微软公司在Azure应用服务中发现的一个漏洞已导致数千个源代码存储库曝光。

微软研究者于去年12月21日详细说明了一项名为NotLegit的漏洞。该漏洞是关于Azure应用服务中的不安全默认行为，自2017年9月以来就一直存在。这个漏洞影响了使用本地Git进行部署的客户应用程序中编写的用PHP、Python、Ruby或Node等语言撰写的源代码

Azure App Service称为Azure Web Apps，它是基于云计算的平台，用于托管网站与Web应用程序。多种方法可让源码与工件部署到Azure应用服务，其中一种是使用本地Git。客户会使用Azure应用服务容器来启动本地Git存储库，并直接推送到服务器。

微软公司Azure的云服务中发现的一个漏洞让数百个源代码存储库变得易受攻击。

Wiz 安全研究人员在 2022 年 12 月 21 日发布报告称，一个名为 NotLegit 的漏洞正影响微软 Azure 应用服务中的默认行为。该问题早在2017年9月就已经存在，它允许不安全的本地 Git 部署的 PHP、Python、Ruby 和 Node.js 应用程序访问其源代码。

Azure App Service，也称为 Azure Web Apps，是基于云计算的一种平台，用于托管网站和 web 应用程序。有多种方法可以部署源码和工具到 Azure 云应用服务，例如使用本地 Git。客户可启动本地 Git 存储库，然后将代码直接推送到服务器。私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596

采用本地Git的做法是有问题的，在使用这种做法部署到Azure应用服务的地方，你的Git仓库是被创建在一个对任何人都开放、可以随便读写的位置上。

研究人员将其形容为微软独特的习惯：为了保护文件，他们会把web.config添加到公共目录中的git 文件夹中，并通过限制公共访问来防止其他系统对其进行更新或修改。不过，只有使用IIS (Internet Information Services)的Web服务器才能处理 web.config 这个文件——这个Web配置文件是专为利用 IIS部署C#和ASP.NET的应用程序准备的，而不能被不同的Web服务器处理，比如Apache和Nginx等。

大多数情况下，PHP、Ruby、Python和Node都部署在使用非Web.Config文件的网络服务器如Apache、Nginx和Flask之上。此外，并未提供任何安全措施来保护源码，导致所有用户都能获取源代码内容。

在10月7日向微软报告了一个安全漏洞后，Wiz的研究人员已经证实该问题得到缓解，也就是说，小部分客户仍可能受到泄露的影响，并需要采取相应措施以防止其应用程序遭受影响。Microsoft于12月7日至15日期间通过电子邮件通知了受影响用户，告知他们已采取纠正措施，并建议采私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596取行动来保护他们的应用程序。

微软正向 Wiz 提供价值七千五美元的奖励，并且公司也承诺会将这笔奖金用于慈善活动。

使用本地Git在部署Azure应用服务器时是存在隐患的。因为，这种做法是把存储在公网中的Git仓库作为源码分发到云应用服务环境当中的，这使得这些代码对于任何人都能够轻易接触到。

研究人员将此行为描述为微软特有的癖好，为了防止文件泄露，他们将其添加到git目录中以限制公开访问。然而，只有微软IIS Web服务器能处理web.config 文件 -- 这适用于使用IIS部署的C#和ASP.NET应用程序，但它不适用其他Web服务器。

对于PHP、Ruby、Python和Node等语言，它们通常在使用不包含web.config文件的Apache、Nginx以及Flask这些网络服务器进行部署。由于缺乏处理web.config文件的网络服务，所以没有提供足够的安全措施，使源代码容易被其他人访问。

在10月7日提交给Wiz研究的报告中指出的安全漏洞目前已经得到了修复，这意味着一部分客户仍可能受到影响需要采取一定的防护措施来保护其应用程序微软根据12月7日至15日期间进行的配置更改发出了电子邮件通知。

微软还额外奖励了Wiz 7500美元，用于帮助该机构的工作，并将捐赠款项。