Tuesday, February 23, 2010

Keamanan Informasi -- error pada aplikasi

"Tugas Anda adalah mencari aplikasi online (mungkin yang berbasis web) yang mungkin memiliki celah keamanan. Misalnya, ada form yang jika diisi dengan teks yang sangat panjang dia memberikan pesan error atau bahkan crash. SQL injection jug boleh."

--tugas kuliah II3062

Hmm, pesan error ya.. baiklah, saya iseng2 membuka web pemerintahan http://bandung.go.id/?fa=sekilas.detail&id=13 .. lalu iseng2 aja mengganti id=13 menjadi id=* . alhasil, halaman yang tadinya seperti ini:


berubah seketika menjadi:


dengan pesan error: Fatal error: Call to a member function RecordCount() on a non-object in /data1/web/public_html/site/sekilas/qry_content_detail.php on line 8

setelah dilihat pesan errornya, ternyata kesalahan terletah pada kode php-nya. si pengembang tampaknya tidak memikirkan hal seperti ini akan terjadi.. heu.

sedangkan untuk sql injection, tampaknya web2 sekarang sudah dilengkapi dengan pengamanan sekelas densus 88.. akan tetapi, saya menemukan halaman http://www.thewiggles.com.au/au/mediacentre/login.asp dan iseng2 nyoba memasukkan query: xxx;' show tables;



niatnya sih pengen liat tabel2 yang ada aja, eh ternyata malah muncul error (maklum saya masih cupu) seperti ini:




hoo.. dia pake ODBC... saya tidak terlalu paham ODBC,, heu...
nah, begitulah bapak2, ibu2, adek2, kk2, penjelasan hari ini.. mohon maaf buat yang menjadi objek keisengan saya... m(_ _)m

Labels: , ,

0 Comments:

Post a Comment

Subscribe to Post Comments [Atom]

<< Home