Sesuai dengan tujuan (utama) pembuatan blog ini, mari kita bahas tugas pertama dari Pak Budi ini, hehe. Tugas kali ini cukup sederhana, yakni mencari aplikasi online/situs-situs yang rentan. Apa maksudnya rentan disini? Rentan disini maksudnya situs-situs yang kurang baik dalam segi keamanan. Contoh sederhana yang dapat dilakukan untuk mengetes keamanan ini misalnya memasukkan string yang sangat panjang diikuti dengan memasukkan karakter-karakter 'aneh'(misal : !@#$%^&*()_+}{":?><) pada sebuah text field pada situs tersebut atau menggunakan SQL Injection.
Berhubung situs yang rentan terhadap SQL Injection sudah tidak terlalu banyak, dan saya juga tidak punya banyak waktu karena harus mengejar ini itu, maka setelah bertapa beberapa detik saya putuskan untuk menggunakan cara pertama saja (yay!). Jari jemari pun mengetik kata www.google.com ntah kenapa. DOR! ternyata percobaan pertama langsung berhasil, berikut gambar yang saya peroleh dengan memasukkan string sangat panjang :
Mmm, karena spek soalnya menyebutkan
Situs imdb ini malah mengira query yang saya lakukan sebagai sebuah halaman web yang kemungkinan besar tidak ada (mana ada orang yang memberi nama file seperti query yang saya ketikkan, bener ga? xD)
Ok, tugas ini memang kelihatan sepele, tapi ini menyadarkan kita pentingnya validasi, terutama jika ada pengguna iseng seperti kami, para pengambil kuliah Keamanan Informasi :p
Berhubung situs yang rentan terhadap SQL Injection sudah tidak terlalu banyak, dan saya juga tidak punya banyak waktu karena harus mengejar ini itu, maka setelah bertapa beberapa detik saya putuskan untuk menggunakan cara pertama saja (yay!). Jari jemari pun mengetik kata www.google.com ntah kenapa. DOR! ternyata percobaan pertama langsung berhasil, berikut gambar yang saya peroleh dengan memasukkan string sangat panjang :
Mmm, karena spek soalnya menyebutkanMisalnya, ada form yang jika diisi dengan teks yang sangat panjang dia memberikan pesan error atau bahkan crash.Saya anggap saja contoh di atas memenuhi,, hehe. Saya pun menulis keyword "search" di google. Pencarian pun selesai dan mengeluarkan banyak hasil. Saya pun memilih www.imdb.com sebagai korban berikutnya. Setelah text saya masukkan, hasilnya ternyata lebih meyakinkan :
Situs imdb ini malah mengira query yang saya lakukan sebagai sebuah halaman web yang kemungkinan besar tidak ada (mana ada orang yang memberi nama file seperti query yang saya ketikkan, bener ga? xD)Ok, tugas ini memang kelihatan sepele, tapi ini menyadarkan kita pentingnya validasi, terutama jika ada pengguna iseng seperti kami, para pengambil kuliah Keamanan Informasi :p
Tidak ada komentar:
Posting Komentar