自2017年9月以来，微软的Azure应用服务(Azure App Service)中出现安全漏洞，导致使用Java、Node、PHP、Python和Ruby 编写的应用程序的源代码暴露了至少四年。

该漏洞代号为“NotLegit”，Wiz的研究人员于2021年10月7日向微软报告了该漏洞，随后在11月采取了缓解措施，修复了该信息披露漏洞。微软表示，“一小部分客户”面临风险，并补充道:“在应用程序中已经创建了文件后，通过Local Git将代码部署到App Service Linux的客户是唯一受影响的客户。”

Azure应用服务(又名Azure Web应用程序)是一个基于云计算的平台，用于构建和托管Web应用程序。它允许用户使用本地的Git存储库或GitHub和Bitbucket上的存储库将源代码和构件部署到服务中。

当使用Local Git方法部署到Azure App Service时，会出现不安全的默认行为，导致Git存储库创建在一个公开可访问的目录(home/site/wwwroot)中。

虽然微软确实在.git 文件夹中添加了一个“web.config”文件，其中包含存储库的状态和历史以限制公共访问，但配置文件仅用于依赖于微软自己的 C# 或 ASP.NET 应用程序IIS Web 服务器，不包括使用其他编程语言(如 PHP、Ruby、Python 或 Node)编码的应用程序，这些语言部署在不同的 Web 服务器(如 Apache、Nginx 和 Flask)上。

“基本上，恶意行为者所要做的就是从目标应用程序中获取‘/.git’目录，并检索其源代码，”Wiz 研究员 Shir Tamari称。“恶意行为者不断扫描互联网，寻找暴露的Git文件夹，他们可以从中收集机密和知识产权。除了源代码可能包含密码和访问令牌等机密外，泄露的源代码还经常被用于更复杂的攻击。”

Tamari表示，掌握了源代码后，发现软件漏洞就容易多了。

因此建议涉及此使用Azure应用服务的企业尽快升级修补漏洞。此外，接二连三出现的软件安全漏洞为开发人员和企业做出提醒，存在漏洞的软件出现安全事故只是时间问题，为了减少或尽可能降低网络安全事件发生，在软件构建初期及开发阶段，就应及时将安全问题放在首位。尤其随着第三方组件代码的引用逐渐增多，对代码中潜在的安全问题需被考虑进来，静态代码检测工具SAST及开源组件检测工具SCA可以协助开发人员检测查找代码缺陷及漏洞，提高软件安全性，增强对网络攻击的抵抗能力。

参读链接：https://link.juejin.cn/?target=https%3A%2F%2Fthehackernews.com%2F2021%2F12%2F4-year-old-bug-in-azure-app-service.html