Kerennya Alat Santet Ini

Alat ini bernama Hexjector. Dia berupa sebuah aplikasi web, diletakkan di sebuah server web, dan alat ini dibiarkan bekerja untuk membantu seorang pentester untuk mendeteksi tingkat  SQL Injection vulnerability sebuah aplikasi web.

Konon sih si pembuat selalu mengaku bahwa itu untuk kepentingan baiknya untuk pentesting sebuah web. Namun yakin sajalah bahwa dia membuat tools untuk melakukan testing ke web yang lain hahahaa..
Tampilan di atas itu menunjukkan bagaimana ketika sebuah url yang mengandung SQL Injection Vulnerability diurai dengan seksama oleh Hexjector ini. Didapat beberapa hal, mulai path dari home, database server, jumlah kolom, dan segudang informasi lain termasuk nama database dan usernya.

Berikut tampilan dari sebuah halaman hexjector ketika melakukan penguraian tabel dalam sebuah database, berdasar eror yang didapatkan.. Mengerikan bukan? Lebih mengerikan lagi ketika Hexjector berhasil memasuki kolom dan data, serta membaca file, membuat file di dalam aplikasi web kita..



Berikut kolom dalam beberapa tabel dalam sebuah web yang diextract oleh Mesin Tenung Elektronik ini.. Mengerikan bukan, apalagi jika sudah masuk ke tabel user, dan masuk melalui halaman admin, maka hal yang beresiko bisa dilakukan oleh sang dukun santet elektronik ini. Dan sebenarnya tanpa masuk ke user pun, alat ini sudah bisa mengantisipasi bagaimana membuat sebuah file, atau membaca file,  dari fasilitas yang saya tampilkan di bawah ini..

Pertanyaannya, bagaimanakah cara kita mengamankan aplikasi web dinamis kita? Bersambung kapan-kapan ya.. Sebenarnya saya posting ini hanya ingin menawarkan.. siapa yang besok siap diberitakan di situs PSSI sebagai pengganti Nurdin Halid