Kecerobohan Security Daftar Ulang MABA Untirta

20.47 3 Comments



Assalamualaikum Warahmatullahi Wabarakatuh

Untirta (Universitas Sultan Ageng Tirtayasa) adalah Universitas yang berada di Banten. Ada celah (atau bahasa kerennya vulnerability/bug) yang ada pada sistem daftar ulang Untirta.

Pada prosedur untirta, setelah mendapatkan pengumuman bahwa keterima di untirta lewat SNMPTN/SBMPTN/UMBTN/UMM, mahasiswa di haruskan daftar ulang di http://maba.untirta.ac.id/. Di web tersebut anda di haruskan login menggunakan nomor peserta yang di dapatkan dari SNMPTN/SBMPTN/UMBTN/UMM dan tanggal lahir.

Lalu di mana bugnya?
'Blundernya' pengumuman seleksi SBMPTN/UMBTN/UMM (SNMPTN tidak di temukan) di upload di web untirta dengan nama dan full nomor pesertanya.

Terus tanggal lahirnya dapet dari mana?
Facebook (Edited : ternyata mudah sekali mencari tanggal lahir hanya bermodalan nomor peserta, cek paling bawah)

langsung saja ya caranya

Saya menggunakan hasil dari UMM (Ujian Masuk Mandiri), hasilnya bisa di liat di http://www.untirta.ac.id/berita-947-pengumuman-hasil-seleksi-calon-mahasiswa-baru-jalur-umm-2014.html, lalu lihat di bagian "Lampiran SK Rektor Hasil Seleksi UMM 2014".

Saya contohkan adalah orang yang tidak saya kenal dan saya ingin melihat biaya persemester jurusan Elektro. Bagian di sini agak susah, karena biasanya jika belum berteman, tanggal lahir di hidden.
Saya coba2 terus nama yang ada di daftar, lalu cari FB, dan viola, orang yang tidak di kenal, tidak berteman tapi tanggal lahir muncul.





Kita coba login di http://maba.untirta.ac.id/login.html, dan berhasil





kita bisa lihat biodata



bisa lihat juga lampiran2 yang sudah di upload (Termasuk SK Gaji Orang Tua)




dan tujuan saya adalah melihat info biaya per semester, kita lihat, dan viola keluar




Untungnya saja jika sudah di verifikasi, tidak bisa di rubah melalu web


"Wow, berarti berbahaya sekali ya"
yup, benar sekali
"tapi kenapa di posting di blog?"
di web untirta tidak ada form untuk feedback web, yasudah saya posting di sini :v

Mungkin memang bukan full dari kecerobohan untirta, tapi seharusnya Untirta sudah memikirkan ini dan untuk apa mengupload daftar nama seleksi, toh hasiilnya bisa di lihat masing2 peserta di SNMPTN/SBMPTN/UMBTN, kalo memang ingin di upload, seharusnya jangan full cantumkan nomor peserta, tulis saja 3 atau 4 digit terakhir.



Sekian dari saya, jika ada yang tersinggung mohon maaf
Jika pihak untirta ingin menghapus postingan ini, silahkan hubungi saya

Wassalamualaikum Warahmatullahi Wabarakatuh
Salam White Hat

Edited :

Format link image persyaratan Maba Untirta sangat lah mudah di tebak, yaitu
http://maba.untirta.ac.id/registrasi/syarat/ID-NomorPeserta.JPG
jadi, 'ID' di ganti angka 1 - 9, dan nomor perseta di ganti dengan nomor peserta.
Di situ kita bisa melihat image persyaratan2 seperti Ijasah, akta kelahiran, kartu keluarga. Jadi dengan bermodal mengetahui Nomor peserta, kita bisa masuk ke web Maba Untirta.

Contoh saya ambil Nomor peserta 7142800059. Langsung kita cari tanggal lahirnya
http://maba.untirta.ac.id/registrasi/syarat/1-7142800059.JPG
yup, langsung ketemu tanggal lahirnya, jadi langsung bisa masuk ke web maba untirta

3 komentar:

  1. Wew kalo gitu bisa kebocoran data pribadi D:

    BalasHapus
  2. Ada gitu yg niat nyari2 data mahasiswa kaya gitu? Untuk apa?

    BalasHapus
  3. Mantep amat mat ....

    Btw, itu ada nama temen ane yang mamat SS :v

    BalasHapus