Script/HTML Injection pada Drupal Web Application

By: RhezTiw

Script/HTML Injection biasanya hanya digunakan oleh para defacer untuk mengubah tampilan webpage sebuah situs. Dan teknik injeksi yang paling mudah digunakan adalah Script/HTML Injection. Pada kali ini bugs ditemukan pada aplikasi web Drupal yang cukup polpuler yang berlisensi terbuka [biasa disebut GPL]. Sehingga setiap orang bisa mengkopi, memodifikasi dan mendistribusikan ulang sebagian atau seluruh bagian dari Drupal Web Application* dengan ketentuan: menuliskan lisensi pada hasil pengkopian/hasil modifikasi yang didistribusikan ulang tersebut. Serta tidak mengubah Drupal handbook [buku pegangan Drupal, kali yah] sebagai bagian dari Drupal WA yang asli.
Sebenernya hal ini tidak bisa disebut sebagai bugs tapi lebih tepat disebut sebagai kesalahan/kekeliruan/kelalaian yang biasa dilakukan oleh Web Admin dalam mengkonfigurasikan Drupal sebagai situs portalnya.
Hal : Cracking/defacing web application
Metode : Script/HTML Injection
Author : RhezTiw
Tanggal pengujian : 21 September 2005
Tanggal rilis : 29 September 2005
Aplikasi Web : Drupal all version
Situs vendor : http://drupal.org/
Tingkat bahaya : rendah

Situs yang menggunakan Drupal sangat banyak sekali ditemui mengingat begitu banyaknya fitur yang ada dan support yang cukup bagus baik dari situs resminya maupun dari para pendukungnya [yang biasanya sebagai pemakainya]. Karena banyaknya fitur tersebut maka tergantung para pemakainya untuk memodifikasinya atau bahkan menggunakannya secara utuh. Dan inilah kesalahan umum para web admin, yaitu membiarkan semuanya berjalan secara default.

Script/HTML Injection
Fitur utama dari Drupal adalah diperbolehkannya pengunjung atau member untuk mengirimkan artikel, foto, even kalender, weblink, forum, dsb. Hal inilah yang sering kurang mendapatkan perhatian dari web admin 'bodoh' dengan membiarkan atau tidak membatasi tag HTML. padahal
dalam Drupal WA, semua fitur tersebut dapat dimodifikasi sesuai dengan kebutuhan dan keamanan.
Ada 2 macam injeksi yg biasa dilakukan. yang pertama adalah dengan mengirimkan artiket [dsb] yang berupa tag HTML atau script pada situs berbasis Drupal yg memperbolehkan script HTML, dan yang kedua adalah dengan mengirimkan komentar pada artikel yang sudah ada.

URL : http://victimsite/node/add
.../node/add/forum
.../node/add/story
.../node/add/weblink
http://victimsite/?q=node/add
.../node/add/event
.../node/add/audio
dsb. [tergantung tiap situs dan versi drupal yg digunakan]
http://victimsite/?q=comment/reply/xxxx
http://victimesite/comment/reply/xxxx
[xxxx adalah hyperlink webpage dalam situs tersebut]
dan URL-URL lainnya....


Saran
1. Membatasi pengunjung untuk tak dapat mengirimkan artikel atau komentar.
2. Memperketat form register member dengan mewajibkan pengisisan biodata secara lengkap dan benar.
3. Membatasi penggunaan HTML dan BBCode dalam pengiriman artikel dan komentar.

Status
Vendor tidak dikontak karena penggunaan HTML dan BBCode merupakan fitur atau pilihan yang dapat dimodifikasi oleh pemakai Drupal WA. sehingga semua kesalahan/kelalaian terletak pada modifikasi [costumize & configuration] yang dilakukan oleh web admin.
Artikel ini dimaksudkan untuk memperingatkan kepada semua pengguna internet untuk tetap berhati2 dalam menggunakan setiap aplikasi, terutama bagi para web admin. Artikel ini dimaksudkan untuk pembelajaran, semua tindakan kejahatan yang didasarkan pada isi artikel ini di luar tanggung jawab penulis [dan publisher; http://www.jasakom.com].

ThnX to: jasakom.com and all staff, Honey, www.echo.or.id [untuk artikel di http://ezine.echo.or.id/ezine12/echo12-09.txt ..pada subjudul: Developed Kiddie],
all milis member jasakom-perjuangan, w3-H4ck@yahoogroups.com, dosen komputerku yang memberi nilai D [tapi udah aku modifikasi menjadi ..jadi senyum yg lebar neeh!]