Saat membuat script PHP tambahan cookies untuk SMUO gempar.com, saya bertanya-tanya apakah yang mengalami kesulitan kontak ke gempar.com itu hanya saya saja? Ternyata ada sebuah blog baru yang saya temukan secara tidak sengaja dan membahas masalah kesulitan after sales dan hole di script SMUO gempar. Apa yang ditulis di blog tersebut cukup membuat saya terkejut, menurut blog tersebut, script smuo gempar ternyata benar-benar ditanami exploit oleh pembuatnya.
Saya menulis artikel ini dengan asumsi informasi yang ada di blog tersebut benar.
Setelah membaca blog tersebut, saya segera cek script yang ada di sana. Ternyata dalam script tersebut benar-benar ada script khusus yang memungkinkan pembuat script untuk melakukan akses back door ke smuo. Saya memang pernah mendengar hal ini tapi belum melihat buktinya sendiri. Sebagai pembeli resmi gempar, saya benar-benar kaget. Mengapa?
Saya paham bahwa pembuat script SMUO gempar tersebut ingin mengamankan scriptnya dari pembajak software. Tujuannya adalah agar saat mereka menemukan ada pengguna script SMUO yang tidak resmi, maka Gempar bisa melakukan tindakan pada web site yang menggunakan script tidak resmi tersebut. Kalau saya baca, mereka paling tidak bisa menghapus semua database yang ada. Ugh...very dangerous menurut saya.
Nah, sayangnya, bagi pembeli resmi gempar, saya justru merasa sangat tidak aman dengan adanya hole buatan tersebut, karena pihak-pihak lain yang berniat kurang baik jug abisa memanfaatkan hole tersebut untuk mengakses web site e-commerce yang sudah dibuat dengan susah payah. Akibatnya juga kita bisa kehilangan seluruh database kita dan ada dampak lain yang tidak akan saya bahas di sini. Kehilangan database artinya kehilangan nyawa bisnis kita kan? Karena semua kontak dan data peserta ada di sana semua. Itu sama saja dengan memberikan kunci rumah kita pada kontraktor rumah dan calon maling :).
Menurut saya pribadi, apa yang dilakukan oleh gempar (jika memang benar seperti itu) sangat tidak etis dan kurang memikirkan dampaknya. At least mereka bisa menginformasikan pada pembelinya mengenai hal tersebut, sehingga kita bisa putuskan akan jadi beli atau tidak. Tapi yah, apa yang bisa saya harapkan, lha dihubungi saja tidak bisa apalagi mengharapkan hal seperti itu.
Jadi, bagi para pengguna SMUO yang tidak memiliki kemampuan programming, saya sarankan untuk melakukan backup rutin database dan file untuk menjaga hal-hal yang tidak menyenangkan sendainya ada orang jahat merusak web site anda melalui hole tersebut.
Saya sendiri akan melakukan adjust di script SMUO tersebut untuk menutup hole yang ada.
Mudah-mudahan bermanfaat.
Prothelord
Oh iya, kalau pengen kursus bikin web & PHP sambil praktek plus dapet duit juga, coba deh belajar di sini . Sok atuh di klik biar kelihatan.
Script gempar sangat mudah di hack. Saya bisa dapat admin password-nya, bahkan tanpa browser
Posted by Bintang, whose homepage is here on 08/09/2009 at 18:38
@Putra: Minta aja ke ownernya Gempar versi terbaru. @Bisnis Online: Saya bukan ahli hacking, jadi kayanya g kompeten buat jawabnya. Maaf ya. Salam hangat.
Posted by Prothelord, on 07/25/2009 at 07:34
wah informasi yang berharga nih... tapi menurut artikel di blog lain, script dari gempar gampang di hack SQL injecktion. Apa benar begitu? thx
Posted by Bisnis Online, whose homepage is here on 07/23/2009 at 02:18
Bener tuh saya nemuinnya pas otak atik setup.php ada yang janggal kalo member2nya di hapus, dah coba utak-atik tetep susah, mohon bantuannya dong om, kirim via email ya, please
Home 
Artikel 
