Rabu, 20 Juni 2012

Website dan Celah Keamanan

Berikut ini adalah beberapa website yang memiliki celah keamanan yang bisa ditembus oleh "tangan-tangan jahil" .

1. nama website : timthumb.php di Blog WordPress
1
 - celah kemananan :  
  • Jika theme blog anda menggunakan thumbnail yang menampilkan gambar-gambar di sidebar atau footer, itu artinya theme blog menggunakan timthumb.php. Sebaiknya core script yang ada di timthumb.php harus segera anda update. Mengapa ? Karena ada celah keamanan fatal yang bisa ditembus oleh hacker/defacer.
  • Beberapa saat yang lalu banyak blog berbasis WordPress kebobolan dan di-deface gara-gara celah keamanan di timthumb.php ini dieksploitasi oleh hacker. Dengan mengeksploitasi celah tersebut maka seorang hacker dapat menginjeksikan scriptnya untuk dapat mengambil alih blog orang lain. 
- Pencegahan:
  • Cara pertama menggunakan plugin bernama Timthumb Vulnerability Scanner, unduh disini. Apa yang dilakukan oleh plugin ini ? Scans your wp-content directory for vulnerable instances of timthumb.php, and optionally upgrades them to a safe version. Cukup menginstall plugin ini lalu scan apakah timthumb.php anda sudah ada di versi yang aman atau belum. Jika belum aman, ia akan segera mengupgradenya ke versi yang aman (versi 2 ke atas). Setelah diupgrade, dianjurkan anda untuk segera mendelete plugin Timthumb Vulnerability Scanner karena ia hanya berfungsi satu kali saja. Selebihnya tidak ada lagi. Karena itulah segera hapus saja setelah digunakan. Menyimpan terlalu banyak plugin hanya akan memberatkan database, boros di bandwidth dan memperlambat loading time blog anda.
 
  • Cara kedua: mengedit secara manual timthumb.php . Anda bisa mengeditnya langsung di dashboard admin via themes editor, bisa melalui control panel atau via FTP. Masuk ke directory theme blog anda, cari file timthumb.php. Ubah permissionnya ke 777 agar file tsb dapat diedit. Hapus semua yang ada di dalam file timthumb.php. Sekarang timthumb.php di blog anda telah diupdate dan tidak ada lagi celah keamanan tersebut.
 
2. nama website : joomla
1
- celah keamanan :  
  • Joomla merupakan salah satu content management system (CMS) yang cukup populer. Namun, Joomla terbaru, versi 1.5, memiliki celah keamanan yang cukup fatal. Polanya sama dengan SQL Injection yang relatif kuno. SQL Injection juga pernah dipake xnuxer untuk membobol situs Komisi Pemilihan umum (KPU) beberapa tahun lampau.
  • Cara ini terjadi karena kesalahan coding pada file /components/com_user/models/reset.php dan /components/com_user/models/controller.php.
 
- Pencegahan:
  •  dengan memperbaiki file yang memiliki celah diatas
 
- celah kemananan :
  • SQL Injection pada form login   
- pencegahan :
  • merubah struktur source code saat login untuk mengantisipasi para hacker yang jahil

Sumber : http://10111941.blog.unikom.ac.id/
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)