Sunday, December 27, 2009

Deface Joomla

Mendeface Joomla adalah melakukan serangan yang merusak tampilan website secara diam-diam (tanpa ijin pemiliknya.

Saat mengembara didunia maya, saya menemukan salah satu website korban deface yaitu senayanbowling.com . Entah sejak kapan website ini di-Deface.. yang jelas sampai artikel ini ditulis . website buatan Rajasa ini masih menampilkan pesan dari crakers si-pelaku defacing dan sebuah gambar bertuliskan “Pertamax” yang mengingatkan saya pada trend postingan di sebuah forum terbesar Indonesia.

Waduhh, amit2x deh.. jangan sampai dehh website2x saya kena deface, soalnya hal ini pasti mempengaruhi kredibilitas saya. Belajar dari kesalahan orang lain, saya coba telusuri kemungkinan2x senayanbowling.com ini di-Deface.. Sehingga dikemudian hari saya bisa preventif terhadap serangan deface ini.

Beberapa hasil penelusuran saya terhadap kejadian deface pada senayanbowling , akhirnya saya menemukan beberapa celah pada website itu yang memang memungkinkan untuk diterobos masuk dan di deface.
Celah #1
CMS open-source yang tidak di upgrade

Menggunakan CMS sebagai engine pada website merupakan langkah tepat dalam proses web development, tapi jika CMS tersebut sudah kadaluarsa (tidak di-upgrade) maka langkah tepat tersebut tentu saja menjadi langkah yang kurang bijaksana.

Nahh, Senayanbowling itu menggunakan CMS open-source bernama Joomla , silakan cek pada:

http://www.senayanbowling.com/administrator

maka anda pasti mendapati back-end area yang berisi login box. Saya juga kurang tau persis versi berapa yang digunakan , tapi melihat layoutnya sihh sekitar 68% kemungkinan joomla yang digunakan versi 1.5.x

be

Namanya juga open-source , makanya setiap orang pasti bisa meng-explore tiap baris script code cms tersebut. sehingga perkembangan versi cms opensource ini sangat lah cepat. jika di temukan script code yang lemah atau berbahaya, maka langsung dipersiapkan versi perbaikannya (pacth/upgrade). makanya jika anda menggunakan cms opensource konsekuensinya yaa harus rajin2x upgrade ke versi terbaru.
Celah #2
URL joomla yang default bawaan pabrik

Celah berikutnya dari pengamatan saya terlihat dari URL halaman2x web-nya masih default bawaan pabrik. seperti berikut:

http://senayanbowling.com/index.php?option=com_content&view=article&id=44&Itemid=51

hal tersebut sangat memungkinkan seseorang yang menginjeksi URL tersebut dengan cara mengetikan sebuah parameter/ variable pada address bar dibrowsernya .. bahkan mungkin juga menciptakan query sql yang langsung menyerang sistem database. seremm bener..!

url

btw, untuk merubah URL tersebut (aliasing) pada Joomla anda bisa berkunjung kesini..

Selain aman.. penggunaan aliasing URL (dijoomla dikenal dengan nama SEF URL-Search Engine Friendly URL) ini sangat bagus untuk di-crawl oleh google.
Celah #3
Kemungkinan Username yang masih default (admin)

Pada saat install pertama kali joomla biasanya men-set username login administrator bernama “admin” . jika tidak diganti maka kemungkinan kombinasi login sudah pasti berkurang 50% , tinggal nebak passwordnya aja..

Nahh, cara dapetin passwordnya berkaitan dengan kemungkinan pada celah 1,2 dan 3 diatas adalah seperti ini :

Step #1

Karena urlnya tidak di-aliasing (celah #2) maka bisa dilakukan injeksi padafasilitas remote change password admin (token) dengan cara mengetikkan string diurl seperti ini :

http://www.senayanbowling.com/index.php?option=com_user&view=reset&layout=confirm

nanti akan keluar form isian field token dengan tombol submit :

token

Step #2

Disinilah terdapat celah#1 berupa kesalahan script code joomla yang kadaluarsa (belum di upgrade).

Masukkan karakter ” ‘ ” (kutip satu) di dalam field box tersebut , sehingga dapat memancing keluarnya form reset admin password

reset

masukkan password terserah aja.. hal itu mengakibatkan tergantikan-nya password lama admin dengan password yang baru saja dimasukkan.

Step #3

Finishing step! Setelah merubah password admin , selanjutnya masuk pada bagian administrator back-end

http://www.senayanbowling.com/administrator

Jika kemungkinan celah #3 benar (username masih menggunakan “admin”) berarti tinggal masukkan kata: “admin” dikolom username dan password yang dirubah tadi pada kolom password.

Kalo sudah di taking over oleh cracker, harapan terakhir adalah mengambil alih lagi account administrator melalui cpanel / phpmyadmin di-hostingannya .

(sumber: http://www.tentangrifai.com/2009/01/senayanbowlingcom-di-deface-mari-diungkap-celah-keamanannya/)

Related Posts by Categories



Widget by Scrapur
Posted by Yonie Iraone at 8:41 PM

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)