Kembali lagi dengan https://daffa.info, disini saya akan membahas tentang source code yang tidak tertutup yang bisa mengakitbatkan terdapat file file yang tidak diinginkan terlihat. Mohon maaf jika saya baru membuat post sekarang dikarenakan banyaknya tugas kuliah yang menghambat saya untuk menulis blog ini.

Siapa yang tidak kenal github? Github sangatlah populer di dunia programming. Banyak orang akan dengan mudah menyalin direktori dan menaruh di situs web mereka tanpa menyadari bahwa mereka mungkin baru saja mengekspos kode sumber situs mereka. Git dan Subversion adalah dua source code menagement atau yang bisa disingkat SCM yang paling populer dan paling banyak dipakai orang-orang yang memiliki website.

  • Git

Git adalah source code menagement dan berisi folder tersembunyi “.git”. Folder ini pada dasarnya bertindak sebagai snapshot untuk proyek Anda. Setiap kali Anda membuat file git akan menyimpannya ke dalam struktur datanya sendiri. Jika Anda membuka link contohnya https://site.com/.git dan melihat seperti berikut:

.git exposed

dengan membuka file “config” maka anda akan melihat dimana source code tersebut disimpan, tetapi yang vuln tidak harus seperti tampilan diatas, jika anda bertemu dengan error 403 itu bisa saja vuln dengan mengecek site.com/.git/config jika file tersebut terbuka maka dipastikan website tersebut tidak menutup folder .git

  • Subversion

Subversion ini seperti Git adalah source code menagement dan berisi folder tersembunyi “.svn”. Folder ini juga dapat digunakan untuk membuat ulang kode sumber yang digunakan di situs. Cukup membuka https://site.com/.svn, jika Anda melihat yang berikut ini:

.svn exposed

Sama seperti .git tadi jika melihat 403 Forbidden, maka coba untuk membuka filenya, site.com/.svn/entries

  • Mercurial

Mercurial ini sama seperti source code menagement yang lain dan berisi folder tersembunyi “.hg”. Folder ini juga dapat digunakan untuk membuat ulang kode sumber yang digunakan di situs. Cukup membuka https://site.com/.hg, jika Anda melihat yang berikut ini:

.hg exposed

Sama seperti yang dijelaskan diatas, jika melihat 403 Forbidden, maka coba untuk membuka filenya, site.com/.hg/hgrc

  • Bazaar

Bazaar ini sama dengan source code menagement yang lain dan berisi folder tersembunyi “.bzr”. Folder ini juga dapat digunakan untuk membuat ulang kode sumber yang digunakan di situs. Cukup membuka https://site.com/.bzr, jika Anda melihat yang berikut ini:

.bzr exposed

Sama juga seperti yang diatas, jika bertemu error 403, maka cobalah site.com/

Disini saya membuat tools untuk scanner source code menagement diatas:
https://github.com/MD15/Source-Code dengan tools ini kalian bisa mengecheck source code menagement tanpa check satu persatu

Dan masih banyak lagi Source Code menagement yang belum saya bahas, seperti Monotone dengan foldernya .mtn dan Concurrent Versions System dengan foldernya .cvs, saya tidak bahas ini karena saya belum menemukan web yang pas untuk itu

Sekian terima kasih, ditunggu post selanjutnya