Dalam ekosistem digital yang semakin berkembang, keamanan web server menjadi suatu hal yang sangat krusial. Salah satu aspek yang sering diabaikan namun penting untuk diperhatikan adalah mencegah directory listing pada web server. Directory listing atau daftar direktori adalah tampilan struktur file dan folder yang dapat diakses secara langsung oleh pengunjung ketika direktori tersebut tidak memiliki halaman indeks. Keberadaan directory listing yang terbuka dapat menjadi potensi risiko keamanan, memungkinkan pihak yang tidak diinginkan untuk mengeksplorasi struktur file server.
Directory Listing Pada Keamanan Web
Directory listing merujuk pada proses menampilkan daftar file dan folder yang terdapat dalam suatu direktori pada server web ketika tidak ada halaman indeks seperti index.html atau index.php yang tersedia. Dalam konteks keamanan web, directory listing yang terbuka atau aktif dapat menyebabkan potensi risiko serius.
Ketika directory listing diaktifkan, informasi terkait struktur file dan folder server dapat diakses oleh siapa saja yang mengunjungi direktori tersebut melalui browser web. Informasi ini dapat mencakup nama file, ukuran, tanggal pembuatan, dan serangkaian detail lainnya. Jika tidak di kelola dengan baik, directory listing dapat memberikan pemahaman yang mendalam tentang struktur dan hierarki folder server, memfasilitasi potensi ancaman keamanan, seperti eksploitasi kerentanan keamanan, pencurian informasi sensitif, pencarian informasi untuk serangan selanjutnya.
Tutorial
- Tutorial kali ini, katakanlah penulis memiliki web yang sudah di hosting pada 000webhost. Penulis menggunakan web server apache pada provider hosting tersebut.
- Langkah selanjutnya untuk uji coba dan contoh, untuk mengakses URL nya seperti ini :
- Pada pengujian nyata nya, misal penulis mengunjungi dengan URL ini :
- Cara mencegah nya pada web server apache, di dalam direktori bernama backup harus membuat file bernama .htaccess dan isi dengan seperti ini :
- Hasil nya akan mengirimkan kode HTTP 403 yang artinya forbidden access :
- Selesai.
https://<nama-domain>/<nama-direktori>/
https://galihap76.000webhostapp.com/backup/
URL di atas akan valid dan menampilkan daftar isi file direktori pada web server yang di miliki penulis :
Di atas merupakan hasil web server menampilkan daftar isi direktori yang di mana terdapat beberapa file dan yang paling utama adalah file SQL. Pada studi kasus penyerangan, jika terdapat sebuah file yang di simpan di dalam direktori web server yang seharusnya pengunjung web tidak berhak mengakses file tersebut pada di dalam direktori, serangan ini akan bisa terjadi dan menyebabkan informasi pribadi tersebar jika pengunjung sebagai penyerang mencoba mengunduh file SQL nya untuk penyerangan lebih lanjut. Ini bisa berbahaya pada kelangsungan sebuah situs.
Options -Indexes
Perintah tersebut mengatur web server apache agar tidak menampilkan daftar isi direktori ketika pengunjung berusaha mengakses URL di atas. Perlu di ingat, perintah di atas hanya bekerja pada web server apache. Jika kamu menggunakan web server selain apache seperti nginx atau litespeed. Kamu bisa mencari sendiri bagaimana cara mengkonfigurasi web server yang kamu miliki untuk mengatasi hal tersebut.
Penutup
Sebagai penutup nya, lakukan cara di atas pada direktori yang di rasa penting untuk di lindungi. Dengan menggunakan Options -Indexes, administrator server dapat meningkatkan keamanan dengan mencegah pengunjung yang jahat untuk menelusuri struktur direktori secara langsung melalui browser web.
0 Komentar