Kisah Hacking Bukalapak & Tokopedia Bermodal ‘Upload Gambar’

Kisah hacking yang dilakukan oleh om Herdian Nugraha dari IPB ini cukup menarik di ikuti. Menarik karena apa yang dilakukan oleh Bukalapak dan Tokopedia yang tanggap dan sigap menangani laporan yang diterima.

Singkat cerita, Bukalapak dan Tokopedia berhasil dihack oleh om Herdian. Teknik yang digunakan adalah dengan mengeksploitasi bug ImageTragick(Silakan riset dengan keyword tersebut). Dimana, pada intinya, aplikasi berbasis web yang memanfaatkan tool imagemagick (salah satu software di Linux Server) untuk meresize, mengecek, mengeksport import gambar dari format satu ke format lain, mengandung bug security paling berbahaya.

Yang dilakukan:

  • Membuat satu file JPG/PNG/GIF Palsu berisi shell script
  • Punya satu akses terminal di server dan listening ke port tertentu yang jadi jalur berlempar data dari server korban
  • Buka aplikasi korban, dalam hal ini oleh om Herdian adalah bukalapak dan tokopedia, upload gambar palsu tadi

Aksi tersebut kemudian dilaporkan ke divisi security Bukalapak dan Tokopedia, dimana pada akhirnya si pelapor mendapat reward lumayan (> 10 juta).

Silakan baca lengkap soal kisah ini disini: https://blog.hrdn.us/how-i-hacked-imagetragick/

Pelajaran yang bisa diambil bagi para programmer:

  • Pastikan server tetap up-to-date, khususnya aplikasi-aplikasi kritis
  • Pastikan ketika ada proses upload file pada aplikasi kita, seluruh file yang diupload diperiksa terlebih dulu sebelum disimpan.
  • Khusus untuk upload file image, cek dan cek ulang. Lihat caranya disini:

PHP: Check (validate) if the Uploaded File is an Image

 

Leave a Reply