Archive

Archive for the ‘Hacking’ Category

Default Password SIMS

March 20th, 2010 6 comments

Penginstalan Sistem Informasi Manajemen Sekolah (SIMS) di beberapa website sekolah baik itu SMP, SMK, dan SMA ternyata masih belum diganti untuk account admin. Hampir semua –kurang lebih 111 website– yang saya temukan masih menggunakan default password dari pembuatnya.

SIMS yang saya temukan disini adalah salah satu produk dari PT Cakrawala Media Informatika Malang. SIMS merupakan sistem yang bertujuan untuk membantu pengelolaan sekolah, meliputi bidang akademik, kesiswaan dan keuangan. Jika penggunaan SIMS ini benar-benar dijalankan secara online, akan sangat riskan dari orang-orang yang tidak bertanggungjawab. Apalagi account untuk admin tidak diganti.

Ngurah Rai Air Port

November 28th, 2009 No comments

Dinas SIMTAPOR

Ngurah Rai Air Port

Beberapa hari yang lalu sempet iseng iseng browsing dan searching via google. Ternyata web yang sempet saya ‘tongkrongi’ masih ada dan belum dibenahi. xixixixi… Sejak hari pertama puasa Ramadhan kemarin sampai H-3 Idul Adha 1430 H. Padalah ilalang32 sudah memberitahukan kepada si Admin kalau web tersebut ada bugs yg memang harus ditutup segera. Tapi sekarang udah dihapus dan diganti dengan yang baru. ๐Ÿ™‚

Nothing system 100% secure

(Lirva32@echo) memang benar adanya. Hanya ciptaan Allah SWT yang sempurna.

[ Shoutz & Greetz ]
% ilalang32, Yogioh, jabrix, Aneursym @ Javahack
% Cavalera, STMIK, bayem, r_wind and all my friends in byroenet community
% #e-c-h-o, #javahack, #bagelen

Categories: Hacking Tags: , ,

WordPress ‘wp-comments-post.php’ Cross-Site Scripting Vulnerability

July 28th, 2009 8 comments

Informasi

Bugtraq ID: 35797
Class: Input Validation Error
CVE:
Remote: Yes
Local: No
Published: Jul 24 2009 12:00AM
Updated: Jul 27 2009 10:25PM
Credit: superfreakaz0rz
Vulnerable: WordPress WordPress 2.8.1
Not Vulnerable:

Read more…

WordPress Comment Author URI Cross-Site Scripting Vulnerability

July 22nd, 2009 3 comments

Informasi

Bugtraq ID: 35755
Class: Input Validation Error
CVE:
Remote: Yes
Local: No
Published: Jul 21 2009 12:00AM
Updated: Jul 21 2009 12:00AM
Credit: WordPress
Vulnerable: WordPress WordPress (B2) 0.6.2 .1
WordPress WordPress (B2) 0.6.2
WordPress WordPress 2.8.1
WordPress WordPress 2.6.5
WordPress WordPress 2.6.2
WordPress WordPress 2.6.1
WordPress WordPress 2.5.1
WordPress WordPress 2.3.3
WordPress WordPress 2.3.2
WordPress WordPress 2.3.1
WordPress WordPress 2.2.3
WordPress WordPress 2.2.2
WordPress WordPress 2.2.1
WordPress WordPress 2.2.1
WordPress WordPress 2.1.3
WordPress WordPress 2.1.3
WordPress WordPress 2.1.2
WordPress WordPress 2.1.1
WordPress WordPress 2.0.11
WordPress WordPress 2.0.10
WordPress WordPress 2.0.7
WordPress WordPress 2.0.6
WordPress WordPress 2.0.5
WordPress WordPress 2.0.4
WordPress WordPress 2.0.3
WordPress WordPress 2.0.2
WordPress WordPress 2.0.1
WordPress WordPress 2.0
WordPress WordPress 1.5.2
WordPress WordPress 1.5.1 .3
WordPress WordPress 1.5.1 .2
WordPress WordPress 1.5.1
WordPress WordPress 1.5
WordPress WordPress 1.3.1
WordPress WordPress 1.2.2
WordPress WordPress 1.2.1
+ Gentoo Linux
WordPress WordPress 1.2
+ Gentoo Linux 1.4
+ Gentoo Linux
WordPress WordPress 0.71
WordPress WordPress 0.7
WordPress WordPress 2.8
WordPress WordPress 2.6
WordPress WordPress 2.5
WordPress WordPress 2.3
WordPress WordPress 2.2 Revision 5003
WordPress WordPress 2.2 Revision 5002
WordPress WordPress 2.2
WordPress WordPress 2.1.3-RC2
WordPress WordPress 2.1.3-RC1
WordPress WordPress 2.1
WordPress WordPress 2.0.10-RC2
WordPress WordPress 2.0.10-RC1
Gentoo Linux

Not Vulnerable: WordPress WordPress 2.8.2

Read more…

WordPress ‘wp-admin/admin.php’ Module Configuration Security Bypass Vulnerability

July 20th, 2009 4 comments

Sore-sore iseng OL irc di chan #bagelen, tiba-tiba bot saya ngasih informasi ke channel kalau ada bug di engine wordpress.

< @tkj> 0,3 ::4[1Vuln: WordPress ‘wp-admin/admin.php’ Module Configuration Security Bypass Vulnerability4]0 WordPress ‘wp-admin/admin.php’ Module Configuration Security Bypass Vulnerability 4[1http://www.securityfocus.com/bid/355844]0 ::

Langsung aja menuju TKP ๐Ÿ˜€ lihat di situs securityfocus. Ah… ternyata benar. Langsung deh upgrade ke wordpress yang terbaru. Berikut informasi bug wordpress :

Diskusi

WordPress is prone to a security-bypass vulnerability.

Authenticated attackers may exploit this issue to gain access to configuration scripts, which may allow them to obtain sensitive information or elevate privileges; other attacks may also be possible.

Versions prior to the following are vulnerable:

WordPress 2.8.1
WordPress MU 2.8.1

Read more…

Penetrasi Website Pemerintah

November 12th, 2008 6 comments

Akhir-akhir ini marak pemberitaan yang mengaitkan dengan hacker, cracker, ataupun yang berbau carding. Hasil penetrasi yang dilakukan oleh perorangan ataupun kelompok dan ย berhasil masuk ke dalam situs pemerintahan Indonesia. Beberapa situs yang memang mempunyai bug berhasil disusupi, deface, dan kegiatan lainnya yang merugikan berbagai pihak terutama pihak pemerintah. Sebagai contoh situs *.go.id dideface oleh seseorang yang menggunakan identitas broken_hack ataupun #yogyacarderlink. Anda tahu mereka? ๐Ÿ˜›

Salah siapa? Tentu saja salah sang admin yang tidak selalu mengikuti perkembangan dunia teknologi informasi. Jarang update web, ataupun jarang membaca informasi tentang bug-bug baru yang berkembangannya sangat signifikan. Hal ini membuat para hacker, cracker ataupun carder terpancing untuk mencoba menembus sistem mereka.

Sebagai sang admin harusnya peka terhadap perkembangan tersebut. Apalagi sebagai admin website pemerintahan, yang telah dibayar mahal untuk mengamankan sistem tapi malah tidak mau mengikuti perkembangan informasi. Fasilitas dari pemerintah seperti internet ada, gaji pastinya gede dan fasilitas lain yang jauh dari cukup. Ah…. namanya juga manusia yang tak luput dari kekurangan. Tapi kalau sampai berminggu bahkan berbulan bulan dikasih tahu ke sang admin tentang bug di website mereka, dan sampai saat ini belum di’patch’. Kebangeten nggak sih? ๐Ÿ˜€

Weblog saya ini juga pernah menjadi korban kegitanan hacking. Beberapa minggu yang lalu, ada salah satu plugin blog ini terdapat bug nya, sehingga sang hacker melakukan penetrasi. Alhamdulillah nggak sampai sehari, saya disable tu plugin. ๐Ÿ™‚

Nah, kita dapat mengambil hikmah dibalik kejadian ini bahwasanya kita wajib belajar dan belajar. Selalu update informasi. Serta bisa menjadi orang yang amanah dalam mengemban tugas dari siapapun. Bisa menempatkan mana yang seharusnya menjadi kewajiban dan mana yang haknya.

Bug XSS di Plasa.com

April 22nd, 2006 No comments

Iseng, malem-malem nggak ada kerjaan.

Categories: Hacking Tags:

Bad Behavior has blocked 74 access attempts in the last 7 days.