halo semuanya kali ini saya akan membagikan tutorial Source Code Disclosure Via Exposed .git, beberapa waktu lalu saya mendevelope situs pemerintahan dan beberapa orang di grup saya, saya suruh untuk menemukan celah pada situs yang sedang saya kelola. dan ada hal yang sedikit menarik saya tidak menyangka bahwa source code saya bisa di ambil hanya gara-gara folder .git saja, terimakasih buat @zeerx7 yang udah bantu nyari celahnya.
Apa itu Folder .git?
Saya berasumsi di sini bahwa Anda tahu tentang Git, jika tidak maka periksa di sini dan di sini. Jadi, apa itu folder .git? Menurut stackoverflow , ini adalah folder yang berisi semua informasi yang diperlukan untuk proyek Anda di kontrol versi dan semua informasi tentang komit, alamat repositori jarak jauh, dll. Semuanya ada di folder ini. Ini juga berisi log yang menyimpan riwayat komit Anda sehingga Anda dapat memutar kembali ke riwayat.
Mengapa Git Digunakan Dalam Web Development?
Git sebagian besar digunakan saat Anda membuat situs web di komputer dan menggunakan Git untuk mendorong salinan file tersebut ke server web. Jika sesuatu terjadi pada komputer Anda, Anda masih memiliki salinan lengkap di server web. Anda kemudian dapat mengonfigurasi repositori server web ini untuk mendorong perubahan langsung ke situs web Anda. Ini memberikan keuntungan bagi pengembang dan memberi mereka kemudahan pengembangan
Ok waktunya memulai tutorial
1. langkah pertama kalian harus menginstall git dumper
git clone https://github.com/arthaud/git-dumper
2. sebagai contoh disini saya akan menggunakan web https://ppid.lomboktengahkab.go.id/.git
disana kalian bisa lihat sendiri, bahwa direktori .git nya ada dan terbuka, jika kalian mendapatkan error 403 forbidden, jangan khawatir direktori gitnya juga masih ada.
3. kalian install modulnya dulu dan langsung saja run tools git dumpernya
pip install -r requirements.txt
python3 git_dumper.py https://ppid.lomboktengahkab.go.id/.git output
4. dan prosesnya akan berjalan seperti ini :
setelahnya kalian bisa cek folder output didalam folder git-dumper tersebut
dan kalian sudah berhasil mencuri source code dari folder .git
ok itu saja yang bisa saya sampaikan pada tutorial kali ini, gunakan ilmunya sebaik mungkin.
do this at ur own risk!
bagi yang kurang paham bisa kontak saya di instagram @youez_
tutorial video bisa diliat disini, maap kalo ga jelas, emang gabisa bikin kok :b