saya bingung mau isi write up apa, soalnya dibilang pro juga engga, tapi ada satu hal yang menarik buat dibahas.
KK KTP DORKING!
ya, ga salah! web pemerintahan kita masih banyak yang ga nerapin keamanan sesimple ngasih index.php difolder, atau .htaccess ini ngakibatin foldernya bisa kebuka beserta isinya, ini termasuk Sensitive Data Exposure
dan ini masuk kategori OWASP Top 10 – 2021: A02: Cryptographic Failures
tentunya fatal karena mengingat berisi data penting penduduk.
selain kk ktp ada juga yang lain contohnya:
Situs menyimpan password tanpa hash (plaintext).
File konfigurasi .env atau config.php bisa diakses publik.
Tidak menggunakan HTTPS saat kirim data login.
Token JWT tanpa enkripsi (base64 aja).
Database dump (.sql) bisa diakses lewat URL publik.
hal seperti ini bisa kita temuin cukup dengan dork: index of /kk/ site:go.id
atau index of /ktp/ site:go.id
tujuan gw write ini biar pemerintah ga sepelein ginian, meskipun data negara ini terkenal Open Source tapi ga menutup kemungkinan privasi masyarakat terus terlantar seperti ini.
ini langsung gua praktekin aja ya
cukup disini aja pembasannya ya.
yang jelas ini bahaya ya tuan tuan, bagi tim it pemerintah yang gabut baca ini:v jangan sampe yah pack xixi.
ini termasuk dalam OWASP Top 10 – 2021: A02: Cryptographic Failures
untuk para admin pemerintah, lebih teliti lagi ya pack xixi🗿