Kemaren ada yang mengetest security web yang pernah saya buat. Dia mencoba masuk salah satu web yang saya buat, tercatat IP addressnya dan jam nya pukul 18.30. Saat itu memang saya sudah mau pulang. Tapi celaka, dia berhasil masuk. Mengganti password ku, dan lebih celaka lagi kalo halaman admin di otak-atiknya.
Ternyata dia orang yang saya kenal, dia adalah guruku. Wajar dia tahu seluk beluk database yang dipakai karena dia lah yang buat database itu.
Lewat pelajaran itu maka perlu ditingkatkan lagi security webku. Pangkas semua karakter yang tidak perlu, batasi hak akses user.
Mencoba memasuki halaman web seseorang ternyata gampang lewat sql injection. Ada beberapa web yang bisa dimasuki dengan cara itu.
Dengan teknik-teknik seperti ' or =' maka tanpa mengetahui user, kita bisa dilewatkan oleh sql karena secara SQL akan membalikkan keadaan yang kalau salah input menjadi false menjadi true lewat prase or tersebut. Sehingga orang bisa leluasa masuk.
Masalah security web memang krusial. Orang bisa mengacak-acak halaman web kita, mengubah tampilan seperti yang pernah dilakukan oleh Xnuker yang mengobrak-abrik website kpu. Yang dengan sombongnya mengatakan website nya dibangun dengan dana yang bermilyaran. Gara-gara SQL injection tersebut web KPU menjadi seperti tidak berharga nilainya.
Untungnya cuma tampilan yang diacak-acak. Coba kalo database diserang wah bangsa ini bisa kacau, karena web itu diuntukkan untuk perhitungan hasil pemilu.
Saran buat admin web, Untuk mengatasai keisengan seorang menembus login admin, Pangkaslah semua karakter yang berbahaya. Tidak mengizinkan input selain huruf atau angka.
Dan yang paling penting tingkatkan kemampuan Anda dalam security karena semakin hari teknologi semakin canggih, dan semakin mudah seseorang menghack web Anda dengan bantuan tools yang tersebar di internet
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar