Setelah beberapa pekan terakhir saya berseluncur khususnya di website-website Indonesia banyak sekali yang saya temukan. Dan akan sedikit saya share disini mengenai yang saya temukan disini, tapi sekali lagi sebelum saya share disini, jauh-jauh hari saya sudah mengingatkan webmasternya atau administratornya dengan contoh melalui email, log, dll.
Apa saja yang saya temukan:
- Menampilkan/Mengupload File yang menurut saya tidak semestinya di upload atau Fatal. Silahkan Klasifikan sendiri :p.
Mau itu terpublish atau tidak. Contoh kasus kita mengupload file .sql(berisi dump database). Pertanyaan selanjutnya apakah file tersebut bisa diselancar dan dicari? Jawabannya kemungkinan bisa! Karena beberapa features mesin pencari google bisa kita gunakan untuk ini. Sekali lagi, mau itu penting, tidak penting, rahasia, atau apapun tolong jangan sekali-kali asal upload ke server yang akhirnya menjadi boomerang untuk web/server tersebut.
Kita contohkan saja
Google Dork:Inurl:go.id Filetype:sql Intext:INSERT
Silakan dicoba! Atau kita rubah menjadi Inurl:.id - Memakai plugin yang memiliki vuln.
Saya sarankan developer sebelum memasang plugin dalam sebuah website untuk mencari tahu dahulu apa ada atau tidak bugs dalam plugin tersebut. Dan saya sangat sarankan lagi untuk membaca dan memahami kembali coding dalam plugin tersebut, karena biasanya ini bisa menyasar kemana-mana. Atau bisa dibilang efeknya dominos dan berkaitan dengan lainnya. - SQL Injection.
Ini pun sama, biasanya banyak developer tidak mengindahkan dan memahami apa itu SQL injection. Biasanya dalam feature shared hosting sudah mulai ditutupi dengan plugin plugin untuk menutupi ini. Tapi sekali lagi saya harapkan developer pun menjaga agar code yang dibuatnya tidak memiliki potensi untuk dimasukan sesuatu yang akhirnya menjadi fatal.
Biasanya bagi mereka yang masih belum memahami ini akhirnya database bisa tercuri dan fatalnya lagi efek ini berkelanjutan. Dalam beberapa kasus seorang yang telah melewati SQL Injection bisa memasuki page administrator dan memasang backdoor. Apa itu shell, atau bahkan bisa sampai root(user tertinggi) dan akhirnya saya tidak perlu memberi tahu lagi apa efeknya.
Contoh paling yang sangat fatal adalah saya berhasil melihat isian database dari website sumselprov.go.id
Tapi sekali lagi saya tidak melakukan apa-apa, saya hanya meneliti saja di dalamnya. Dan sudah saya ingatkan melalui beberapa kali email, jawabannya: tidak ada balasan :)) - Unrestricted File Upload
Di beberapa kasus juga biasanya para developer tidak mengindahkan dan memahami code yang dibuatnya. Akhirnya, sekali lagi siapapun bisa mengupload backdoor kedalam server tersebut. Dan efeknya? Silahkan dicoba sendiri :D saya sudah jelaskan diatas.
Sekali lagi sebetulnya masih banyak, tapi hanya itu dulu yang saya sampaikan. Harapan dan saran untuk kita semua untuk menjaga keamanan website sederhanan sekali. Aktif dalam forum, update, baca, dan jangan makan gaji buta:))
Aktif dalam artian memiliki keinginan untuk terus memperbaharui apabila setelah di analisis/dilaporkan memiliki banyak kekurangan dan celah keamanan.
Beberapa kasus disini sekali lagi hanya sebagian besar, dan masih banyak yang belum saya ketahui dari berbagai aspek lainnya. Mungkin nanti dapat ditambahkan oleh teman-teman yang lain.
Jadi kesimpulannya adalah : Mari Menjaga Keamanan Website :)
Sedikit quotes untuk para web developer untuk lebih semangat dan bekreasi:
Aktif dalam artian memiliki keinginan untuk terus memperbaharui apabila setelah di analisis/dilaporkan memiliki banyak kekurangan dan celah keamanan.
Beberapa kasus disini sekali lagi hanya sebagian besar, dan masih banyak yang belum saya ketahui dari berbagai aspek lainnya. Mungkin nanti dapat ditambahkan oleh teman-teman yang lain.
Jadi kesimpulannya adalah : Mari Menjaga Keamanan Website :)
Sedikit quotes untuk para web developer untuk lebih semangat dan bekreasi:
Most good programmers do programming not cause they expect to get paid/get adulation by the public, but cause it is fun to program. ~Linus Torvalds
Akhir kata, SALAM BERSAMA!! Hehehe
