Bahaya Eksposur Folder .git di antrian.kemendagri.go.id dan Cara Mencegahnya

Bahaya Eksposur Folder .git di antrian.kemendagri.go.id dan Cara Mencegahnya

Dalam dunia keamanan siber, kebocoran data akibat kesalahan konfigurasi sering kali menjadi celah yang dimanfaatkan oleh peretas. Salah satu masalah umum yang sering terjadi adalah eksposur folder .git pada website yang berbasis Git sebagai version control system. Baru-baru ini, ditemukan bahwa situs antrian.kemendagri.go.id memiliki folder .git yang dapat diakses secara publik, yang berpotensi menimbulkan risiko keamanan serius.

---

Apa Itu Folder .git?

Folder .git adalah direktori yang berisi seluruh riwayat perubahan kode dalam sebuah proyek yang menggunakan Git. Direktori ini menyimpan berbagai informasi penting seperti:
✅ Kode sumber proyek – memungkinkan seseorang untuk melihat dan memahami bagaimana sistem bekerja.
✅ Riwayat perubahan kode – memungkinkan peretas melihat modifikasi yang telah dilakukan pada kode sumber.
✅ Konfigurasi repository – bisa berisi informasi tentang server atau kredensial yang tidak seharusnya terlihat.

Jika folder .git tidak dikonfigurasi dengan baik dan dapat diakses oleh publik, maka seseorang dapat mengunduh seluruh isi repository dan memanfaatkan informasi tersebut untuk melakukan eksploitasi lebih lanjut.

---

Risiko yang Ditimbulkan oleh Folder .git yang Terbuka

Eksposur direktori .git dapat membuka celah bagi peretas untuk:
🔴 Mengakses kode sumber website – memungkinkan mereka menemukan celah keamanan dalam sistem.
🔴 Mendapatkan kredensial sensitif – seperti username, password, atau API key yang mungkin secara tidak sengaja disimpan dalam repository.
🔴 Menganalisis riwayat commit – yang bisa mengungkap informasi sensitif atau bagian kode yang masih memiliki kelemahan.
🔴 Melakukan eksploitasi lebih lanjut – setelah mendapatkan kode sumber, penyerang bisa mencari kelemahan seperti SQL Injection, Cross-Site Scripting (XSS), atau Remote Code Execution (RCE).

---

Cara Mengeksploitasi Folder .git yang Terbuka

Peretas biasanya menggunakan beberapa teknik untuk mengeksploitasi direktori .git yang terbuka. Salah satu cara yang umum digunakan adalah dengan mengunduh seluruh repository menggunakan Tools GitTools

git-dumper http://target.com/.git/ ./output-folder/
Dari hasil dump ini, penyerang dapat melihat seluruh kode sumber dan melakukan analisis lebih lanjut.
POC:




Cara Mencegah Eksposur Folder .git
Untuk mencegah masalah ini, ada beberapa langkah yang bisa dilakukan:
✅ 1. Blokir akses ke folder .git melalui konfigurasi server

Jika menggunakan server Apache, tambahkan aturan berikut di file .htaccess:
RewriteEngine On
RewriteRule ^(.*/)?\.git/ - [F,L]

Jika menggunakan server NGINX, tambahkan aturan berikut:
 
location /.git/ {
    deny all;
    return 403;
}
 
✅ 2. Hapus folder .git dari direktori publik

Pastikan folder .git tidak berada di dalam folder public_html, www, atau direktori yang dapat diakses secara langsung dari internet.
✅ 3. Gunakan .gitignore dengan benar

Pastikan bahwa file konfigurasi yang mengandung informasi sensitif tidak dimasukkan ke dalam repository Git. Tambahkan aturan dalam .gitignore
/config.php
/.env
/database.yml
 
✅ 4. Gunakan private repository untuk proyek sensitif

Jika memungkinkan, selalu gunakan repository private di platform seperti GitHub, GitLab, atau Bitbucket untuk menghindari akses yang tidak diinginkan. 
 
Kesimpulan
Eksposur folder .git pada situs antrian.kemendagri.go.id menunjukkan adanya potensi kebocoran data yang bisa dimanfaatkan oleh pihak tidak bertanggung jawab. Untuk mencegah hal ini, sangat penting untuk mengamankan folder .git dengan cara yang tepat, baik melalui konfigurasi server, penghapusan folder dari direktori publik, maupun pengelolaan file yang lebih baik dalam Git.
Jika Anda mengelola website berbasis Git, pastikan telah menerapkan langkah-langkah pencegahan di atas agar terhindar dari ancaman peretasan.
🔒 Keamanan website adalah prioritas utama! Jangan biarkan celah kecil menjadi pintu masuk bagi peretas.