Para extrair uma pasta .git de uma URL, use https://github.com/arthaud/git-dumper

Use https://www.gitkraken.com/ para inspecionar o conteúdo

Se um diretório .git for encontrado em um aplicativo da web, você pode baixar todo o conteúdo usando wget -r http://web.com/.git. Em seguida, você pode ver as alterações feitas usando git diff.

As ferramentas: Git-Money, DVCS-Pillage e GitTools podem ser usadas para recuperar o conteúdo de um diretório git.

A ferramenta https://github.com/cve-search/git-vuln-finder pode ser usada para pesquisar por CVEs e mensagens de vulnerabilidades de segurança dentro das mensagens de commits.

A ferramenta https://github.com/michenriksen/gitrob busca por dados sensíveis nos repositórios de uma organização e seus funcionários.

Repo security scanner é uma ferramenta baseada em linha de comando que foi escrita com um único objetivo: ajudá-lo a descobrir segredos do GitHub que os desenvolvedores acidentalmente tornaram públicos ao enviar dados sensíveis. E assim como as outras, ele ajudará você a encontrar senhas, chaves privadas, nomes de usuário, tokens e muito mais.

TruffleHog busca em repositórios do GitHub e analisa o histórico de commits e branches, procurando por segredos acidentalmente enviados.

Aqui você pode encontrar um estudo sobre dorks do github: https://securitytrails.com/blog/github-dorks