SQL Injection dan XSS Temuan Terbanyak “Bug Hunter”
Ilustrasi. Foto: BSSN yang telah dimodifikasi.
Jakarta, Cyberthreat.id – SQL Injection dan XSS (Cross-site Scripting) menjadi celah keamanan (bug) sistem informasi yang paling banyak dilaporkan para pemburu bug (bug hunter) ke Badan Siber dan Sandi Negara (BSSN).
Dalam statistik laporan sejak Januari hingga 29 April 2019, dari 895 buah laporan yang diterima, SQL Injection dan XSS mencapai 637 buah. Kebanyakan bug hunter menemukan celah tersebut di tiga sektor, yaitu pemerintahan, ekonomi digital, dan Informasi Infrastruktur Kritikal Nasional (IIKN).
Para “bug hunter” tersebut merupakan sukarelawan yang direkrut BSSN melalui Voluntary Vulnerability Disclosure Program (VVDP) selama setahun terakhir. Mereka bisa individu-individu atau komunitas siber.
Berita Terkait:
Jenis laporan kedua yang paling banyak ditemukan adalah Cross-site Scripting (XSS) sebanyak 129 buah, Information disclosure 11 buah, dan Websiste redirection sembilan buah.
Sementara, bug lain yang ditemukan seperti SQL Injection & reflacted XSS (8), CVE (8), blank (8), Exploitation of weak configuration (6), Local file inclusion (5), Bypass SQL login (4), PHP backdoor (4), upload malware (4), SQL Injection, weak password, dan CSRF (3), dan lain-lain.
Dari jumlah pelapor tersebut, kebanyakan pelapor berusia antara 16 tahun hingga 25 tahun. Usia 16 tahun tercatat paling tinggi dengan jumlah 46 orang dan usia 19 tahun sebanyak 23 orang. Ada pelapor yang tercatat usia 14 tahun (2) dan 15 tahun (4). Di atas usia 30 tahun juga ada, tapi tidak begitu banyak.
Berita Terkait:
Apa itu VVDP?
Kasubdit Proteksi Infrastruktur Kritis Nasional BSSN, Adi Nugroho, mengatakan, program VVDP atau bug bounty belum banyak dikenal oleh pemilik sistem di Indonesia sehingga sangat sedikit yang menyelenggarakan program itu karena terkendala sumber daya manusia dan biaya.
Program tersebut, menurut Adi, memungkinkan penemu celah (bug hunter) bekerja sama dengan pemilik sistem untuk menemukan solusi sebelum terjadi peretas mengeksploitasi bug tersebut.
Sumber: Alur pelaporan bug yang bisa dilakukan oleh individu atau komunitas siber kepada BSSN.
Menurut Adi, tujuan VVDP untuk menjembatani pelapor kerentanan, tapi pemilik sistem tidak memberikan respons dan perbaikan. “Hal ini penting dilakukan apalagi jika kerentanan ditemukan pada sistem yang kritikal atau digunakan publik secara luas,” kata Adi dalam sharing session antara BSSN bersama komunitas siber di Hotel Aston, TB Simatupang, Jakarta, Jumat (24/5/2019). Hadir dalam acara tersebut sekitar 30-an bug hunter yang telah bergabung dalam VVDP.
Selain itu, menurut Adi, VVDP juga sebagai bentuk pembinaan dan pengawasan BSSN terhadap komunitas “bug hunter” atau hacker Indonesia.
“(Ini juga) sebagai salah satu jalan untuk mengarahkan energi berlebih (bug hunter) dan kemampuan yang dimiliki untuk tujuan positif,” kata Adi seperti dalam paparannya. Keuntungan bagi pelapor adalah selain apresiasi dari pemilik sistem juga peluang pekerjaan di sektor cybersecurity.
Sumber: BSSN
