Exposed Source Code pada Website

   

Kali ini saya akan membahas tentang source code yang tidak tertutup yang bisa mengakitbatkan terdapat file file yang tidak diinginkan terlihat. Mohon maaf jika saya baru membuat post sekarang dikarenakan banyaknya tugas kuliah yang menghambat saya untuk menulis blog ini.


Siapa yang tidak kenal github? Github sangatlah populer di dunia programming. Banyak orang akan dengan mudah menyalin direktori dan menaruh di situs web mereka tanpa menyadari bahwa mereka mungkin baru saja mengekspos kode sumber situs mereka. Git dan Subversion adalah dua source code menagement atau yang bisa disingkat SCM yang paling populer dan paling banyak dipakai orang-orang yang memiliki website.


  • Git 


Git adalah source code menagement dan berisi folder tersembunyi “.git”. Folder ini pada dasarnya bertindak sebagai snapshot untuk proyek Anda. Setiap kali Anda membuat file git akan menyimpannya ke dalam struktur datanya sendiri. Jika Anda membuka link contohnya https://site.com/.git dan melihat seperti berikut:


dengan membuka file “config” maka anda akan melihat dimana source code tersebut disimpan, tetapi yang vuln tidak harus seperti tampilan diatas, jika anda bertemu dengan error 403 itu bisa saja vuln dengan mengecek site.com/.git/config jika file tersebut terbuka maka dipastikan website tersebut tidak menutup folder .git


  • Subversion 


Subversion ini seperti Git adalah source code menagement dan berisi folder tersembunyi “.svn”. Folder ini juga dapat digunakan untuk membuat ulang kode sumber yang digunakan di situs. Cukup membuka https://site.com/.svn, jika Anda melihat yang berikut ini:



.svn exposed Sama seperti .git tadi jika melihat 403 Forbidden, maka coba untuk membuka filenya, site.com/.svn/entries


  • Mercurial 


Mercurial ini sama seperti source code menagement yang lain dan berisi folder tersembunyi “.hg”. Folder ini juga dapat digunakan untuk membuat ulang kode sumber yang digunakan di situs. Cukup membuka https://site.com/.hg, jika Anda melihat yang berikut ini:



.hg exposed Sama seperti yang dijelaskan diatas, jika melihat 403 Forbidden, maka coba untuk membuka filenya, site.com/.hg/hgrc


  • Bazaar 


Bazaar ini sama dengan source code menagement yang lain dan berisi folder tersembunyi “.bzr”. Folder ini juga dapat digunakan untuk membuat ulang kode sumber yang digunakan di situs. Cukup membuka https://site.com/.bzr, jika Anda melihat yang berikut ini:



.bzr exposed Sama juga seperti yang diatas, jika bertemu error 403, maka cobalah site.com/path/file

Disini saya membuat tools untuk scanner source code menagement diatas:
https://github.com/MD15/Source-Code dengan tools ini kalian bisa mengecheck source code menagement tanpa check satu persatu


Find Exposed Source Code With MD15 Souce Code Tools
scan subdomain

save as list.txt

git clone https://github.com/MD15/Source-Code

cd Source-Code

bash git.sh list.txt (untuk .git)

bash bazaar.sh list.txt (untuk .bzr)

bash svn.sh list.txt (untuk .svn)

bash mercury.sh list.txt (untuk .hg)

Sebernarnya masih banyak lagi Source Code menagement yang belum saya bahas, seperti Monotone dengan foldernya .mtn dan Concurrent Versions System dengan foldernya .cvs, saya tidak bahas ini karena saya belum menemukan web yang pas untuk itu

Update Tools
https://github.com/Adelittle/kobeni

Sekian terima kasih, ditunggu post selanjutnya

« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama
Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.