12 Maret 2011

Tugas03 II3062 Keamanan Informasi - Aplikasi Rentan Masalah Out of Bound Array (Buffer Overflow)

Bismillahirrohmanirrohim

Soal =============

Anda bisa memilih salah satu dari tugas ini:
  1. Anda diminta untuk membuat aplikasi yang rentan dan bermasalah dengan out of bound array (buffer overflow). Misalnya aplikasi meminta pengguna memasukkan nama dengan panjang tertentu tetapi Anda memasukkannya dengan teks diluar batas tersebut. Tunjukkan bahwa program Anda crash dan memiliki potensi celah keamanan (misal jatuh ke root prompt)
  2. Anda membuat aplikasi yang menguju aplikasi lain untuk potensi out of bound array tersebut. Misalnya, aplikasi Anda membuat (generate) teks yang panjang untuk dimasukkan ke form (pada aplikasi berbasis web), atau aplikasi Anda memberik teks yang aneh-aneh (fuzzer).

Jawaban ==============

Saya memilih tugas dengan tipe soal no.1
Di sini saya membuat aplikasi yang rentan terhadap masalah out of bound array (buffer overflow).
Pertama saya buat project untuk membuat aplikasi tesebut. Saya beri nama rachBadApps project.
Pembuatan aplikasi tersebut menggunakan bahasa C dengan hierarki seperti yang ditunjukkan oleh gambar berikut ini:

[click to enlarge]
Selanjutnya setelah saya buat program tersebut, maka dilakukanlah pengujian dengan menjalankan aplikasi tersebut. Pertama, saya lakukan pengujian untuk kasus safe dimana input (nama) yang diberikan masih menunjukkan program valid, yaitu tidak terjadi buffer overflow. Berikut respon program jika tidak terjadi buffer overflow:

[click to enlarge]

Namun, selanjutnya jika saya menuliskan input (nama) yang lebih panjang, maka bisa terjadi buffer overflow seperti yang ditampilkan pada gambar berikut ini:

[click to enlarge]
Nah, dari gambar terakhir, didapatkan bahwa program yang saya buat ini tidaklah safe, melainkan sangat mudah terjadi masalah / rentan masalah. Oleh sebab itulah, dengan mengamati fenomena yang ada ini, seseorang bisa saja mencari kesalahan suatu sistem dan mengidentifikasi kinerja sistem tersebut untuk melakukan serang terhadap sistem tersebut. Oleh sebab itu, program semacam ini diharapkan tidaklah dicontoh, melainkan dijadikan referensi untuk ke depan dalam membangun suatu sistem yang baik dan tidak  bermasalah, atau minimal tidak memiliki banyak potensi bermasalah.
Semoga bermanfaat ...

0 respon:

Recent Comments

Powered by Blogger Widgets