Celah Keamanan: Folder .git Terbuka di Situs Diskominfo Sultra
Pernah nggak sih, kamu lagi iseng cek-cek sebuah website pemerintah dan menemukan sesuatu yang nggak seharusnya bisa diakses publik? Nah, baru-baru ini ada kejadian menarik di situs Dinas Komunikasi dan Informatika Provinsi Sulawesi Tenggara (diskominfo.sultraprov.go.id), di mana folder .git mereka ternyata bisa diakses secara terbuka.
Kenapa Ini Berbahaya?
Buat yang belum tahu, folder .git itu adalah bagian dari sistem kontrol versi Git, tempat menyimpan semua riwayat perubahan kode sumber. Kalau folder ini bisa diakses publik, bisa jadi ada celah besar yang membahayakan sistem mereka. Berikut beberapa risiko yang bisa terjadi:
- Bocornya kode sumber website – Kalau attacker berhasil mengekstrak isi folder ini, mereka bisa mendapatkan struktur dan kode website secara keseluruhan.
- Informasi sensitif terungkap – Bisa jadi ada file konfigurasi yang menyimpan kredensial database, API key, atau bahkan username & password.
- Eksploitasi celah keamanan – Dengan melihat kode sumber, hacker bisa menemukan bug atau kerentanan yang bisa dieksploitasi lebih lanjut.
Apa yang Bisa Dilakukan dengan Folder .git Terbuka?
Salah satu cara paling efektif untuk mengeksploitasi folder .git yang terbuka adalah dengan menggunakan GitTools. GitTools adalah sekumpulan script otomatis yang dapat digunakan untuk mengekstrak dan merekonstruksi repository Git dari server yang rentan.
Langkah-langkah penggunaannya cukup sederhana:
-
Clone GitTools dari repository resminya:
git clone https://github.com/internetwache/GitTools.git
-
Gunakan GitDumper untuk mendownload seluruh isi folder .git:
cd GitTools/Dumper ./gitdumper.sh https://diskominfo.sultraprov.go.id/.git/ ./diskominfo.sultraprov.go.id
Deng
Dengan cara ini, seorang attacker bisa mendapatkan kode sumber website, history commit, serta kemungkinan informasi sensitif yang tersimpan di dalam repository.
Cara Mencegah Masalah Ini
Kasus seperti ini seharusnya bisa dihindari dengan langkah-langkah sederhana:
-
Hapus folder .git dari server production – Folder ini seharusnya hanya ada di lingkungan development atau lokal, bukan di server yang bisa diakses publik.
-
Gunakan konfigurasi server yang benar – Pastikan web server (Apache/Nginx) memblokir akses ke folder .git. Misalnya, kalau pakai Nginx, bisa tambahkan ini di konfigurasi:
location /.git/ { deny all; }
-
Gunakan Git dengan benar – Kalau memang butuh kontrol versi di production, lebih baik gunakan private repository di GitHub, GitLab, atau Bitbucket dan pastikan tidak ada jejak folder .git di server.
Kesimpulan
Folder .git yang terbuka di website pemerintah bukan hanya kesalahan teknis biasa, tapi bisa jadi celah besar yang memungkinkan kebocoran data. Bagi pengelola website, ini harus segera diperbaiki sebelum ada yang memanfaatkannya. Bagi kita yang berkecimpung di dunia keamanan siber, ini bisa jadi contoh nyata bahwa masih banyak sistem di luar sana yang kurang aman dan butuh perhatian lebih.
Jadi, kalau nemu kasus seperti ini, lebih baik laporkan ke pihak yang berwenang sebelum disalahgunakan oleh orang yang nggak bertanggung jawab.
Punya pengalaman serupa atau mau diskusi lebih lanjut soal keamanan website? Yuk, ngobrol bareng di kolom komentar
Komentar