微软Azure App服务漏洞存在长达4年，暴露大量用户源代码。

Azure App Service（应用服务）是微软提供的用于构建和托管Web 应用的平台。近日，Wiz.io研究人员在Azure应用服务中发现一个安全漏洞——NotLegit，该漏洞自2017年开始存在，会引发用户的PHP、Node、Python、Ruby、Java源代码泄露。

NotLegit漏洞分析

图1 Azure应用服务中支持Git部署源码

该安全产生的根源在于你的Local Git库是公开可访问的。一般来说，在部署git库到web服务器等时，需要确保.git文件没有被上传。因为.git文件夹中包含源码、开发者邮箱和其他敏感信息。但通过Local Git 部署方式部署源码到Azure应用服务时，Git库创建的位置是/home/site/wwwroot，该目录是任何人都可以访问的一个公开目录。为了保护文件，微软在.git文件中创建了一个web.config 文件来限制对公开目录的公开访问。但只有微软IIS服务器会处理web.config文件。如果用户使用C# 或ASP.NET，并且应用部署在IIS服务器上，那就不会有任何问题。

但是如何使用的是PHP、Node、Python、Ruby、Java，这些编程语言部署在不同的web服务器上，比如Apache、Nginx、Flask，这些web服务器是不会处理web.config文件的，因此漏洞就产生了。恶意攻击者只需要从目标应用中提取/.git目录，就可以提取出源代码。

研究人员还发现微软的web.config文件中存在错误，configuration标签没有关闭，使得该文件无法被IIS服务器处理。