Lebih dari 390.000 Pemilik Website tidak Melindungi Direktori “.git”-nya dengan Benar – Spesialis keamanan dari Ceko Vladimir Vladimirovich Smitka memindai 230 juta domain dan menemukan bahwa administrator situs sangat sering meninggalkan katalog .git yang tidak dilindungi dan dapat diakses oleh pihak ketiga. Jadi, total lebih dari 390.000 situs web dan direktori .git mereka tersedia untuk diunduh.
Pakar memutuskan untuk melakukan penelitian global setelah mempelajari situs Ceko dan Slovakia, di mana ia menemukan hampir 2000 resource dengan katalog .git yang terbuka.
Smith menjelaskan bahwa situasinya sangat buruk, karena penyerang dapat menemukan katalog semacam itu dan menggali berbagai informasi, mulai dari data struktur situs, dan diakhiri dengan kata sandi, kunci API, pengaturan IDE dan sebagainya.
Menggunakan akses ke .git, penyerang dapat secara bertahap menciptakan repositori git situs, memeriksa library yang digunakan oleh situs dan menggunakan pengetahuan ini untuk mencari potensi kerentanan. Karena struktur .git diketahui, penyerang dapat memulai dengan memeriksa /.git/HEAD, /.git/config, /.git/index, /.git/refs/heads/maste, /.git/logs/HEAD dan secara bertahap bergerak maju.
Smith menulis bahwa beberapa informasi tidak boleh disimpan di repositori sama sekali, tetapi tidak semua pengembang berpikir tentang potensi masalah keamanan.
Ia mengatakan bahwa motivasi untuk pemindaian global adalah fakta bahwa ia dengan mudah berhasil menghubungi pemilik sumber daya Ceko dan Slowakia yang rentan. Faktanya adalah bahwa dalam keadaan normal, seharusnya tidak ada apa pun yang tersedia secara publik di <situs web>/.Git/HEAD. Tetapi pada sumber daya rentan dengan cara ini Anda dapat melihat daftar komit dan informasi tentang kontributor, termasuk alamat email mereka.
Hasilnya, pertama Smith mengirimkan peringatan kepada administrator dari 2000 sumber daya rentan, dan dikirim kembali sebulan kemudian. Katalog .git yang masih tersedia hanya 874, artinya jumlah situs yang rentan menurun hampir 55%.
Sekarang, setelah pemindaian global, Smith mengirim lebih dari 90.000 surat peringatan kepada administrator sumber daya bermasalah, di mana ia secara singkat menggambarkan bahaya dan memberi tautan ke situsnya yang didedikasikan untuk masalah tersebut.
Smith juga menambahkan setelah pengiriman email tersebut dirinya menerima hampir 2.000 email ucapan terima kasih, 30 false positive, 2 tuduhan scammer/spammer, dan 1 ancaman untuk memanggil polisi Kanada. (yuyudhn/linuxsec)
