Hari ini tanggal 11-11-11 suatu tanggal yang istimewa, yang belum tentu terjadi setiap tahun dan juga bertepatan dengan dibukanya Sea Games 2011 di Palembang. Walaupun pada awalnya kita sempat ragu dengan kesiapan panitia Sea Games, namun hal tersebut dapat ditepis oleh panitia sehingga sea games dapat diselenggarakan dengan kesiapan yang mendekati 100%.
Bagaimana kesiapan dari sisi Informasi Teknologi ? tepat nya dua hari yang lalu saya sempat melihat penerapan IT pada Sea Games kali ini. Dimulai dengan mengunjungi situs resmi sea games
[You must be registered and logged in to see this link.]Dari sisi tampilan menurut saya sudah ok, informasi ok, kelengkapan seperti Medal Tally juga sudah ada, namun saya menemukan sedikit celah pada situs
[You must be registered and logged in to see this link.] tepatnya pada Medal Tally Sea Games
Code:
- Code:
-
http://apps.seag2011.com/rs2011/bm/cm/MedalsTally.aspx?sname=26th%20SEA%20Games%20Jakarta-Palembang%202011
Dimana pengunjung dapat dengan mudah mengganti nama Kejuaraan ataupun Nama Cabang Olah Raga. Celah ini saya temukan tanpa menggunakan tools yang ribet, tapi hanya menggunakan intuisi. Dengan melihat URL yang ada, saya menduga bahwa nama kejuaraan dicetak di laman menggunakan variable yang ada di URL tersebut.
Ketika saya coba mengubah namanya menjadi "Kejuaaraan Antar MAHO"... dan voila... nama di situs pun berubah menjadi Kejuaraan Antar MAHO
Code:
- Code:
-
http://apps.seag2011.com/rs2011/bm/cm/MedalsTally.aspx?sname=Kejuaraan%20Antar%20MAHO
Hal ini juga terjadi ketika kita klik untuk cabang olahraga :
Code:
- Code:
-
http://apps.seag2011.com/rs2011/bm/cm/Schedule.aspx?sid=31&sname=LOMBA%20TUSBOL
Celah ini mungkin tidak akan mempengaruhi data Medal Tally, karena ketika kita mengubah nama pertandingan tersebut tidak akan mengubah database, tapi celah ini bisa dimanfaatkan oleh pihak-pihak yang tidak diinginkan untuk melakukan penipuan ataupun cuma menjadikan situs ini sebagai joke.
Untuk menutup celah yang seperti ini tidak membutuhkan effort yang tinggi, cukup melakukan sedikit modifikasi pada method yang digunakan untuk menampilkan nama kejuaraan ataupun cabang olah raga, dengan tidak menggunakan variable yang ada pada URL tapi langsung me-retrieve dari database.
Menurut saya, secepatnya panitia Sea Games harus melakukan perbaikan terhadap celah ini, sebelum ditemukan celah-celah lain yang lebih berbahaya. Mari kita dukung pelaksaan Sea Games 2011, sukses sebagai peserta dan sukses sebagai penyelenggara. Ayo Indonesia Bisa!!!
[You must be registered and logged in to see this link.]
Subyek: Celah di Situs Seag2011.com 
Sun Nov 13, 2011 3:32 am
