Posted on Thursday, 24th September 2009 by rahman
tampilan pada subversion controller yang membandingkan versi source code di sebelah kiri dan kanan
Sebuah kelompok keamanan Rusia telah memposting rincian tentang bagaimana mereka berhasil mengekstrak source code pada 3.300 situs. Grup ini menemukan pada domain-domain web terbesar dan terkenal, seperti apache.org dan php.net, antara lain, adalah rentan terhadap kebocoran informasi yang memperlihatkan struktur dan source code website. Web browser dapat mengekstrak informasi ini dengan mengirim request metadata direktori tersembunyi yang dibuat oleh tools subversion.
Sebenarnya cara ini sendiri telah dikenal sejak lama. Ini adalah kesalahan dari administrator server atau pengembang, bukan kesalahan dari aplikasi tertentu. Yang mengejutkan tentunya adalah seberapa umum masalah ini dan siapa yang akan kena dampaknya. Mencari version control(pengontrol versi pada script) direktori metadata itu semudah mencari ‘. Svn’ atau ‘. Cvs’ path folder di dalam web, misalnya: http://www.test.com/.svn/.
Direktori metadata digunakan untuk melacak perubahan versi source code pada saat development project sebelum kode tersebut dikirim ke server. Masalah muncul ketika kode dikirim ke server langsung dari repositori yang semestinya diekspor dan bukan dikopas (copy-paste) langsung dari lokal komputer.
Pada setting awal, sebagian besar server dikonfigurasiĀ untuk menutup akses ke direktori yang dimulai dengan tanda titik (awalan tradisional untuk file atau folder tersembunyi di UNIX) – yang membuat masalah ini lebih memalukan bagi situs yang terkena dampak tersebut adalah bukan hanya kesalahan management pada pengontrol versi dokumen, tapi merubah pola sistem pada server dengan mengubah setiap file/direktori yang berawalan dot(titik) supaya tidak bisa diakses dari users.
Tags: featured, version control
Kategori Security | Comments (0)
