Cara Paling Gampang Nge-Hack: Pesan Error

Pada tulisan kali ini saya ingin bercerita tentang bahayanya pesan error pada website. Pesan error website walaupun terlihat ga begitu penting (dan kadang ga dibaca) bisa menjadi informasi yang berharga untuk menyerang target.

Pesan error website biasanya sangat berguna pada saat website sedang dalam masa pengembangan. Jadi dengan adanya pesan error, developer bisa mengetahui kesalahan-kesalahan yang terjadi pada suatu website. Misalnya kesalahan code di file apa, baris berapa, karena apa, dll… Tetapi, sebaiknya ketika website sudah dalam tahap launching, pesan error sebaiknya di non-aktifkan saja.

Wah sebegitu berbahayanya-kah pesan error? Mari dibaca lebih lanjut…

Baiklah, sekarang saya ingin memberi contoh di dunia nyata (contoh non-teknis hehe). Waktu jaman SMP, saya dan teman-teman sering saling memanggil satu sama lain dengan sebutan nama ayahnya. Misalnya nama ayah si Budi adalah Joni. Berarti saya memanggil Budi dengan sebutan ‘Joni’. Nah, suatu ketika ada teman yang nama ayahnya tidak kita ketahui. Dia merasa di atas angin deh… Apa yang dimaksud dengan memanfaatkan pesan error? (perhatikan baik-baik):

A (Saya) : Sep, nomer rumah kamu 3561 ya? <– memancing Asep dengan kesalahan
B (Asep) : Ah, bukan.. nomer rumah saya sih 3528 <– ‘pesan error’ dari Asep

Dari sini kita sudah dapat informasi berharga! Nomer rumah Asep adalah 3528! Haha.. Ini langkah 1 hacking-nya nih… Lah, apa hubungannya dengan bisa tau nama bapaknya? Baca lagi terusan cerita hackingnya..

Di saat waktu luang, saya inget telah menyimpan nomer telepon rumah si Asep yang benernya. Sekarang saya mencoba nelepon ke rumahnya. Kebetulan yang ngangkat pembantunya, Bi Inah…

A (Saya) : Permisi, ini dengan rumahnya Pak Bambang? <– memancing dengan kesalahan nama ‘Bambang’
B (Bi Inah) : Oo bukan to mas.. ini kediaman Bapak Jajang <– ‘pesan error’ dari Bi Inah

Hahaha.. Oke deh.. mission complete! 😉

5 thoughts on “Cara Paling Gampang Nge-Hack: Pesan Error

  1. Pingback: SQL Injection Day

Leave a Reply

Your email address will not be published. Required fields are marked *