Situs-situs besar, seperti Microsoft, memang selalu menjadi target show off para defacer. Belum lama Microsoft IEAK kena deface, microsoft.co.uk kena aksi defacement dari defacer asal Saudi Arabia juga, ‘rEmOtEr‘. Pada kasus IEAK, situs yang mempromosikan IE Administration Kit, sang defacer ‘Cyber-Terrorist aka cyb3rt‘ membaca struktur database melalui SQL Injection kemudian melakukan injeksi tag HTML pada tag select / option (drop down box) di table yang berhubungan dengan country region atau 1stCountry, CMIIW. Sepertinya data country region ini diretrieve dari database yang mana bisa di injeksi oleh Cyb3rt. Ini bisa dianalisa dari source code cache halaman terdeface yang dimirror oleh zone-h. Jadi halaman terdeface yang menampilkan image Bill Gates setelah dilempar kue, CMIIW, ini merupakan hasil sisipan tag HTML dari atribut onload pada tag body. Imagenya sendiri masih ada disini. Lalu pada kasus Microsoft.co.uk, hal yang serupa juga terjadi kembali. Kali ini, remoter mengabadikan proses defacementnya dalam video. Karena sudah ada videonya dan juga ulasan pada beberapa situs mengenai Microsoft.co.uk yang kena deface (saya list di bawah), saya tidak akan membahasnya lebih jauh.
Lalu kenapa sering kali terjadi kasus defacement berawal dari SQL Injection? Warning & error pada kesalahan query merupakan hal yang berbahaya untuk ditampilkan pada situs produksi, lain halnya jika masih tahap development. Ibarat pemilik yang memberi petunjuk lokasi dan isi brankas. Sebenarnya, IMHO, hal ini tidak mengindikasikan bahwa produk-produk (asp|mssql maybe?) dari korban yang bersangkutan itu gampang dieksploitasi atau penuh vulner, justru yang tidak open source ini malah susah untuk bug hunting. Hanya saja, mungkin, terlalu banyak yang ‘empet’ dengan si korban. SQL Injection dapat saja terjadi pada DBMS lainnya seperti MySQL, Postgres atau Oracle. Yang jadi masalah adalah developer / programmer web tersebut, khususnya bagaimana doi menangani query SQL antara, misal web scripting (Perl, PHP atau ASP) dengan database. Ada beberapa tips (kalau ente percaya ane bs kafir) untuk meminimalisasi terjadinya SQL Injection :
- Warning atau Error pada query tidak perlu ditampilkan. Lebih baik dibuat script yang akan langsung memfeedback log error/warning ke developer/adminnya jika terjadi kesalahan query, sementara di end-user bisa ditampilkan, misal error 404
.Kalau Anda pernah / sering hosting di beberapa web hosting, pastinya ada beberapa web hosting yang memberikan penamaan yang sama untuk direktori usernya (shared hosting), misal /sompret/x2324/nama-domain (dimana sompret selalu sama untuk setiap user dalam satu mesin, x2324 adalah username, dan nama-domain adalah nama domain yang digunakan si x2324. Pesan warning dan error query yang terjadi akibat script akan menampilkan path letak file tersebut. Akan lebih parah lagi jika user memberi permission 777 ke dir / file. - Developer hendaknya melakukan validasi terhadap URL dan memfilter bentuk request yang menjurus terhadap tindakan injeksi.
- Jangan pernah dumping database ke direktori yang tidak restrict permissionnya / publik. Dan lagi penamaan terhadap file hasil dumping database diusahakan tidak umum seperti pemberian tanggal-bulan-tahun (misal : 13071984.sql). Beberapa third party atau extension / module suatu CMS yang menggunakan konfigurasi default bisa ditebak direktori dan nama filenya.
- Lakukaan audit sendiri dengan berbagai macam tools yang ada.
- Baca artikel & tutorial, atau tonton video, untuk SQL Injectionnya, dengan ini yang bertahan bisa tahu jenis-jenis serangan yang mungkin dilakukan penyerang.
- Jika fulus ente cukup tidak salahnya konsultasi dengan pihak yang lebih prof untuk masalah security.
Nah, kita tunggu selanjutnya vulner defacement apalagi yang akan terjadi pada Microsoft .
Sumber terkait :
Microsoft.co.uk succumbs to SQL injection attack
rEmOtEr’s page at lenzr.com (nih orang makannya table ama query kayaknya :p)
PS : Ada situs berita lokal yang telah lebih dulu membahasnya. Tapi sangat disayangkan terlalu pelit untuk menaruh informasi eksternal (links). Padahal sumber informasi sesungguhnya berasal dari link-link di atas.