Isnin, Februari 06, 2006

Asal Boleh (AB) punye penangan..

Dalam keadaan bosan yang amat sangat, aku meredah semua blog rakan2 seperjuangan dan yang tak sejuang. Then aku singgah sekejap dkt blog Darkwan yang mengupas isu website alumni yang mendedahkan maklumat sulit (ic no) para alumni (this is a disaster). Lepas tu aku jenguk la website alumni uitm dungun tu (Online Information System), then aku pun memulakan tugas aku (menjalankan security check and assessment, system reliability test dan macam2 test lg) dkt sistem tersebut. Sangat mengejutkan...ape yg aku jumpa...security problem yg sangat kritikal.. bile aku melaksanakan beberapa testing script, aku boleh gain admin access dkt sistem tu, then aku boleh tukar apa saja maklumat yg aku suka (compromised system). Dah la design web dia hancus (bukan nak kritik) malah security dan functional level dia amat lemah!! terdapat banyak bug yang amat memalukan (utk official online information system). Aku assume sistem dah dlm production mode..bukan dlm testing mode.. aku dapati ada duplicate entry case dlm sistem ni (ape jenis database yg dia pakai ni?).

***** Originality******

Member aku find out satu lagi ke"malu"an mengenai sistem ini.. designer ni menggunakan template org lain tanpa mengeditnya secara bijaksana.

<..!.-- saved from url=(0061)http://www.webtemplateszone.com/ifaces/bluerender1/index.html .-->
.HTML..HEAD.TITLEALUMNI UiTM TERENGGANU .TITLE.



*******Implikasi**************

Aku cuba inject new information kedalam database sistem ini, dan hasilnya? maklumat palsu atau altered information/data telah berjaya dimasukkan. This system is totally compromised!! Aku sarankan kepada system analyst supaya menarik balik sistem ini dan repair balik.



Perhatikan screenshot ini, memalukan bukan? yang aku modify tu adalah info pembuat sistem ini sendiri.

***********Konklusi************

1.Kepada pereka sistem....withdraw sistem ni dari production...repair dulu....
2.Kepada bakal S.A (system analyst) dan programmer, pertimbangkan perkara seperti ini semasa anda design sistem.
3. Kepada user, jangan start key in data lagi..

p/s: asal boleh...asal siap...boss tak marahhh..itu sudah OK...

Tiada ulasan: