Перестаньте показывать свой код
Ещё в 2015 году вышла статья “Не публикуйте .git или как мы скачали исходный код вашего сайта”, показывающая как можно получить исходный код сайта.
Мне стало интересно, спустя столько времени, смогу ли я получить доступ к сайтам из ТОП(1м)?
Первым делом, я скачал сам список от Alexa в формате ‘.csv’ и начал парсить сайты на наличие открытого .git. И получил очень большой список результатов, но заветного окна я не увидел.

Проблема была в том, что многие сайты отдавали ошибку 200, когда такой страница была не найдена. Тогда я добавил проверку на наличие слова ‘branches’ и их количество заметно снизилось.
Сам код занял чуть больше 30 строчек:
В действительности нет смысла начинать с самых популярных сайтов, так как, это скорее всего корпорации с программами вознаграждений за уязвимости (bug bounty).
Консольно запустив скрипт в фоне (поставив отсчёт со случайного числа пришедшего мне в голову) пошёл по своим делам, где-то через 2–3 часа, увидел первую десятку сайтов. Среди них были сайты игровой тематики, блоги, рекламные, но больше всего оказалось университетских или образовательных(!)
Осталось дело за малым.
Скачать всё содержимое и восстановить, может, занимать некоторое время, но выполняется простыми командами:
И вот мы уже имеем исходных код веб-сайта.
Подведём итоги
Для разработки веб-приложения требуется множество сил и часов работы, а для передачи сайта стороннему пользователю менее часа, пожалуйста следите за этим. Ведь получив исходный код, пользователь может получить не только исходных код, но и пароли к сервисным службам или баз данных, что может влечь за собой сильные последствия.
Даже спустя многие годы, старые методы могут оказаться действующими.
