Home » , , , , » Hati-hati dengan URL Content Management System Anda !!

Hati-hati dengan URL Content Management System Anda !!

Anda pernah dengar mengenai Content Management System atau yang sering disingkat menjadi CMS? Penulis akan jelaskan secara singkat saja mengenai CMS ini karena akan penulis bahas pada tulisan tersendiri. CMS adalah suatu software yang menambah atau memanipulasi isi pada suatu situs. Jadi contoh gampangnya adalah situs sony-ak.com ini isinya di-manage oleh suatu CMS dimana webmaster bisa menambahkan artikel baru ke dalam situs sony-ak.com dengan mudah. Contoh lainnya lagi misalnya situs detik.com. Mereka pasti menggunakan semacam CMS (yang oleh salah satu foundernya "Yayan Sopyan" dulu sering disebut dengan WBNS atau Web Based News Station) untuk meng-update berita-berita terbaru. Siapa yang mengakses CMS ini? Ya tentu saja pihak-pihak yang ingin meng-update content pada suatu situs, misalnya saja content editor atau seorang wartawan (misalnya saja wartawan detik.com tadi). CMS ini bisa dibuat dengan berbagai macam cara dan yang paling umum adalah dengan memanfaatkan berbagai macam scripting language yang ada saat ini misalnya seperti ASP, PHP, JSP, Java dan lain sebagainya. Jadi bisa disimpulkan bahwa CMS adalah suatu aplikasi berbasis web yang dibuat dengan scripting language dan digunakan untuk meng-update atau menambahkan isi pada suatu situs. Untuk mengakses CMS ini biasanya orang yang akan meng-update isi atau berita tadi akan diberi suatu alamat khusus yang merupakan alamat dari aplikasi CMS. Misalnya Anda memiliki situs berita yang bernama situs-berita.com. Alamat dari CMS situs tersebut misalnya terlihat seperti berikut ini.
http://www.situs-berita.com/admin/
Situs fiktif situs-berita.com di atas mempunyai alamat CMS pada virtual folder /admin. Sekilas hal ini terlihat biasa-biasa saja tetapi padahal efeknya sangat berbahaya sekali. Mengerti maksudnya? Maksudnya adalah situs di atas menggunakan folder /admin sebagai lokasi dari aplikasi CMS-nya dan folder /admin ini akan sangat mudah ditebak oleh para cracker yang berniat untuk merusak situs Anda. Memang setiap CMS pada halaman depannya selalu ada username dan password yang harus Anda isi, tetapi jangan pernah lupa bahwa selalu ada kemungkinan seorang cracker bisa menjebol situs Anda dengan mudah karena masuk melalui CMS Anda yang tidak aman. Arti dari tidak aman disini adalah jika alamat CMS Anda diketahui oleh cracker dan kebetulan username dan password-nya bisa dibobol dengan teknik SQL injection. Apa itu SQL injection? Penulis akan jelaskan pada suatu tulisan tersendiri nantinya di www.sony-ak.com.
Penulis kebetulan sering melakukan testing di internet mengenai URL yang digunakan untuk CMS ini. Berikut ini beberapa folder CMS yang sering penulis jumpai di internet pada situs-situs perusahaan atau berita.
/admin
/cms
/4dm1n
/admincms
/cmsadmin
/administrator
Folder-folder di atas akan sangat mudah ditebak oleh para cracker dan sebaiknya jika Anda seorang web developer menghindari penggunaan nama-nama folder yang umum seperti di atas untuk aplikasi CMS Anda. Anda bisa membuat nama folder yang lebih sulit untuk ditebak misalnya menggunakan kombinasi huruf dengan angka dan tidak punya arti yang dekat dengan CMS.
Apa saja sih kemungkinan-kemungkinan yang terjadi jika kita menggunakan folder-folder yang umum seperti di atas untuk aplikasi CMS kita? OK, ada beberapa kemungkinan yaitu:
SQL injection
Seorang cracker yang mengetahui URL CMS Anda bisa saja menerapkan cara SQL injection ini untuk menjebol situs Anda dengan sangat mudah. SQL injection yang dimaksud disini adalah dengan memanfaatkan kelemahan validasi inputan pada script CMS Anda sehingga seorang cracker bisa masuk ke dalam CMS situs Anda tanpa harus tahu username dan passwordnya sekalipun. Penulis akan jelaskan mengenai SQL injection ini pada kesempatan yang lain di www.sony-ak.com.
Default username dan password
Biasanya seorang web developer selalu menggunakan username dan password yang mudah ditebak oleh orang lain pada bagian login CMS. Jika web developer ini lupa untuk menggantinya maka akibatnya akan sangat fatal. Seorang cracker akan dapat masuk ke CMS situs Anda dengan mudah dengan memanfaatkan username dan password default yang ditebak. Contoh dari kasus ini misalnya username-nya admin dan password-nya juga admin.
Brute force password
Para cracker biasanya juga menggunakan teknik brute forcing terhadap password yang ada untuk bisa masuk ke dalam CMS situs Anda. Brute force ini adalah suatu aktivitas dimana seorang cracker menggunakan suatu tool tertentu untuk menjebol password dari suatu sistem pertahanan (misalnya login di web). Tool ini mencoba berbagai macam kombinasi kata-kata yang digunakan sebagai password dan mencobanya secara paksa pada sistem login CMS Anda. Tool brute force ini biasanya dilengkapi dengan suatu file text yang istilahnya disebut dengan dictionary yang berisi berbagai macam kata-kata yang sering digunakan sebagai password oleh orang lain.
Demikianlah tulisan singkat mengenai keamanan Content Management System pada situs Anda khususnya pada penggunaan folder CMS yang mudah ditebak.

Terimakasih.
Share this article :
Diposting oleh Unknown
Label: , , , ,

0 komentar:

Posting Komentar

Rekan Bisnis Online Anda
Loading


 
Support : Your Link | Your Link | Your Link
Copyright © 2013. Web TKJ - All Rights Reserved
Template Created by Creating Website Modified by CaraGampang.Com
Proudly powered by Blogger