Sabtu, Mei 16, 2009
Administrator
Banyak sekali kemudahan dapat di peroleh dengan kecanggihan teknologi informasi. Demikian pula dengan merusaknya, juga mudah di kerjakan. Salah satu yang gampang adalah menguras habis isi database e-commerce termasuk data kartu kredit. Dalam tutorial ini kita akan mengenal kelemahan sistem kerja e-commerce ASP Shopping Cart menggunakan shopadmin.asp.
Langkah awal, masuk ke search engine google, lalu ketik “allinurl: /shopadmin.asp”. perintah ini meminta google mengindeks semua halaman web yang terdapat alamat shopadmin.asp.
Dari daftar yang ada, pilih satu persatu, hingga menemukan situs yang bisa di hack, karena saat ini sebagian e-commerce ASP sudah memproteksi diri dengan pengamanan lebih baik. Caraya, ganti tulisan “shopadmin.asp” dengan “shopdbtest.asp”. Perintah ini meminta web browser masuk ke halaman uji coba database. Halaman ini biasanya di gunakan administrator untuk menguji stabilitas database. Tapi. Dengan halaman ini, kita bisa tahu nama dan lokasi database. Database di letakkan di baris xdatabase. VP-
Jika nama databasenya shopping misalnnya, kita lalu mengganti perintah alamat “shopdbtest.asp” dengan nama databasenya. Contoh http://www.namasitus.com/shopdbtest.asp di ganti http://www.namasitus.com/shopping.mdb. Kata mdb perlu di tambahkan karena databasenya di buat menggunakan Ms. Access. ASP shopping cart memiliki database yang dikemas dalam bentuk file MDB. Dengan perintah ini, berarti kita meminta web browser mendownload databasenya.
Setelah data basenya berhasil di download, kita bisa membukanya menggunakan Ms. Access. Jika computer kita belum terinstall Ms. Access kita bisa membukanya menggunakan access viewer yang bisa di download di sini.
Eksploitasi Database.
Biasanya, username dan password administrator di simpan dalam table tblUser. Untuk data Customer di simpan di table Customers. Sedangkan data transaksi di simpan di table orders. Di table inilah, data kartu kredit tersimpan. Bayangkan, jika database tersebut jatuh ke tangan orang tidak bertanggung jawab.
Database yang kita download sebenarnya memiliki banyak kategori untuk mengaksesnya. Jadi bukan hanya dengan mengetikkan perintah “allinurl :/shopaadmin.asp” atau “shopdbtest asp” saja kita bisa menggunakan pencarian lebih menarik lagi menggunakan syntaks lain sebagai berikut :
shopa_displayorders.asp = Display orders
shopa_editdisplay.asp = categories View / Update Categories
shopa_editdisplay.asp = products View / Update Products
shopa_editdisplay.asp = MyCompany View / Update Your Company Information
shopa_editdisplay.asp = customers View / Update Customers
shopa_editdisplay.asp = ProdFeatures View / Update Product Features
shopa_editdisplay.asp = Subcategories View / Update Subcategories
shopa_editdisplay.asp = orders View / Update Orders
shopa_query.asp = Advanced Query
shopa_user_control.asp = Add / Delete Users
shopa_menu_control.asp = Menus for administrators
shopa_loghist.asp View = History Login history
shopa_editdisplay.asp = shipmethods View / Update Shipping
shopa_reports.asp = Sales Reports by Date
shopa_stock.asp = Low Stock Reports
shopa_searchreports.asp = Display search keywords
Dari semua sintaks di atas, sintaks yang paling berbahaya adalah shopa_user_control.asp karena akan masuk pada halaman paling sensitive di mana terdapat Menu khusus administrator berupa edit user, tambah user, delete user dan lain sebagainya dengan berbagai hak akses, tergantung settingan yang ada.
Mencegah Download Database.
Untuk webmaster dan administrator, berikut ini beberapa cara agar database sulit di download.
1. Letakkan file di lokasi yang tidak standar. Ini bisa di jalankan jika memiliki server sendiri
2. Gunakan ekstensi ganda pada file database. Misalnya shopping.mdb.asp
3. Buatlah pesan error yang di sengaja, sehingga saat hacker beraksi, terdapat pesan kesalahan.
Penulis tidak bertanggung jawab dengan penyalahgunaan artikel ini, tujuannya hanya sebagai bahan pembelajaran.
