Artikel kali ini hanya iseng aja bukan berniat sok jago jadi hacker. Sebagai sesamma pengembang aplikasi berbasis web, penulis mencoba beberapa kelemahan yang ada pada sistem yang penulis bangun degan mempelajari beberapa kelemahan sistem millik pihak lain, dimana kelemahan tersebut akan dijadikan dasar untuk perbaikan keamanan.
Pada kasus kali ini penulis mencoba mengecek sisi sekuritas login dari sistem informasi akademik milik SKIP MUHAMADIYAH KUNINGAN. sistem yang penulis coba penetrasi adalah sistem informasi untuk para dosen dimana dosen melakukan login untuk mengelola aktifitas akademik nya.
Tidak banyak kata karena penulis juga bukan hacker kita langsung saja penulis gambarkan step by step proses penetrasi ke sistem terebut.
- Masuk ke halaman login
- Mengecek format username dan password dengan cara mengisi sembarang user dan password pada area otentifikasi. Kesimpulanna dari pesan error diperoleh bahwa username berupa nomor induk karyawan dan password standar adalah tanggal lahir dengan format dd/mm/yyyy
- Mencari username, anda tidak usah bingung apa username nya karena haalaman login sendiri telah menyediakan pencarian username, untuk mengetahui seluruh uername ketik saja tanda % pada kotak pencarian NIK, maka akan tampil seluruh username.
Apa arti tanda %, dalam SQL tanda % melambangkan karakter apa saja sehingga penulis dapat menggambarkan script sql pencarian username dalam syntax sql akan tampak seperti ini (nama tabel adalah fiktif):
select * from tbluser where nama like ‘%%%’
hasilnya adaah menampilkan seluruh data dosen beserta NIK-nya ๐
- Tahap berikutnya adalah pencarian tanggal lahir dosen, penulis hanya memanfaatkan google untuk proses pencarian tanggal lahir karyawan atau bahkan bisa juga menggunakan Facebook (ingat facebook menampilkan tanggal lahir !!! makanya jangan sembarangan menyimpan informasi pribadi di dunia maya !).Penulis tidak akan menjelaskan lebih jauh lagi tentang proses pencarian silahkan coba sendiri :p
- Setelah ketemu username dan password lakukan login
- Dan ketika berhasil anda akan masuk ke area user
- Tahap terahir lakukan perubahan password dan email (bila perlu) tapi jangan email anda … buat dulu email baru untuk menyembunyikan identitas anda
- Kebetulan user yang penulis peneterasi belum ada data apapun tentang akademik mahasiswa, sungguh fatal apabila terdapat data dan dosen memiliki hak akses untuk melakukan perubahan data…
- Logout dan selesai ! kalau berbaik hati hubungi admin kasih saran untuk perbaikan sistem….so don’t be a black hacker !!!
SARAN UNTUK ADMIN
- Jangan pernah mempublikasikan username dalam bentuk apapun. Dalam kasus ini adalah dengan menyediakan kotak pencarian user.
- ย Jangan pernah memberikan error warning saat login berupa informasi format login dan password
- Jangan pernah menggunakan tanggal lahir sebagai password standar
- Ketika user diberi password standar, buat halaman yang memaksa user untuk merubah password terlebih dahulu kemudian setelah password di rubah baru bisa login artinya password standar berlaku hanya ketika user belum pernah login, ketika user belum mengganti password standar maka jangan pernah menampilan menu apapaun di aplikasi yang dibangun, hal ini untuk mengingatkan user bahwa dia belum melakukan perubahan password.
- Gunakan captcha dan cookies dengan pembatasan akses gagal login, tentukan berapa kali user boleh salah password, misal tiga kali, ketika user tiga kali salah username dan password maka IP User langsung di blok oleh sistem.
- Gunakan filter untuk sql injection, dalam kasus ini sistem informasi STKIP Muhammadiyah sudah mengimplementasikan Filter teradap SQL Injection.
KESIMPULAN
Sebuah sistem bisa di tembus tidak mesti menggunakan hacking tehnik canggih seperti SQL Injection, XSS, Remote File Inclusion, Brute Force Attack dan lain-lain.
Tehnik hacking yang paling berbahaya dan tidak ada penangkalnya adalah Social Engineering, salah satu caranya adalah memanfaatkan kelengahan dari admin atau pengembang software dalam membuat sistem. Nah dalam hal ini penulis hanya melakukannya dengan Social Engineering !!!
Wallahu Alam Bishawab
saya pengembang SIAK ini, juga karyawan di Biro TI.
saya sudah sadari ini dari awal pembuatan, namun terlambat antisipasi sampai anda mencoba masuk. hee
thanks bro.
asa
@fazrin : cuma mengingatkan aja ga ada maksud ngacak-ngacak … sekecil apapun hole di web adalah awal bencana besar … (no more secure in networking)
tapi mohon ini postingan di delete aja, bisa kan pa?
Wah…kl hapus ga bisa…seumur2 sy ngeblog blm pernah hapus posting…
nice one bang oz. untung holenya diketahui orang baik, coba kalo orang jahat yang tahu bisa dirusak tuh. padahal biaya penetrasi sistem itu bisa jutaan loh, tapi ini dikasih gratis… dua jempol buat bang oz… ๐
aya nu copas artikelnya nya kang OZ…tak beretika..!!
sbenernya udah tau, cuman telat antisipasi aja, keduluan deh.
aya nu copas artikel na nya kang OZ…
Tak berEtika orang teh
Tidak berbesar hati untuk berterima kasih…dah biarlah gpp…hanya Allah yg bisa membalas kebaikan…harap cooling down saja…mari kita kembali aktifitas yg lebih produktif
ini juga nice
http://azidan.com/artikel-130-hacking-sistem-akademik-universitas-kuningan-uniku.html
bang kalo ga ada pencarian nik nya gimana yaa ??
mas cara ini apa berlaku untuk website universitas lain juga?
ga mas..tergantung sistem nya