Bugs Di Website Meetra
Meetra ialah website yang diperuntukan bagi para pencari jodoh di internet yang beralamat di meetra.com/meetra.co.id, ada sekitar 96.000 member yang tergabung untuk mencari jodoh. Website tersebut mungkin sanggup di kategorikan sebagai website komersil alasannya yaitu dalam jangka waktu tertentu member yang tergabung harus mengupgrade accountnya semoga tetap sanggup terhubung dan mencari jodoh di meetra. [Baca : Pengalaman Mencari Jodoh di MEETRA.COM ]
Sebenarnya Saya spesialuntuk iseng – iseng melaksanakan test keamanan website tersebut, beberapa hari sebelumnya Saya memang mengalami sedikit kesusahan untuk menemukan dimana celah website tersebut, tapi kesannya kemarin sekitar jam 09.00 11.30 Saya berhasil menemukan celah keamanannya.
Perlu digaris bawahi bahwa disini Saya tidak akan mengajarkan sesuatu yang bersifat ilegal ataupun merusak, Saya juga tidak akan mengambarkan secara detail apa yang Saya temukan di website meetra.com. Ambil sisi positipnya saja, terutama untuk para developer yang membuatkan web atau aplikasi berbasis web
Disini Saya spesialuntuk ingin berbicara sebagai seseorang yang tidak mengerti problem security/keamanan website, disini Saya spesialuntuk ingin berbicara berdasarkan pengalaman saja bukan sebagai spesialis di bidang keamanan.
Bugs di Website Meetra Saya temukan dengan metode yang sangat sederhana, Saya tidak tahu pastii apakah metode yang Saya gunakan ini yaitu termasuk ‘Injection’ atau bukan, tapi yang terperinci disini Saya spesialuntuk memanfaatkan celah yang terdapat pada form login user. Teman – mitra yang sudah berpengalaman dan hobi dengan dunia hacking niscaya sudah mengerti metode sederhana untuk mengetest sebuah halaman login website.
Sebenarnya Saya spesialuntuk iseng – iseng melaksanakan test keamanan website tersebut, beberapa hari sebelumnya Saya memang mengalami sedikit kesusahan untuk menemukan dimana celah website tersebut, tapi kesannya kemarin sekitar jam 09.00 11.30 Saya berhasil menemukan celah keamanannya.
Perlu digaris bawahi bahwa disini Saya tidak akan mengajarkan sesuatu yang bersifat ilegal ataupun merusak, Saya juga tidak akan mengambarkan secara detail apa yang Saya temukan di website meetra.com. Ambil sisi positipnya saja, terutama untuk para developer yang membuatkan web atau aplikasi berbasis web
Disini Saya spesialuntuk ingin berbicara sebagai seseorang yang tidak mengerti problem security/keamanan website, disini Saya spesialuntuk ingin berbicara berdasarkan pengalaman saja bukan sebagai spesialis di bidang keamanan.
Bugs di Website Meetra Saya temukan dengan metode yang sangat sederhana, Saya tidak tahu pastii apakah metode yang Saya gunakan ini yaitu termasuk ‘Injection’ atau bukan, tapi yang terperinci disini Saya spesialuntuk memanfaatkan celah yang terdapat pada form login user. Teman – mitra yang sudah berpengalaman dan hobi dengan dunia hacking niscaya sudah mengerti metode sederhana untuk mengetest sebuah halaman login website.
Jadi inti kesalahannya terdapat pada form login yang tidak divalidasi dengan benar, sehingga ini memungkinkan terjadinya "Bypass Login" dimana form inputan password sanggup dimanipulasi sehingga seolah berada dalam kondisi "kosong"
Hal pertama yang Saya lakukan tentunya yaitu memasukan parameter tertentu ke form login yang ada di website, dan hasilnya ada pesan error ibarat terlihat dibawah ini
Hal pertama yang Saya lakukan tentunya yaitu memasukan parameter tertentu ke form login yang ada di website, dan hasilnya ada pesan error ibarat terlihat dibawah ini
Apakah itu bugs ? Saya tidak tahu, tapi rasanya untuk sebuah form login seharusnya tidak perlu menampilkan pesan error ibarat diatas.
Selanjutnya Saya mencoba dengan parameter lain dan hasilnya Saya masuk kesalah satu account member, lalu Saya keluar dan masuk lagi, namun kali ini Saya tidak memasukan inputan untuk password, jadi spesialuntuk memasukan paramter string dengan komplemen aksara tertentu kedalam kotak username dan hasilnya Saya masuk ke account yang tidak sama, lalu saya coba kembali memasukan parameter lain dan hasilnya pun Saya masuk ke account yang tidak sama pula, jadi ada tiga account yang Saya dapatkan. Account pertama dan kedua ialah account ialah account standar pas, sedangkan account yang ketiga yaitu account yang sudah di upgrade (sepertinya) soalnya saat memakai account tersebut Saya mendapat akomodasi untuk chating.
Selanjutnya Saya mencoba dengan parameter lain dan hasilnya Saya masuk kesalah satu account member, lalu Saya keluar dan masuk lagi, namun kali ini Saya tidak memasukan inputan untuk password, jadi spesialuntuk memasukan paramter string dengan komplemen aksara tertentu kedalam kotak username dan hasilnya Saya masuk ke account yang tidak sama, lalu saya coba kembali memasukan parameter lain dan hasilnya pun Saya masuk ke account yang tidak sama pula, jadi ada tiga account yang Saya dapatkan. Account pertama dan kedua ialah account ialah account standar pas, sedangkan account yang ketiga yaitu account yang sudah di upgrade (sepertinya) soalnya saat memakai account tersebut Saya mendapat akomodasi untuk chating.
Disini saya agak sedikit heran, untuk account perempuan kebanyakan sudah diupgrade accountnya, sedangkan account member laki-laki kebanyakan spesialuntuk memakai akun standar pass
Dari ketiga account diatas, Saya merasa sedikit guah alasannya yaitu saat saya mencoba dengan parameter lain Saya tidak sanggup masuk ke account member lain namun malah masuk ke account member yang ketiga, jadi Saya pikir ini tidak tertarget, website ibarat spesialuntuk mempersembahkan user secara acak (mungkin). Sebenernya session yang dipakai website juga berdasarkan Saya agak sedikit guah, saat di close tab atau di back account harus login kembali. Saya tidak tahu apakah orang lain mengalami hal yang serupa.
Saya berpikir bahwa tampaknya Saya sanggup masuk ke account member secara lebih tertarget, jadi maksudnya Saya sanggup masuk ke account yang Saya inginkan sesuka hati Saya. Awalnya memang agak sedikit kesusahan, alasannya yaitu Saya tidak tahu nama – nama atau username yang dipakai oleh member tapi ternyata username tersebut sanggup Saya dapatkan tanpa melaksanakan login terlebih lampau. Bila diperhatikan ternyata memang setiap member yang tergabung mempunyai username masing – masing dan urlnya sanggup diakses secara bebas, layaknya ibarat url/user id yang dipakai oleh para pengguna facebook, dan tentunya itu ialah modal utama Saya untuk masuk ke setiap account, alasannya yaitu tadi di awal Saya sudah menemukan kelemahannya.
Hasilnya Saya sanggup masuk ke beberpa account yang ada di meetra, beberapa account tidak sanggup Saya masuki, tapi kebanyakan berhasil Saya masuki, tentunya sanggup masuk tanpa perlu harus tahu password yang dipakai oleh pengguna.
Perlu diingat bahwa disini, saya bukan spesialuntuk berhasil masuk dan melihat saja. Saya juga sanggup melaksanakan edit profil member, melihat email yang digunakannya, chatting, dan mengirim email ke pengguna lain. Ini sangat berbahaya, terutama kalau ada orang yang memanfaatkan celah tersebut untuk melaksanakan hal – hal yang tidak diinginkan ibarat misalnya, melaksanakan penipuan. Cukup prihatin dengan problem ini , mengingat hal tersebut sanggup mengakibatkan kerugian terutama untuk para member yang tergabung.
Apakah Saya sanggup mengganti password dari account yang Saya susupi ? Tidak, Saya sudah mencobanya, tapi gagal. Saya juga mencoba memakai email komplemen supaya Saya sanggup memanfaatkan akomodasi ‘lupa password’ tapi hasilnya, email yang Saya menambahkan tidak di konfirmasi, padahal system website menyampaikan bahwa link pemdiberitahuan email dimenambahkan akan di kirim ke email namun nyatanya tidak ada email yang masuk sama sekali
Selain itu juga ada hal yang membuat Saya sedikit guah, yaitu halaman atau form untuk membalas email, dimana dalam form tersebut Saya sanggup menuliskan arahan html secara bebas, dan berdasarkan Saya itu kurang baik. Coba bayangkan bila dalam form tersebut saya melaksanakan <iframe> ke situs yang sudah saya persiapkan untuk menipu pengguna, tentunya user yang tidak tahu akan sangat praktis sekali terpengaruh untuk memasukan informasi yang sifatnya rahasiah.
Saya sudah menghubungi pihak meetra lewat facebook, dan memdiberitahukan bahwa websitenya ada bugs, dan Saya bilang kalau Saya menemukan bugs di website tersebut, apakah Saya akan didiberi hadiah ? Dan hingga kini belum ada tanggapan sama sekali, padahal bahu-membahu Saya spesialuntuk bercanda, Saya tidak akan benar – benar meminta hadiah apapun kepada mereka kecuali kalau mereka memaksa :v
Saya akan sangat bahagia sekali bila pihak Meetra menganggap apa yang yang Saya temukan ini bukanlah sesuatu yang berbahaya, dan Saya tidak perlu bertanggung tanggapan atas apapun alasannya yaitu Saya sudah memberikan apa yang Saya temukan, problem direspon atau tidaknya itu urusan mereka.
Post a Comment for "Bugs Di Website Meetra"