云计算安全服务Wiz的研究团队，发现了一个在Azure App服务中不安全的默认行为，当用户使用本地端Git（Local Git）选项部署应用程序时，Azure App服务将会暴露以PHP、Python、Ruby或Node编写的应用程序源码，这个被称为NotLegit的漏洞，从2017年9月就已经存在，研究团队提到，这个漏洞很可能已经被开采利用了。

Azure App服务是一个云计算平台，能够用来托管网站和网页应用程序，由于使用起来非常方便，因此受开发者欢迎，开发人员选择受支持的程序语言和操作系统后，便可以利用FTP、SSH或从Git服务拉取程序代码，来部署应用程序或是构件。经部署后，互联网用户都可以使用*.azurewebsites.net域名访问该程序。

而本地端Git是Azure所支持，将程序代码和构件部署到Azure App服务的一种方法，使用本地端Git，用户可以在Azure App服务容器中，创建一个本地端Git存储库，并且直接将程序代码推送到服务器中。

图片来源_Wiz

在最佳实务中，当开发者将Git存储库部署到网页服务器和存储桶中时，要确保没有上传.git文件夹，因为.git文件夹包含源码、开发人员电子邮件和其他敏感资料，而当用户使用本地端Git方式部署到Azure App服务时，git存储库将位于/home/site/wwwroot，也就是可供任何人访问的公开目录。

研究团队提到，微软会在公开目录中的.git文件夹，添加一个web.config文件，来限制公开目录中的.git文件夹被访问，但是只有微软的IIS网页服务器会处理web.config文件，当用户C#或ASP.NET这些使用IIS部署的应用程序，都会被妥善的保护。

但问题在于PHP、Ruby、Python或Node开发的应用程序，由于这些程序语言部署在Apache、Nginx和Flask等不同的网页服务器，这些服务器不处理web.config文件，因此.git文件夹里的资料便会暴露在外，恶意攻击只要从应用程序中截取/.git文件夹，就可以直接访问程序代码。

有趣的是，研究团队发现web.config文件有一个小错误，配置标签没有被正确关闭，因此其实IIS也无法正确解析该文件，但由于拼写错误，也阻挡了整个目录被访问，因此误打误撞，web.config文件还是发挥了阻挡访问的功能。

图片来源_Wiz

微软在之后，又发现了使用其他Git部署工具，也可能造成程序代码暴露的问题，当任何Git部署之前，Azure App服务容器曾创建或修改文件，该服务会进入本地部署状态，这将会强制未来Git部署都会存在于可公开访问的目录中。

具体来说，受NotLegit影响的用例，包括在2017年9月以来，使用Azure App服务中默认在应用程序，使用本地端Git部署的PHP、Node、Ruby和Python应用程序，以及在2017年9月以来，在应用程序容器中创建和修改文件后，使用任何Git来源部署到Azure App服务中的所有PHP、Node、Ruby和Python应用程序。

这个漏洞可能已经被广泛地利用，研究团队为了要评估该漏洞的严重性，特别部署了一个易受攻击的Azure App服务应用程序，并将其连接到未被使用的域名，观察是否有攻击者试图访问.git文件，而就在部署4天后，有未知的人士对.git文件夹进行多次请求。目前微软已经修复该漏洞，并且在12月7日发送电子邮件通知易受攻击的用户。