Description

INTRODUCTION

Di era digital, aplikasi web menjadi pondasi utama untuk layanan online, mulai dari edukasi hingga transaksi keuangan. Namun, dengan meningkatnya ketergantungan pada teknologi, risiko ancaman siber juga semakin tinggi. serangan seperti Cross-site Scripting(XSS), SQL injection, dan Broken Access control dapat menyebabkan banyak sekali kerugian baik bagi pengguna maupun organisasi/perusahaan.

VAPT atau Vulnerability Assessment and Penetration Testing (VAPT) merupakan metode sistematis yang dapat mengidentifikasi kerentanan keamanan web dan secara tidak langsung menjadi salah satu penangkal dalam masalah terkait tingginya ancaman siber yang dapat  membantu organisasi dalam melindungi data sensitifnya.

Bisa.ai merupakan perusahaan start up yang mengembangkan layanan dan produk seputar Artificial Intelligence yang didirikan pada tahun 2019.  Pada project ini menggunakan target bisa.ai dengan IP address 110.239.94.146 pemilihan target ini dikarenakan bisa.ai merupakan perusahaan yang kemungkinan  sudah sangat bagus sehingga meminimalisir kerugian dari pengguna bisa.ai dan perusahaan itu sendiri.besar dijadikan target oleh oknum-oknum nakal mengingat banyak yang pastinya mengakses bisa.ai terutama bagi pelajar, mahasiswa, atau bahkan kalangan umum yang mungkin saja masih awam terhadap keamanan siber. Sehingga perlu dilakukan pentest untuk memastikan bahwa keamanan bisa.ai benar-benar terjamin.

PROBLEM

Tren Ancaman Siber di Era Digital 
Ancaman siber terus berkembang, dan aplikasi web menjadi target utama. Beberapa ancaman yang sering ditemukan adalah:

• Cross-Site Scripting (XSS)  dengan menyusupkan script berbahaya untuk mencuri data pengguna.
• SQL Injection dengan mengeksploitasi celah dalam query database untuk mendapatkan akses ke data sensitif.
• Sensitive Data Exposure dengan membuka akses ke data sensitif seperti kredensial pengguna dan konfigurasi sistem.

Risiko Tanpa Perlindungan Keamanan yang Baik
Organisasi tanpa sistem keamanan yang memadai menghadapi risiko serius, seperti:

• pelanggan mengalami kehilangan data pribadi 
• Kehilangan kepercayaan pengguna akibat insiden keamanan. 
• Biaya pemulihan data dan potensi kehilangan pelanggan yang dialami oleh perusahaan.
• Risiko sanksi hukum karena tidak memenuhi standar keamanan.

SOLUSI

untuk mengatasi masalah keamanan serta serangan siber yang tinggi, diperlukan adanya vulnerability assessment and penetration testing (VAPT). VAPT membantu organisasi atau perusahaan untuk mengidentifikasi dan memperbaiki kerentanan dalam sistem mereka sehingga risiko yang ada semakin berkurang.

HASIL DAN TEMUAN

1. Sensitive Data Exposure

CVE : [ CVE-2021-41773 ]

URL Terdampak : https://gate.bisaai.id/script/ 

Severity : HIGH

CVSS : 8.2 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Pada URL yang terdampak ditemukan beberapa data dan file sensitif di dalamnya dalam format .xslx dan .py dan dapat diakses secara publik dengan menambahkan directory /script pada ujung URL. Yang berisi email pribadi peserta MSIB Batch 3 & 4, serta pada file python terdapat konfigurasi database Bisa AI

Gambar 1. Setelah URL gate.bisaai.id ditambahkan /script

Gambar 2. Kode dari file .py #1

Gambar 3. Kode dari file .py #2

2. Unrestricted Resource Access

CVE : [ CVE-2018-10561 ]

URL Terdampak : https://sandbox.msib.bisa.ai/sandbox.msib.bisa.ai.sql 

Severity : HIGH

CVSS : 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Pada URL yang terdampak secara otomatis mengunduh file .sql lengkap dengan isi dari table-table nya dari database Bisa AI. Dengan update data Februari 2024. Yang di dalamnya berisi data yang sangat sensitif seperti data company, data pribadi karyawan, data pribadi user, dll. 

Gambar 4.  Isi dari file .sql #1

Gambar 5. Isi dari file .sql #2

3. Stored XSS via Input User on Profile Update Feature

CVE : [ CVE-2023-25012 ]

URL Terdampak : https://bisa.ai/myprofile 

Severity : MEDIUM

CVSS : 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Kami menemukan kerentanan Stored XSS pada domain utama bisa.ai, pada fitur update profil di bagian input user kolom Nomor telepon, URL LinkedIn, dan URL Instagram. Dengan menggunakan payload element <img>. Kerentanan ini bersifat Stored karena tiap kali user melakukan refresh terhadap halaman akan muncul pop-up XSS.

Gambar 6. Saat script XSS dijalankan oleh server

4. Chained Stored XSS 

CVE : [ CVE-2017-5638 ]

URL Terdampak : https://bisa.ai/myprofile dan https://bisa.ai/testimonial

Severity : HIGH

CVSS : 7.6 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

Kami menemukan kerentanan Stored XSS pada domain utama bisa.ai, pada fitur update profil di bagian input Nama lengkap. Dengan menggunakan payload element <img>. Kerentanan ini bersifat Chained (berantai) karena pada halaman testimonial yang menampilkan Foto, Nama lengkap dan Komentar dari user, akan memunculkan pop-up XSS yang di inputkan pada kolom Nama lengkap pada fitur update profil. Sehingga input pada halaman fitur update profil juga berdampak pada halaman testimonial.

Gambar 7. Saat menyisipkan Script XSS dan dijalankan oleh server

Gambar 8. Script XSS dijalankan oleh server saat load halaman /testimonial

5. Broken Access Control

CVE : [ CVE-2020-2551 ]

URL Terdampak : https://bisa.ai/myprofile 

Severity : HIGH

CVSS : 8.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Kami menemukan kerentanan Broken Access Control (BAC) pada domain utama bisa.ai di fitur update profil. Dengan menggunakan tools burpsuite dan skenario 2 akun hacker dan victim, kami menangkap request dari ke 2 akun pada fitur update profil (POST), dan kami berhasil melakukan update profil akun victim melalui request akun hacker. Dan juga berhasil mengirimkan payload XSS ke akun victim sehingga serangan menjadi lebih tertarget

Gambar 9. Melihat request yang dikirim ke server

Gambar 10. Server menjalankan script yang ditanamkan

RELEVANSI DAN PELUANG

Temuan kerentanan pada aplikasi Bisa AI, seperti sensitive data exposure, XSS, dan broken access control, sangat relevan dengan meningkatnya ancaman siber terhadap aplikasi web, karena kerentanan ini dapat menyebabkan pencurian data dan merusak reputasi pengguna serta organisasi. Peluang untuk meningkatkan keamanan meliputi memperbaiki kontrol akses, enkripsi data, validasi input yang lebih ketat, dan pengujian keamanan secara rutin. disisi lain, peluang bisnis dalam sektor keamanan sier juga besar, terutama bagi penyedia layanan VAPT yang dapat membantu organisasi melindungi data sensitif dan mematuhi regulasi yang berlaku.

PROSES KERJA

Proses kerja VAPT( Vulnerability Assessment and Penetration Testing) pada website Bisa.AI mencakup tahap-tahap penting, termasuk information gathering, scanning, exploitation, vulnerability analysis, dan reporting.

Information Gathering

Information gathering atau pengumpulan informasi merupakan tahap dilakukannya pengumpulan informasi sebanyak-banyaknya terhadap target. Tahap ini bertujuan untuk mengetahui informasi-informasi penting target yang nantinya dapat berguna saat melakukan eksploitasi. 

Scanning

Scanning adalah tahap dimana kita “meraba-raba” target untuk mencari celah atau lubang keamanan yang mungkin ada. Dalam tahap scanning, kita akan mencari tahu informasi penting seperti layanan apa saja yang sedang aktif di target, mencari tahu port-port mana yang terbuka dan layanan apa yang berjalan.

Exploitation

Pada tahap eksploitasi ini, kita akan memanfaatkan kerentanan-kerentanan yang telah ditemukan untuk mendapatkan akses yang tidak sah ke sistem target. Dalam tahap ini kita akan memilih kerentanan yang paling memungkinkan untuk dieksploitasi dan memiliki dampak yang paling besar. 

Vulnerability Analysis

Pada tahap ini, kita melakukan penilaian tingkat risiko dari setiap kerentanan yang ditemukan. Beberapa faktor yang perlu dipertimbangkan adalah tingkat keparahan kerentanan, kemungkinan eksploitasi, dan dampak potensial jika kerentanan tersebut dieksploitasi. 

Reporting

Tahap ini merupakan tahap terakhir, yaitu pelaporan. Laporan inilah yang nantinya akan dijadikan panduan kerentanan mana yang akan diperbaiki terlebih dahulu serta menjadi bukti kerentanan.

REKOMENDASI MITIGASI

sensitive data exposure

Menerapkan enkripsi AES-256 untuk data sensitif saat penyimpanan dan menggunakan TLS(transport layer security) untuk melindungi data saat transit.

Mengatur konfigurasi server untuk membatasi akses ke direktori tertentu dan menghapus file sensitif dari direktori

Menerapkan prinsip least privilege dengan memastikan hanya pihak yang memerlukan akses ke file sensitif yang diberikan izin

unrestricted resource access

Menghapus file .sql dari direktori yang dapat diakses melalui URL publik dan memastikan tidak ada salinan file di lokasi lain yang dapat diakses secara tidak sah.

Menggunakan firewall atau web application firewall (WAF) untuk membatasi akses ke database hanya dari alamat ip terpercaya.

stored XSS via input user on profile update feature

Melakukan sanitasi semua data yang dimasukkan oleh pengguna untuk mencegah eksekusi skrip berbahaya

Memastikan validasi input dengan ketat dan melakukan encoding output sebelum menampilkan data di browser

menggunakan content security policy (CSP) untuk membatasi sumber daya yang dapat dieksekusi pada halaman web.

chained stored XSS

Menerapkan sanitasi input pada setiap kolom input, untuk menghilangkan potensi skrip berbahaya.

menggunakan framework web yang memiliki perlindungan built-in terhadap XSS, seperti Django atau Ruby on Rails.

melakukan pengujian keamanan secara berkala untuk mendeteksi potensi kerentanan XSS

Broken access control

memastikan setiap permintaan untuk memperbarui data profil memverifikasi bahwa pengguna yang melakukan permintaan adalah yang berwenang.

mengimplementasikan Role-Based Access Control (RBAC) untuk membatasi akses pengguna ke data dan fitur tertentu berdasarkan peran mereka.

menggunakan metode autentikasi berbasis JWT (json web tokens) atau OAuth 2.0 untuk memastikan bahwa setiap permintaan dilengkapi dengan informasi pengguna yang valid.

KESIMPULAN DAN AKSI LANJUTAN

Melalui kegiatan Vulnerability Assessment dan Penetration Testing (VAPT) terhadap domain bisa.ai, ditemukan lima kerentanan kritis:

• Sensitive Data Exposure – Terungkapnya data sensitif seperti email pribadi, konfigurasi database, dan file lainnya yang berisiko tinggi menyebabkan kebocoran data.
• Unrestricted Resource Access – Akses publik ke file .sql yang mengandung data penting perusahaan dan pengguna.
• Stored XSS via Input User on Profile Update Feature – Potensi eksekusi skrip berbahaya dari input pengguna yang tersimpan di server.
• Chained Stored XSS – Kerentanan XSS berantai yang melibatkan beberapa fitur aplikasi.
• Broken Access Control – Penyerang dapat mengganti data pengguna lain melalui eksploitasi akses yang tidak sah.

Dampak dari kerentanan ini termasuk kebocoran data besar-besaran, manipulasi data, pelanggaran integritas sistem, hingga serangan yang menargetkan pengguna secara spesifik.

Metodologi yang digunakan, meliputi information gathering, scanning, exploitation, vulnerability analysis, dan reporting, telah membantu mengidentifikasi kelemahan signifikan pada sistem.