.kde.org/.git/index</a> – it is a binary file and it reveals the structure of your application, libs used, endpoints, inernal files etc.<br></div><div>Sometimes you can find the address of unsecured WYSIWYG editors with the file uploader – unfortunatelly it is really common.<br></div><div><br></div><div>! Some case from the exposed .git folder, the attacker recoverable the website source files, config files, tokens, keys or backups !<br></div><div><br></div><div>Have nice day!<br></div><div><br></div><div>Peter<br></div><div><a href="mailto:s1ak@protonmail.com">s1ak@protonmail.com</a><br></div><div><br></div><div>ps.If you feel like treating me to something extra for my time I appreciate the following:<br></div><div>(PayPal, cryptocurrency, voucher, swag, t-Shirt, cap, stickers, buy me something from my amazon wish list ... or just a thanks! ;)<br></div><div><br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user"><div>-----------------------------------------------------------------------<br></div><div>Bug Bounty Profil:<br></div><div><a href="https://www.openbugbounty.org/researchers/RickChase/">https://www.openbugbounty.org/researchers/RickChase/</a><br></div><div>PayPal address: <a href="mailto:rxroawnhbcek@yandex.com">rxroawnhbcek@yandex.com</a><br></div></div><div><br></div><div class="protonmail_signature_block-proton">Sent with <a href="https://protonmail.com" target="_blank">ProtonMail</a> Secure Email.<br></div></div><div><br></div>