Aksespraktis.net di jahili

Kali ini saya akan sedikit bercerita tentang dinamika kampus dimana saya berkuliah. Suatu kali ada seorang dosen yang mengajar di kelas saya mempunyai teknik yang sedikit berbeda dengan dosen-dosen lainnya dalam menentukan dan mengambil nilai bagi para mahasiswanya termasuk kelas saya. Cara mengambil nilai dosen ini adalah dengan cara meghitung seberapa aktif mahasiswanya dalam berkatifitas di internet. Guna mencapai tujuan ini, sang dosen membuat sebuah website dimana mahasiswanya diwajibkan memberi komentar terhadap artikel-artikel yang ada pada website tsb. Semakin banyak posting komentar yang dibuat oleh mahasiswa terhadap suatu artikel dalam website itu, maka akan semakin tinggi pula nilai mahasiswa yang memberi komentar tsb.

Cara dosen ini bisa dibilang cukup berhasil, sebab memang banyak juga komentar-komentar artikel pada website itu. Satu artikel yang berumur seminggu saja bisa mendapatkan komentar sedikitnya 100 sampai 200 komentar. Sekilas jika dilihat website dosen yang diberi nama aksespraktis.net ini adalah sebuah website blog. Dan memang dosen ini menggunakan software web blog wordpress. Yang mana software ini termasuk software web blog populer saat ini, diperkaya dengan fitur-fitur canggih seperti penghitungan komentator terbanyak atau artikel dengan komentar terbanyak, membuat software ini begitu sempurna untuk tercapainya tujuan sang dosen.

Saat dosen ini mengumumkan teknik penilaiannya di kelas saya, kelas saya termasuk kelas yang dirugikan, sebab dosen tersebut mengumumkan cara penilaiannya itu setelah perkuliahan telah berjalan selama setengah semester, sementara mahasiswa dari kelas lain yang juga diajar oleh dosen ini sedikitnya telah mem-posting komentar sekitar 70 sampai dengan 80 komentar. Namun keadaan tersebut bukan karena kesengajaan sang dosen, tapi lebih disebabkan karena situasi. Dosen yang sedang saya ceritakan ini adalah dosen pengganti dari dosen sebelumnya yang tidak pernah masuk mengajar kuliah di kelas saya dari awal semester. Dosen pengganti ini cukup fair menyiasati keadaan, di kelas saya dia hanya mewajibkan mahasiswa untuk mem-posting paling tidak 70-80 komentar untuk mendapatkan nilai tinggi katakanlah nilai A, sementara teman mahasiswa dari kelas lain paling tidak harus mem-posting di atas 200 komentar untuk mendapatkan nilai yang sama.

Saya dan teman-teman lain yang sekelaspun berlomba posting komentar sebanyak-banyaknya pada website tersebut guna mendapatkan nilai tertinggi yang bisa kita capai. Di antara saya dan teman-teman saya yang saling berlomba posting ini, ada seorang teman sekelas yang memang aktif di dunia hacking, lucunya saya kenal teman saya yang satu ini justru jauh sebelum saya kuliah di BSI. Kami sama-sama jadi member sebuah forum internet yang membahas tentang hacking di Indonesia, forum tsb adalah echo.or.id. Tapi saya tidak pernah kenal muka dengan teman saya yang satu ini, yang saya tahu pasti YM-ID-nya sudah ada pada list YM saya sejak 2 tahun lalu.(What a small world...!!!).

Profil teman saya ini lumayan banyak dikenal oleh para pengikut setia forum echo.or.id, karena teman saya ini pernah menemukan sebuah bugs/celah dalam friendster yang memungkinkan kita bisa men-deface halaman depan friendster seseorang. Bugs tersebut di-posting di forum echo.or.id dan website pribadinya. Ia juga mengaku pernah menemukan bugs pada jobsdb.com yang berupa SQL Injection. Saat ini saja yang saya tahu, dia memiliki beberapa account pada web hosting, yang mana account tsb didapat dari hasil dia melakukan aktifitas hackingnya. Pendeknya teman saya ini memang punya banyak pengalaman dalam dunia hacking-menghacking. Oh ya..ID teman saya ini di dunia maya adalah X-ACE, silahkan cari sendiri di Google profil X-ACE ini kalo ingin lebih tahu.

Kembali ke aksespraktis.net

Ketika X-ACE tahu perihal tentang dosen pengganti dan websitenya ini dan juga cara penilaian ini, timbul rasa iseng dalam pikirannya. Saat itu mungkin si X-ACE berpikir bagaimana cara cepatnya untuk bisa jadi komentator terbanyak dan mendapatkan nilai bagus dari dosen ini, tanpa perlu posting seperti teman-teman yang lain. Setelah diamati beberapa saat, X-ACE memutuskan untuk membuat sebuah exploit/program yang dirasa paling cepat dan mudah menurutnya. ya.. akhirnya dia membuat sebuah exploit dengan menggunakan script PHP.

Konsep dari exploit yang dibuat X-ACE ini sangat sederhana. Exploit ini hanya me-looping posting komentar sebanyak yang dia inginkan ke aksespraktis.net.

Begini gambaran exploit yang di buat oleh X-ACE.

Pada software web blog wordpress yang digunakan oleh sang dosen dalam membuat website aksespraktis.net, ada sebuah file yang menerima setiap posting komentar sebuah artikel. File tersebut adalah wp-comments-post.php, semua komentar terhadap sebuah artikel akan diproses oleh file ini. X-ACE tinggal mengarahkan posting yang berasal dari exploit-nya ke url dimana file tsb berada yaitu http://www.aksespraktis.net/wp-comments-post.php, buat orang yang pernah dan biasa mengoprek-oprek software ini tahu persis paramater-paramater apa saja yang harus di set ketika mem-posting ke file ini. Demikian juga dengan X-ACE, ia tahu persis paramater-parameter yang harus di set pada exploitnya ketika menembak url ini. Parameter-parameter itu diantaranya adalah username, email si pengirim komentar, website si pengirim komentar, isi komentarnya, dan id dari artikel yang ingin dikomentarinya. Selain isi komentar paramater-parameter yang lain dapat di set secara statis/tetap pada exploit X-ACE ini. Tapi isi komentar tidak boleh sama, sebab secara default, software wordpress ini akan menganggap komentar adalah spam jika isi komentar yang dikirim adalh sama.

X-ACE tidak kehilangan akal, untuk membuat isi komentar jadi tidak sama, ia menggunakan fungsi random character yang digabung dengan fungsi random integer yang memang tersedia dalam php untuk meng-generate isi komentar yang berbeda-beda. Sekarang exploit X-ACE telah selesai, tinggal tembak saja URL aksesparktis.net tsb. Aksipun dijalankan, dengan dua kali tembakan X-ACE kecewa, sebab ada message dari aksespraktis mengatakan exploitnya mem-posting telalu cepat, dalam satu detik ada lebih dari satu posting komentar, dan itu dianggap spam pula oleh software wordpress pada aksespraktis.net. “Hmm..” X-ACE bergumam sambil menghentikan serangannya. “Gue kasih delay satu detik saja kalau begitu..!”, oprek lagi script exploit tsb, dan all the perfect exploit script is done. Dan script pun kembali dijalankan, dan semuanya berjalan dengan lancar. Semua psoting komentar dari exploit yang dibuat oleh X-ACE diterima dengan mulus oleh aksespraktis.net. Pada looping sekitar 70-an X-ACE kembali menghentikan script exploit-nya. “Cukup sekian dulu posting-nya, besok lanjut lagi” gumamnya.

Demikian aksi X-ACE dan script exploit buatannya dalam mencapai tujuan iseng-isengnya. Pada hari kedua nama mbah-gondrong ada dalam list 10 koementator terbanyak dengan posting­-an sekitar 400-an komentar. Ya, X-ACE menggunakan nama mbah-gondrong sebagai username dalam script exploit yang dibuatnya.

Mungkin kode dan algoritma X-ACE dalam menyusun exploit-nya sederhana, tapi ide yang dimilikinyalah yang unik dan hebat, hanya orang yang kreatif dan inovatiflah yang mampu menelurkan ide seperti ini. Greets to X-ACE, jangan pandang aksi X-ACE ini sebagai ide yang destruktif, tapi coba kita pandang aksi ini sebagai sebuah kreatifitas dalam mencari pembuktian bahwa akan harus selalu ada perbaikan dari sebuah karya software. Bugs dan patch akan selalu harus ada dalam setiap perkembangan teknologi komputer dan internet. Demi tercapainya sebuah titik kesempurnaan dalam setiap karya teknologi, meski tingkat relatifitas kesempurnaan itu begitu bervariasi.

Oh ya..bagaimana dengan nasib aksesparktis.net, saat ini aksesprakis.net pun mengalami penyetingan ulang demi meminimalisir bugs-bugs yang memang ada pada software web blog wordpress. Saya pribadi percaya penuh kepada dosen-dosen saya yang menjadi admin pada aksepraktis.net ini, bahwa mereka bisa menerapkan security yang bagus pada web-nya, hanya saja bila memang masih ditemukan bugs di dalamnya, mungkin karena kealpaan dosen-dosen saya yang juga manusia, manusia yang pasti punya rasa lelah, lupa dan segala kekurangan yang memang ada pada diri manusia itu sendiri.

Semoga pengalaman ini menjadi pelajaran dan pengalaman bagi saya pada khususnya dan pembaca blog ini pada umumnya, sekian dan terima kasih.

Semoga bermanfaat

Josescalia

Shout out greets to :

• X-ACE

• Herwindo Dharmawan (Dosen dan admin aksespraktis.net)

• Petruz Christhoper (Dosen dan admin aksespraktis.net)

• http://www.aksespraktis.net