Sunday, February 27, 2011

Defacing

Defacing merupakan bagian kegiatan hacking yang konteksnya terjadi pada website/web application dengan tujuan untuk merubah tampilan halaman website, merubah struktur dari tampilan tanpa melalui source code yang sebenarnya dan tanpa diketahui oleh si pemilik website (administrator/developer-nya). 

Di Indonesia sendiri, kasus defacing website terbilang cukup banyak. Masih ingatkah anda saat Pemilu beberapa tahun yang lalu, Situs KPU dihack sehingga nama-nama partai berubah, defacing situs BP POM, defacing situs Mahkamah Agung, Defacing situs KPK dan masih banyak lagi. Banyaknya kasus defacing ini menandakan kurangnya perhatian dari developer atau administrator dari situs/website akan masalah keamanan situs yang mereka kelola, sehingga terkesan situs yang mereka kelola itu "asal-jadi" saja tanpa memikirkan soal keamanan dan hal lainnya.


Defacing biasanya dilakukan dengan memanfaatkan celah keamanan seperti Bug pada Webserver, atau dengan melakukan "Script Injection" (PHP, SQL, dll)  ke Server korbannya. Biasanya situs yang  terkena deface masih memakai webserver M-IIS (Microsoft Internet Information Server) versi 4.0 atau 5.0, karena pada versi tersebut terdapat sebuah bug yang biasa disebut Unicode Bug sehingga memungkinkan defacer (sebutan untuk orang yang melakukan kegiatan defacing) untuk mengakses root dari webserver. Setelah root dapat dikuasai, website dapat bebas dimanipulasi.

Kegiatan defacing ini sendiri  menurut penulis mempunyai efek postif dan negatif masing-masing. Efek positifnya, dengan adanya defacing pada sebuah website para developer akan sadar bahwa masih ada celah keamanan yang dapat digunakan untuk melakukan kegiatan-kegiatan defacing tersebut, sehingga diharapkan adanya perbaikan atau penambalan lubang keamanan sehingga website menjadi lebih aman. Penulis pernah membaca sebuah artikel berita mengenai komunitas hacker yang dengan sengaja melakukan defacing beberapa situs yang memang tingkat keamanannya sangat lemah dengan kemudian menuliskan pesan berbunyi  "Sebelumnya kami minta maaf sebesar-besarnya. Tidak ada maksud apa-apa dari pihak kami. Kami hanya mengetest sistem keamanan web saudara. Tolong perbaiki sistem keamanan web anda sebelum jatuh ke tangan orang yang tidak bertanggung jawab!". Tentu hal ini sangat baik bagi para developer dan administrator web. Namun disisi negatifnya, tentu saja kegiatan ini menimbulkan kerugian seperti pencurian data (password,dll), pengubahan informasi sehingga menimbulkan kesalahan persepsi, dll.

Berikut ini ada beberapa tips untuk meminimalkan defacing lewat penggunaan SQL Injection yang dikutip dari sebuah webblog :
  1. Warning atau Error pada query tidak perlu ditampilkan. Lebih baik dibuat script yang akan langsung memfeedback log error/warning ke developer/adminnya jika terjadi kesalahan query, sementara di end-user bisa ditampilkan, misal error 404 :D.Kalau Anda pernah / sering hosting di beberapa web hosting, pastinya ada beberapa web hosting yang memberikan penamaan yang sama untuk direktori usernya (shared hosting), misal /sompret/x2324/nama-domain (dimana sompret selalu sama untuk setiap user dalam satu mesin, x2324 adalah username, dan nama-domain adalah nama domain yang digunakan si x2324. Pesan warning dan error query yang terjadi akibat script akan menampilkan path letak file tersebut. Akan lebih parah lagi jika user memberi permission 777 ke dir / file.
  2. Developer hendaknya melakukan validasi terhadap URL dan memfilter bentuk request yang menjurus terhadap tindakan injeksi.
  3. Jangan pernah dumping database ke direktori yang tidak restrict permissionnya / publik. Dan lagi penamaan terhadap file hasil dumping database diusahakan tidak umum seperti pemberian tanggal-bulan-tahun (misal : 13071984.sql). Beberapa third party atau extension / module suatu CMS yang menggunakan konfigurasi default bisa ditebak direktori dan nama filenya.
  4. Lakukaan audit sendiri dengan berbagai macam tools yang ada.
  5. Baca artikel & tutorial, atau tonton video, untuk SQL Injectionnya, dengan ini yang bertahan bisa tahu jenis-jenis serangan yang mungkin dilakukan penyerang.
  6. Jika biaya mencukupi tidak ada salahnya konsultasi dengan pihak yang lebih professional untuk masalah security.

Sumber :
http://gedex.web.id/archives/2007/07/02/microsoft-kena-deface-lagi-lagi-lagi-sql-injection/
http://fairuzzaqy.wordpress.com/apa-itu-defacing/
http://loktavia.blogspot.com/
Diposkan oleh di
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)