Ceroboh atau memang tidak mengerti?

Tulisan ini adalah tugas kuliah II3062 Keamanan Informasi tentang keamanan pada aplikasi web. Berikut adalah deskripsi tugasnya (copy-paste dari web blendedlearning):

Tugas Anda adalah mencari aplikasi online (mungkin yang berbasis web) yang mungkin memiliki celah keamanan. Misalnya, ada form yang jika diisi dengan teks yang sangat panjang dia memberikan pesan error atau bahkan crash. SQL injection jug boleh.

Beberapa web yang saya temukan adalah sebagai berikut:

Website Resmi Kabupaten Muaro Jambi

Ini adalah skrinsut tampilan website pada pengoperasian normal:

Normal

Dan ini adalah tampilan website jika dioperasikan secara tidak normal😛

'Tidak normal'

Perhatikan URL pada address bar Firefox.

http://www.muarojambi.go.id/vdata.php?file=hpokok.htm

dan

http://www.muarojambi.go.id/vdata.php?file=../../../../../../../../../etc/passwd

Skrip PHP vdata.php melakukan include file html yang akan ditampilkan. Sayangnya, entah ceroboh atau tidak tahu (atau memang sengaja?😀 ), pembuat skrip tidak melakukan pengecekan terhadap nama file yang dimasukkan lewat URL sehingga file yang ada pada server web tersebut dapat dibuka.

Dampaknya?

Seseorang bisa saja mengakses file /etc/passwd untuk mengetahui user apa saja yang ada pada server dan file-file penting lainnya.

Bahaya?

Tergantung orangnya😀

Website http://almunawwir.com/index.php?hal=testing.tes juga mirip.

Website Resmi Pemerintah Kota Pariaman

http://www.kotapariaman.go.id/profil.php?tid=6%27%20mencoba;%20–%20njajal

Website ini memungkinkan melakukan SQL Injection melalui URL.

Website Resmi Pemerintah Aceh

http://www.acehprov.go.id/Search?q=%27adf%27–testing

Sama, masih SQL Injection.

Sekian tulisan saya untuk tugas ini.

Terima kasih.

🙂

Disclaimer: Isi tanggung jawab pembaca.