05 February 2013

Sorry for IEVC 2013

Suatu hari saat saya sedang mencari-cari beberapa situs di lingkungan kampus untuk melakukan uji keamanan (see Claim Page), saya mendapati satu situs yang lumayan mudah untuk mendapatkan hak akses administratornya. Saya tak sampai melakukan hal-hal yang rumit, karena hanya berbekal bruteforce saja. Ya, bruteforce memang menjadi teknik awal saya untuk menguji kelemahan dari pembuatan password yang terkesan asal-asalan, misalnya sebuah nama, kata, tanggal lahir, password semacam ini sangat lemah sekali dan sangat rentan terhadap serangan bruteforce. Maka dari itu, ada anjuran untuk pembuatan password yang kuat, diantaranya minimal delapan karakter dengan minimal satu huruf kapital, dan satu angka dalam kombinasi delapan karakter tersebut.
IEVC 2013
Website itu tak lain adalah sesuai dengan judul postingan ini, yaitu milik panitia IEVC 2013. Maaf saya bukan bermaksud se-enaknya sendiri, namun apabila tidak lakukan tindakan dengan mengambil alih hak akses administratornya, saya takut nantinya ada orang lain yang masuk dan bisa melakukan hal yang bersifat merugikan baik itu men-deface atau sampai pada motif tertentu. Sehingga untuk sementara passwordnya saya ganti dengan yang lumayan kuat. Sekali lagi, saya memohon maaf kepada panitia IEVC 2013 dan khususnya kepada admin website. Saya tidak tahu apakah situs ini masih dipakai atau tidak, saya tidak sempat membaca-baca informasi dari situs ini.
Your Code is Wu9qm
Untuk data-data yang ada di website, telah aman, saya tidak melakukan perubahan apapun terkait konten yang telah ada sebelumnya. Bahkan saya tidak sempat melakukan uji terhadap yang lainnya. Sehingga semua informasi tidak ada yang berubah sedikitpun. Untuk proses pengambilan hak akses administrator, silahkan menghubungi saya via email herupranoto.ugm@gmail.com dengan menyertakan kode dan subjek "Claim Account", nanti akan saya kirimkan password barunya. Terima kasih, "i'm not a pentester, but just a beginner".
Happy Analyst!

0 comments: