Langsung ke konten utama

Bahaya Eksposur Folder .git di antrian.kemendagri.go.id dan Cara Mencegahnya

Bahaya Eksposur Folder .git di antrian.kemendagri.go.id dan Cara Mencegahnya

Dalam dunia keamanan siber, kebocoran data akibat kesalahan konfigurasi sering kali menjadi celah yang dimanfaatkan oleh peretas. Salah satu masalah umum yang sering terjadi adalah eksposur folder .git pada website yang berbasis Git sebagai version control system. Baru-baru ini, ditemukan bahwa situs antrian.kemendagri.go.id memiliki folder .git yang dapat diakses secara publik, yang berpotensi menimbulkan risiko keamanan serius.

Apa Itu Folder .git?

Folder .git adalah direktori yang berisi seluruh riwayat perubahan kode dalam sebuah proyek yang menggunakan Git. Direktori ini menyimpan berbagai informasi penting seperti:
Kode sumber proyek – memungkinkan seseorang untuk melihat dan memahami bagaimana sistem bekerja.
Riwayat perubahan kode – memungkinkan peretas melihat modifikasi yang telah dilakukan pada kode sumber.
Konfigurasi repository – bisa berisi informasi tentang server atau kredensial yang tidak seharusnya terlihat.

Jika folder .git tidak dikonfigurasi dengan baik dan dapat diakses oleh publik, maka seseorang dapat mengunduh seluruh isi repository dan memanfaatkan informasi tersebut untuk melakukan eksploitasi lebih lanjut.

Risiko yang Ditimbulkan oleh Folder .git yang Terbuka

Eksposur direktori .git dapat membuka celah bagi peretas untuk:
🔴 Mengakses kode sumber website – memungkinkan mereka menemukan celah keamanan dalam sistem.
🔴 Mendapatkan kredensial sensitif – seperti username, password, atau API key yang mungkin secara tidak sengaja disimpan dalam repository.
🔴 Menganalisis riwayat commit – yang bisa mengungkap informasi sensitif atau bagian kode yang masih memiliki kelemahan.
🔴 Melakukan eksploitasi lebih lanjut – setelah mendapatkan kode sumber, penyerang bisa mencari kelemahan seperti SQL Injection, Cross-Site Scripting (XSS), atau Remote Code Execution (RCE).

Cara Mengeksploitasi Folder .git yang Terbuka

Peretas biasanya menggunakan beberapa teknik untuk mengeksploitasi direktori .git yang terbuka. Salah satu cara yang umum digunakan adalah dengan mengunduh seluruh repository menggunakan Tools GitTools

git-dumper http://target.com/.git/ ./output-folder/
Dari hasil dump ini, penyerang dapat melihat seluruh kode sumber dan melakukan analisis lebih lanjut.
POC:





Cara Mencegah Eksposur Folder .git


Untuk mencegah masalah ini, ada beberapa langkah yang bisa dilakukan:


1. Blokir akses ke folder .git melalui konfigurasi server

Jika menggunakan server Apache, tambahkan aturan berikut di file .htaccess:


RewriteEngine On
RewriteRule ^(.*/)?\.git/ - [F,L]

Jika menggunakan server NGINX, tambahkan aturan berikut:
 
location /.git/ {
    deny all;
    return 403;
}
 
2. Hapus folder .git dari direktori publik

Pastikan folder .git tidak berada di dalam folder public_html, www, atau direktori yang dapat diakses secara langsung dari internet.


3. Gunakan .gitignore dengan benar

Pastikan bahwa file konfigurasi yang mengandung informasi sensitif tidak dimasukkan ke dalam repository Git. Tambahkan aturan dalam .gitignore
/config.php
/.env
/database.yml
 
4. Gunakan private repository untuk proyek sensitif

Jika memungkinkan, selalu gunakan repository private di platform seperti GitHub, GitLab, atau Bitbucket untuk menghindari akses yang tidak diinginkan. 
 
Kesimpulan


Eksposur folder .git pada situs antrian.kemendagri.go.id menunjukkan adanya potensi kebocoran data yang bisa dimanfaatkan oleh pihak tidak bertanggung jawab. Untuk mencegah hal ini, sangat penting untuk mengamankan folder .git dengan cara yang tepat, baik melalui konfigurasi server, penghapusan folder dari direktori publik, maupun pengelolaan file yang lebih baik dalam Git.


Jika Anda mengelola website berbasis Git, pastikan telah menerapkan langkah-langkah pencegahan di atas agar terhindar dari ancaman peretasan.


🔒 Keamanan website adalah prioritas utama! Jangan biarkan celah kecil menjadi pintu masuk bagi peretas.


Komentar

Posting Komentar

Postingan populer dari blog ini

DEFACE POC REGMEN WITH JSO

Yaaa Gosh banyak bacot lgsg ke intinya ya asw Bahan²: 1.dork -inurl /kontributor site go.id  (User your brain klw punya) 2.sc jso(klw belum punya buat lah anj) 3.paket/WiFi anak org Lgsg ke setp by step 1.pertama Tama kalian nge dork dulu pilih salah satu yg kalian mau 2.isi asal asal aee form nya Trus konfirmasi 3.nanti otomatis lgsg masuk ke dashboard,nah kalian pilih titik 3 disudut kiri,tekan modul berita,trus pilih berita kek gambar di atas 4.klik tambah kan data trus isi terserah kalian, kecuali di isi berita kalian tempel SC jso kalian  kek gambar di atas Trus kalian tambahkan aja 5.trus tinggal akses hasil nya,cara nya SITE.COM/BERITA kalian tinggal klik aja punya kalian dan... bisa kan Ezy anak esde juga bisa 
Posting Komentar
Read more »

Analisis Keamanan: Kerentanan pada Astrapay

  Apa Itu Astrapay? Astrapay adalah layanan dompet digital yang dikembangkan oleh PT Astra Digital Arta. Platform ini memungkinkan pengguna untuk melakukan transaksi digital seperti pembayaran tagihan, pembelian pulsa, dan berbagai layanan keuangan lainnya dengan mudah dan cepat. Sebagai bagian dari ekosistem Astra, Astrapay bertujuan untuk memberikan solusi pembayaran yang aman dan nyaman bagi penggunanya. Kerentanan yang Ditemukan Pada halaman legal Astrapay ( https://astrapay.com/legal ), terdapat potensi kerentanan terkait dengan unsanitized input dalam parameter product . Salah satu contoh eksploitasi adalah dengan memasukkan payload berikut: https://astrapay.com/legal?product="><Svg On Only=1 Onload=alert("FAREL")>%0A Kerentanan ini menunjukkan adanya Cross-Site Scripting (XSS) Reflected , di mana input pengguna tidak difilter dengan baik sebelum ditampilkan di halaman web. Jika dieksekusi di browser, skrip dalam parameter tersebut dapat menyebabkan ek...
Posting Komentar
Read more »

Kerentanan pada sigap.b4t.go.id?

Apa sih sebenarnya sigap.b4t.go.id? Sigap (sigap.b4t.go.id) adalah sebuah website yang milik Balai Besar Bahan dan Barang Teknik (B4T), suatu badan yang dipimpin oleh yayasan Kementerian Perindustrian Indonesia. Website ini diperkirakan bertindak sebagai sistem informasi dalam, pengelolaan data, atau layanan berbasis web lainnya yang berhubungan dengan pekerjaan pokok B4T. Jenis Kerentanan Salah satu kekurangannya yang ditemukan pada sigap.b4t.go.id adalah terdapat folder.git yang dapat diakses oleh publik. Folder.git ini adalah direktori yang berisikan riwayat versi kode sumber di sistem kontrol versi Git. Jika direktori ini dibuka secara total, data yang di dalamnya dapat dieksploitasi lebih lanjut.   Setelah melakukan aplikasi kelemahan ini, saya dapat memperoleh list komplit direktori jalur semua file yang ada pada server. Informasi ini memberikan gambaran tentang struktur sistem yang diberlakukan oleh platform ini. Serta, saya dapat memperoleh file database dengan nama...
Posting Komentar
Read more »