Mencari Aplikasi Online yang Rentan

Lebih mudah memang untuk mencari – cari kesalahan orang lain. Lain halnya dengan jika mencari kesalahan sendiri. Bukannya kita sendiri tidak memiliki kesalahan, tapi sering kali kesalahan sendiri tidak disadari oleh kita sendiri. Berikut ini akan saya kemukakan temuan saya atas kesalahan orang lain, di bidang IT, khususnya aplikasi online.

Sejak seminggu yang lalu, saya selalu membuka google untuk mencari website yang kira – kira enak untuk “dites”. Kata kunci yang terkandung yang saya gunakan untuk melakukan pencariaan di google antara lain, “go.id”, “joomla”, “bla bla”, “bla bla”. Tujuan utama saya adalah hanya untuk mencari website yang memiliki field untuk input text, sehingga saya bisa “mengerjai” website tersebut dengan cara melakukan input sembarangan karakter dengan jumlah sembarangan pula pada website tersebut. Rencana saya adalah melakukan input field text yang biasanya diisi oleh paling banyak 10 karakter, saya akan mengisinya dengan ratusan karakter lebih, dengan harapan aplikasi website tersebut akan down. Sayangnya, hasil pencarian saya tidak sesuai harapan. Saya hanya menemukan sebuah website yang dibangun di atas framework Codeigniter, yang memiliki field text input yang tidak divalidasi jumlah text yang diinput kedalamnya. Tetapi ketika dicobakan mengisi ratusan karakter lebih ke dalam field text tersebut, hanya muncul pesan error dari web server. Tidak begitu rentan!!

Walaupun tidak begitu rentan, tapi paling tidak kita menjadi tahu framework PHP apa yang digunakan oleh kompas.com, dan mungkin suatu saat saya akan mengemukakan web dengan framework Codeigniter. Kita tahu bahwa framework PHP Codeigniter itu cukup robust. Kita lihat saja nanti.

Percobaan selanjutnya adalah ke sebuah website yang beralamat http://kitamain.com. Berikut screen shot yang berhasil saya dapatkan:

Kemudian menjadi:

Lalu:

Dan ketika saya buka alamat munculnya error berikut di browser lain yang memiliki cookie jelas – jelas berbeda dengan cookie browser sebelumnya, menjadi begini:

Menurut saya, hal ini cukup rentan. Pertama, tidak ada validasi jumlah input yang diberikan oleh user dan validasi format data yang seharusnya diisikan ke dalam field input tersebut, sehingga memungkinkan orang lain berbuat seperti saya ini. Jika saya diberikan waktu sekitar 3 minggu lagi, mungkin saya akan berhasil melakukan XSS attack pada web site ini (devil).

Jika boleh saya menebak – nebak ilmiah, saya rasa web site ini dibangun di atas framework PHP buatan sendiri. Nice try😀

Tambahan:

Info dari teman, yang punya web site ini adalah alumni ITB . Nampak – nampaknya kita satu almamaer tapi beda dosen pembimbing TA, hehe.
*

Kepada yang punya web ini, saya mohon maaf sekali. Ini untuk kepentingan tugas kuliah😀.