🔓 Site Vulnerável para Testes

Ambiente de teste para a extensão DotGit - Todas as vulnerabilidades comuns em um só lugar

🔴 Repositório Git Exposto Crítico

O diretório .git está completamente acessível, permitindo download do código-fonte completo e histórico de commits.

.git/HEAD .git/config .git/index .git/logs/HEAD .git/refs/heads/main
⚠️ Risco: Atacante pode reconstruir todo o repositório, incluindo código-fonte, histórico de commits, credenciais em commits antigos, e informações sensíveis.

🔴 Arquivo .env Exposto Crítico

Arquivo de variáveis de ambiente contendo credenciais e API keys.

.env
⚠️ Risco: Expõe senhas de banco de dados, AWS keys, tokens do Stripe, JWT secrets, credenciais de admin, webhooks do Slack, e muito mais.

🔴 Repositório Subversion (SVN) Crítico

Diretório .svn acessível publicamente.

.svn/wc.db .svn/entries
⚠️ Risco: Similar ao Git, permite reconstrução do repositório e acesso ao código-fonte.

🔴 Repositório Mercurial (HG) Crítico

Repositório Mercurial exposto.

.hg/store/00manifest.i .hg/dirstate
⚠️ Risco: Acesso ao código-fonte e histórico do projeto.

🟡 .DS_Store do macOS Médio

Arquivo de metadados do macOS que revela estrutura de diretórios.

.DS_Store
⚠️ Risco: Revela nomes de arquivos, estrutura de diretórios e pode indicar outros arquivos sensíveis.

✅ Security.txt Informativo

Política de divulgação responsável de vulnerabilidades (RFC 9116). Isto é uma BOA PRÁTICA!

.well-known/security.txt security.txt (fallback)
✅ Boa prática: Fornece canal de comunicação para pesquisadores de segurança reportarem vulnerabilidades.

📁 Subdiretórios Vulneráveis

Muitas aplicações possuem múltiplos repositórios em diferentes subpastas:

Painel Administrativo

/admin/.git/HEAD /admin/.git/config

API Backend

/api/.git/HEAD /api/.git/config

Aplicação Frontend

/app/.env

Backend Services

/backend/.git/HEAD /backend/.git/config

🧪 Como Testar a Extensão

  1. Inicie um servidor web local nesta pasta
  2. Carregue/instale sua extensão no navegador
  3. Navegue até http://localhost:8000 (ou a porta que você escolher)
  4. A extensão deve detectar automaticamente todas as vulnerabilidades
  5. Verifique o popup da extensão e o console para ver os resultados
  6. Teste o download do repositório .git

🚀 Comandos para Iniciar Servidor Local

# Python 3 (recomendado)
python -m http.server 8000

# Python 2
python -m SimpleHTTPServer 8000

# Node.js com npx
npx http-server -p 8000

# PHP
php -S localhost:8000

# Depois acesse:
http://localhost:8000

⚠️ Aviso Importante

Este site é apenas para testes locais da sua extensão. NUNCA faça deploy destes arquivos em um servidor público real! Testar em sites reais sem permissão é ilegal e pode resultar em consequências criminais.