Senin, 22 Februari 2010

[II3062] String Panjang dan Aneh yang Harus Diperhitungkan

Jujur saja, postingan kali ini ditulis karena adanya tugas mata kuliah II3062 - Keamanan Informasi, hehe, secara spesifikasi, tugasnya tampak lumayan simpel, yaitu berusaha mencari situs-situs yang 'kurang' dari segi keamanan, dan kali ini, pengetesan dilakukan dengan cara yang sederhana, misal dengan mengisi text field dengan string yang sangat panjang dan penuh dengan karakter aneh untuk menguji bagaimana validasinya, atau jika mau lebih ciamik lagi dengan menggunakan teknik SQL Injection. Namun, menimbang kemampuan pribadi dalam web programming, kayanya cara pertama lebih 'pasti-pasti aja', hehe.

Lalu, setelah berpikir dan mengobrol-ngobrol dengan beberapa teman, akhirnya terputuskan untuk mencari situs web yang dibuat dengan tidak menggunakan framework ataupun CMS, dengan asumsi ujian-ujian sesimpel itu sudah tertangani dengan baik. Lalu setelah keliling-keliling situs pribadi di domain co.nr dan situs-situs pemerintah, tidak tahu apakah memang kurang beruntung ataupun rata-rata situs web telah dikembangkan dengan menggunakan framework dan CMS, saya gagal menemukan celah tersebut, hoho.

Lalu iseng-iseng ingin menguji situs-situs search engine sekalian, walaupun pertama agak pesimis juga, tapi dilakukan juga, ujian pertama dilancarkan terhadap situs mesin pencari milik Microsoft, yaitu Bing.com, saat diuji dengan keyword "dominikus damas", dia baik-baik saja

Namun, tak disangka, tak dinyana, saat dicoba dimasukkan string yang panjang dan penuh dengan karakter bukan alfabet, seperti:

*(!)&@*(_!&@_()(!)(&@(!^@*!!*(!)&@*( ... dst

Browser mengeluarkan pesan error yang tampaknya berasal dari error yang tidak terhandle oleh sistem:


Halaman tersebut bertuliskan:

Bad Request

Your browser sent a request that this server could not understand.
Reference #7.cd2da9ca.1266848429.0

Lalu, 'keberhasilan' di Bing membuat penasaran untuk search engine lain, yang kemudian akhirnya mencoba incari.com, yang merupakan situs pencari web Indonesia, langkah yang sama dilakukan, dicoba dengan keyword 'dominikus damas' (yang menghasilkan zero result, hehe), dan kemudian dengan string yang panjang dan penuh karakter aneh, dah hasilnya adalah sebagai berikut:


Forbidden

You don't have permission to access /direktori/index.php on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Setelah sedikit menelaah dengan googling dan sekaligus bertanya pada seorang teman yang memang seorang dewa di bidang web programming, disimpulkan bahwa si web itu mempunyai ErrorDocument yang harusnya menghandle saat terjadi error, namun entah mengapa, si folder tersebut ter-'larang' dan kemudian malah muncul 404 Not Found Error.

Demikian kira-kira, mungkin keyword berupa string yang sangat panjang dan penuh dengan karakter aneh hanya akan diberikan oleh orang yang sedang iseng dan kurang kerjaan saja, namun lebih baik lagi bila hal-hal seperti ini divalidasi dan ditangani dengan baik.

Cheers. :D

Tidak ada komentar: