Posted by kecoak on Jul 10, 2008

IT Training Specialist – “are you?!”

Categories: Websecurity | 4 comments

Baru-baru ini saya sering diskusi dan melihat secara langsung kemampuan salah satu web hacker dari komunitas underground Indonesia yang sering merilis exploit untuk beragam aplikasi web, bukan hanya sebatas bughunter namun memang dengan skill nya dapat dengan mudah melakukan berbagai exploitasi web bug dalam waktu singkat. Beberapa kali rekan ini menunjukan bugs sql-injection di situs-situs yang notabene memiliki fungsionalitas cukup tinggi, dalam arti banyak diakses oleh beragam orang untuk beragam kepentingan (salah satunya situs lowongan pekerjaan dengan level internasional).

Diantara situs-situs tersebut, salah satunya cukup menarik perhatian untuk dijadikan bahan gosip, ups…maksudnya sebagai bahan kajian diskusi. Ini cuplikan kalimat homepagenya:

*cencored* hadir di Kota Jogjakarta dengan membawa misi untuk menggairahkan iklim pengembangan Teknologi Informasi & Komunikasi. Teknologi Komputer sebagai bagian penting dari teknologi informasi itu sendiri menjadi syarat mutlak bagi setiap sumber daya manusia Indonesia untuk menguasainya. Penguasaan teknologi informasi akan membawa pada peningkatan efisiensi, efektifitas dan produktifitas kerja.

Dalam eksistensinya sejak 2 Mei 2001, pada tanggal 15 April 2008, dalam 7th Anniversary-nya *cencored* telah mentraining lebih dari 4700 siswa kelas reguler dan program profesi serta lebih dari 1500 siswa yang mengikuti program event *cencored*.

Pada Tanggal 27 Desember 2002, berdasarkan SK No.60 tahun 2002, *cencored* memperoleh “Akreditasi A” dari Dinas Pendidikan Propinsi D.I.Yogyakarta.

Waw! Seem so promising. What else?!

Pada tanggal 24 Juni s/d 2 Juli 2008 berlangsung Pelatihan Aplikasi Web Programming & Aplikasi Manajemen Pengolahan Data yang diikuti Staf Kantor Pengolahan Data Staf KPDE Kab.Timor Tengah Selatan NTT…

Good. Menjadi salah satu lembaga training aplikasi web untuk pemerintah. Lembaga training ini menggunakan CMS sendiri untuk homepagenya, but here come the fun:

http://www.cencored.com/webring.php?id=-1 union select 1,2,3,username,5,6 from user

Seperti yang telah diketahui bersama, ini adalah tipikal query untuk sql-injection sederhana. Result?!

http://img99.imageshack.us/my.php?image=picture4mk4.png

Berdasarkan informasi page rank situs tersebut menduduki peringkat 2, dan masuk 10 besar hasil pencarian google indonesia untuk keyword “training center”.

Got the point where these stories pointing to?! Lembaga ini mengklaim telah men-training sampai lebih dari 5000 peserta, dan banyak peserta training merupakan para calon developer untuk perusahaan swasta maupun pemerintah, namun situs hasil karya lembaga ini memiliki hole sql-injection sederhana (ya ya…bug bisa muncul dimanapun, tapi paling tidak seharusnya lembaga profesional dengan akreditasi “A” tidak terkena efek tipikal hole sql sederhana semacam ini).

What next?!jika developer lembaga training sendiri masih melakukan kesalahan seperti ini saat develop web aplikasi, apakah bisa dikatakan bahwa kesalahan yang sama akan diterapkan pada peserta training?! Lembaga training ini hanya salah satu contoh, dan mungkin masih terdapat masalah yang sama terhadap trainer-trainer lainnya?! Sehingga tidak mengherankan banyak situs-situs pemerintah yang rentan terhadap serangan sql-injection?!

Jika suatu saat lembaga pemerintah atau perusahaan swasta terkena exploitasi web bug dan dipertanyakan tanggung jawab tim IT-nya, dan kemudian mereka menjawab “lah, saya khan develop aplikasi sesuai ajaran saat training, saya tidak tau ada masalah-masalah semacam itu”. Hm, apa kita bisa usulkan untuk memasukan faktor ini kedalam kurikulum security auditor?!mungkin harus ada audit lembaga training yang mentraining tim IT suatu perusahaan sebelum meng-audit tim IT-nya?!

well…

Post a Comment

4 Responses to “IT Training Specialist – “are you?!””

  1. i_am_izul says:
    July 17, 2008 at 7:10 pm

    coba masukin
    username = 1′ or ‘1=1’/*
    Password = 1’ or ‘1=1’/*

    Nanti keliatan dah tu data2 nya…

    Reply
  2. i_am_izul says:
    July 17, 2008 at 7:12 pm

    Atau masuk ke http://www.bugstrainingcenter.com/admin

    Ambil datanya

    http://www.bugstrainingcenter.com/admin.php

    Reply
  3. opick says:
    September 23, 2008 at 4:39 pm

    Walhamdulillah Wa Syukurillah Bersyukur kepada Allah SWT 🙂

    Reply
  4. opick says:
    October 6, 2008 at 12:53 pm

    Segenap Manajemen, Karyawan dan Instruktur BTC mengucapkan: “Taqabbalallahu Minna Wa Minkum Taqabbal Yaa Kariim, Minal Aidzin Wal Faidzin, Mohon Maaf Lahir & Bathin”
    🙂

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *