Sekali-sekali seorang developer seperti saya bahas topik security juga ah, jangan coding terus :D. Nah dua minggu ini kebetulan ada project security jaringan di pentagon suatu tempat. Untungnya adalah saya tidak terlibat untuk network security, melainkan fokus terhadap Web Security.  Wal hasil saya menemukan sebuah produk yang sangat menarik dan “nice”, yaitu Acunetix.

Acunetix adalah software untuk men-Scan semua kelemahan Web. Menurut saya ini hampir sama dengan Ethical Hacker/White Hacker, cuma ini ya versi softwarenya bukan orang :D. Menurut Acunetix, 70% dari cyber attack adalah Web Application Attack dan hampir 70% website di dunia juga tidak aman(Wow). Sudahkah Website anda aman ?. Gunakan Acunetix untuk mendeteksinya !.

Web Application Attack berbeda dengan Network Attack, jadi sia-sia jika anda memasang Firewalls, SSL and locked-down servers untuk menangani Web Application Attack. Web Application Attack menggunakan port 80/443, langsung melewati Firewall, operating system dan network level security, serta langsung menuju jantung hati dari aplikasi dan data. Nah lalu apa saja sih yang discan oleh Acunetix ?, berikut listnya :

Web Server Configuration Checks

  • Checks for Web Servers Problems – Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE)
  • Verify Web Server Technologies
  • Vulnerable Web Servers
  • Vulnerable Web Server Technologies – such as “PHP 4.3.0 file disclosure and possible code execution.

Parameter Manipulation Checks

File Checks

File Uploads

Directory Checks

  • Looks for Common Files (such as logs, traces, CVS)
  • Discover Sensitive Files/Directories
  • Discovers Directories with Weak Permissions
  • Cross Site Scripting in Path and PHPSESSID Session Fixation.
  • Web Applications
  • HTTP Verb Tampering

Text Search

  • Directory Listings
  • Source Code Disclosure
  • Check for Common Files
  • Check for Email Addresses
  • Microsoft Office Possible Sensitive Information
  • Local Path Disclosure
  • Error Messages
  • Trojan Shell Scripts (such as popular PHP shell scripts like r57shell, c99shell etc)

Weak Password Checks

Google Hacking Database (GHDB)

Port Scanner and Network Alerts

  • Finds All Open Ports on Servers
  • Displays Network Banner of Port
  • DNS Server Vulnerability: Open Zone Transfer
  • DNS Server Vulnerability: Open Recursion
  • DNS Server Vulnerability: Cache Poisoning
  • Finds List of Writable FTP Directories
  • FTP Anonymous Access Allowed
  • Checks for Badly Configured Proxy Servers
  • Checks for Weak SNMP Community Strings
  • Finds Weak SSL Cyphers

Bagaimana ? nice kan ?. Oleh karena itu pada jenis project seperti ini, saya menggunakan bantuan Acunetix. Karena pekerjaan saya hanya tinggal menambal semua lubang/celah keamanan. Saya memberikan jasa kepada siapa saja(perusahaan/individu) untuk menambal semua celah keamanan.

Kali ini saya akan memberikan contoh hasil scan sebuah website, yaitu http://www.cocobod.gh/

Acunetix

Acunetix

Lebih kerennya lagi, Acunetix juga memberikan penjelasan bahkan solusi untuk setiap threat.

Cross Site Scripting

Cross Site Scripting

Walaupun dengan Acunetic, kita bisa menemukan celah/lubang masalah, tentunya dibutuhkan akhi/pakar orang yang mengerti security pada web application seperti saya untuk memperbaiki celah keamanan yang telah terdeteksi.

Acunetix sudah dipercaya oleh perusahaan dan badan besar seperti Pentagon, Google, Yahoo, Joomla, HP, VeriSign, NASA, dll. Harganya-pun lumayan murah sekitar USD $5000.

Jadi intinya :rate buat Acunetix :recsel .