I n d on e s i an   Jo u r n al   o El e c t r i c al   En gi n e e r i n g   an d   C o m p u te r   S c i e n c e   V o l .   16 ,   N o .   2 N o v e m b e r   201 9 ,   pp.   860 ~ 881   IS S N :   2502 - 4752 ,   D O I :   10. 1 1591 / i j e e c s . v 1 6 .i 2 . pp860 - 881             860       Jou r n al   h o m e pa ge ht t p: / / i ae s c or e . c om / j our na l s / i nde x . php/ i j e e c s   S e c u r i t y   a ss e ssm e n t   o f   f o u r   o p e n   s o u r c e   so f t w a r e   sy st e m s       F ar az   I d r i s   K h an 1 Y as i r   Jav e d 2 M am d ou h   A l e n e z i 3   1 , 2 , 3 S e c ur i t y   E ng i ne e r i ng   L a b,   P r i nc e   S u l t a n   U ni v e r s i t y ,   R i y a dh,   S o ut h   K o r e a     2 N e t w o r S e c u r i t y   R e s e a r c G r o up ,   F a c ul t y   of   C o m put e r   S c i e nc e   a nd  I nf o r m a t i o T e c hno l o gy ,     U ni v e r s i t i   M a l a y s i a   S a r a w a k M a l a y s i a     A r ti c l e   I n fo     A B S TR A C T     Ar t i c l e   h i s t or y :   R e c e i v e J a 29 ,   2 019   R e v i s e A pr   3 0,   2019   A c c e pt e M a y   21,   20 19       I n c o r po r a t i ng   O pe S o ur c e   S o f t w a r e   ( O S S )   t o o l s   i s o f t w a r e   de v e l o pm e nt   i s   i nc r e a s i ng   da y   b y   da y   due   t o   t h e i r   a c c e s s i b i l i t y   o t he   i n t e r ne t .   W i t h   t h e   a dv a nt a g e s   o f   O S S   c o m e s   di s a dv a n t a g e s   i t e r m s   o f   s e c ur i t y   v ul n e r a b i l i t i e s .   T he r e f o r e ,   i t hi s   pa p e r ,   w e   a n a l y z e f o ur   f a m o us   o pe s o ur c e   s o f t w a r e   t o o l s   ( i . e .   M o o dl e ,   J o o m l a ,   F l a s a n V L C   m e di a   pl a y e r )   w h i c a r e   us e by   s o f t w a r e   de v e l o pe r s   no w a da y s .   F o r   t he   a na l y s i s   o f   e a c s y s t e m ,   s e c ur i t y   v ul ne r a bi l i t i e s   a nd  w e a k ne s s   w e r e   i de n t i f i e d ,   t h r e a t   m o de l s   w e r e   m o de l e a nd  c o de   i ns p e c t i o w a s   pe r f o r m e d.   T h e   f i nd i ng s   a r e   di s c us s e i   m o r e   de t a i l s .   Ke y w or ds :   O pe n   s o ur c e   s of t w a r e   s e c ur i t y   (O S S )   S e c ur e   p r o gra m m i n g   S e c ur e   s of t w a r e   de v e l o pm e n t   S of t w a r e   s e c uri t y   C opy r i gh t   ©   201 9   I n s t i t ut e   o f   A dv anc e E ng i ne e r i ng   and   S c i e nc e .     A l l   r i gh t s   r e s e r v e d .   Cor r e s pon di n g   Au t h or :   F a ra z   Id ri s   K ha n   S e c ur i t y   E ngi n e e ri n g   L a b ,     P r i n c e   S u l t a n   U ni v e r s i t y ,     R i y a dh ,   S o ut h   K o r e a .   E m a i l :   f i kha n 00 @ g m a i l . c o m       1.   I N TR O D U C TI O N   T e c hn o l o g y   a dv a n c e m e n t   ha s   e na b l e t h e   c r e a t i o n   o f   s m a l l e r   a nd  c h e a pe r   c o m put i n de v i c e s .   B e c a us e   o f   s uc h   de v e l o pm e n t s ,   i t   ha s   m a de   po s s i b l e   fo r   a l m o s t   a n y o n e   t o   ow n   m ul t i p l e   de v i c e s   w h i c c a n   b e   c o n n e c t e t o   t h e   i nt e rn e t .   S uc h   de v i c e s   a r e   u s e by   pe opl e   i n   t h e i r   e v e r y da y   l i f e .   It   i s   po s s i b l e   t o   d c o m m uni c a t i o n ,   pe r f o r m   i m po r t a n t   t a s ks   a n y w h e r e   a t   a n y   t i m e   b e c a us e   of   s uc h   a   w i de   a v a i l a b i l i t y     of   c o m put i n de v i c e s .     A s   o ur   r e l i a n c e   o n   c o m put i ng  de v i c e s   a n t h e i i nt e rn e t w or k i n a r e   i n c r e a s i n g   d a y   by   da y ,   a t   t h e   s a m e   t i m e   c o n c e rn s   o s e c ur i t y   i s   a l s o   pr o po r t i o n a l l y   i n c r e a s i ng.   B e c a us e   of   t h e   pe n e t ra t i o n   o f   t h e s e   de v i c e s   i n   o ur   e v e r y da y   l i fe   a c t i v i t i e s ,   t h e   i n f o r m a t i o t ha t   t h e s e   de v i c e s   h o l i s   o f   e xt r e m e   i m po r t a n c e   i n   t e rm s   of  pri v a c y   a n d   s e c u r i t y .   R e ve a l i n g   s uc i n f o r m a t i o l e a d   t h e   a t t a c ke r s   t o   s a b o t a ge   t h e   n o r m a l   o pe r a t i o o f   t h e   c o m put i n de v i c e s   a n t h e   s e r v i c e s   pr ov i de by   t h e m .   E s pe c i a l l y ,   t h e   gr o w i n po pul a ri t y   of   e - c o m m e r c e   a ppl i c a t i o n   ha s   a l s o   ra i s e t h e   s e c ur i t y   t hr e a t   f o r   o r ga ni z a t i o n s   r e l y i n o s uc h   o n l i n e   a p pl i c a t i o n s .   S y s t e m   s e c ur i t y   i s   a ffe c t e by   s of t w a r e   s e c ur i t y   pr o b l e m s .   A s   a t t a c ke r s   c a n   e xp l o i t   t h e   de f e c t s   i n     t h e   s of t w a r e   t o   s a bo t a ge   t h e   n o rm a l   o pe r a t i o n   o f   c o m put e r   s y s t e m s .   O pe n   s o ur c e   s of t w a r e ha s   f urt h e   a gg r a v a t e t h e   s i t u a t i o n.     N ow a da y s   f r e e   of   c o s t   a n w i de s pr e a a c c e s s i b i l i t y   t o   o pe n   s o ur c e   s of t w a r e   ha v e   m o t i v a t e o r ga ni z a t i o n s   t o   l e ve r a ge   a   v a ri e t y   of  o p e n   s o ur c e   pr o duc t s .   T h e s e   o pe n   s o ur c e   pr o duc t s   i n c l ude   l i b ra r i e s   a v a i l a b l e   fo r   c o de ,   o pe r a t i n s y s t e m s ,   s of t w a r e   s t a c k, a n d   a p pl i c a t i o n s .   U s i n g   o pe n   s o u r c e   i n c ur s   a   c o s t   a t   t h e   s a m e   t i m e   e n a b l e s   f l e xi b i l i t y   b ut   put   f o r t h   c ha l l e n ge s   i t e rm s   o f   s e c ur i t y .   S e c ur i t y   of   o pe n   s o ur c e   ha s   b e c o m e   a   ke y   c o n c e r f o r   e n t e r p ri s e s ,   w h i c h   a r e   t hi n k i n of   i n c o r po ra t i n i t   a s   pa rt   o f   t h e   s o f t w a r e   s t a c k.   O pe n   s o ur c e   s o f t w a r e   i s   de v e l o pe by   c o m m uni t i e s   of   s of t w a r e   p r o g r a m m e r s   w h o   w r i t e   c o de   pub l i c a l l y   a v a i l a b l e   t o   e ve r y o n e   ov e r   t h e   i n t e rn e t .   D ue   t o   t h i s   f a c t ,   o pe n   s o ur c e   s of t w a r e   i s   l e s s   s e c ur e   a s   c o m pa r e t o   Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Se c ur i t y   as s e s s m e nt   of   f our   op e s o ur c e   s of t w ar e   s y s t e m s   ( F ar az   Idr i s   Khan )   861   pr o p r i e t a r y   a ppl i c a t i o n s .   T h e   o t h e r   m a j o r   c o n c e rn   o f   o pe n   s our c e   s o f t w a r e   i s   t ha t   t h e   o pe n   s o ur c e   de v e l o p e r ‟s   c o m m uni t y   i s   s l o w   i r e l e a s i n g   s o f t w a r e   p a t c h e s   h a ndl i n g   k now n   v ul n e ra b i l i t i e s   i n   t h e   s o f t w a r e .     In  o r de r   t o   c o n t ri b ut e   t o w a r ds   t h e   s t udy   of   o pe n   s o ur c e   s of t w a r e   s e c ur i t y   w e   s e l e c t e fo ur   po pul a o pe n   s o ur c e   s of t w a r e   us e by   de v e l o pe r s .   W e   de e pl y   a n a l y z e   t h e   a r c h i t e c t u r e   of   o pe n   s o ur c e   s of t w a r e   i t e rm s   of   s e c ur i t y   f l a w s .   F o r   e a c h   o pe n   s o ur c e   s of t w a r e   w e   h i ghl i g ht   s e c ur i t y   w e a kn e s s e s   by   p e r f o r m i n c o de   i n s pe c t i o n   a n di s c us s e po s s i b l e   s o l ut i o n s .   M o s t   of  t h e   l a t e s t   w o r [1 - 5]  i n   a na l y z i n s e c uri t y   of   t h e s e   fo ur   o pe n   s o ur c e   s of t w a r e s   a r e   de s c r i pt i v e   a n h a rd  f o r   a n y   o n e   w h o   i s   n o t   e xpe r t   o s e c ur i t y   t o   c o m pr e h e n o pe n   s o ur c e   s o f t w a r e   s e c ur i t y   i s s ue s . W e   s um m a r i z e o ur  a na l y s i s   w h i c c a n   a c t   a s   a   gu i de   f o r   s ofw a r e   e ngi n e e r s   w h o   a r e   n o t   e xpe r t   o f   n e t w o r s e c ur i t y .   T h e   s t udy   c a n   h e l t h e   s of t w a r e   de v e l o pm e n t   t o   qui c kl y   r e v i e w   t h e   s e c ur i t y   i s s ue s   of   p o pul a r   o pe n   s o ur c e   s of t w a r e   w h i c h   c a n   a s s i s t   i n   de v e l o pi n s e c ur e   s o f t w a r e .     Co n t ri b ut i o o ur  w o r i s   a s   f o l l o w s .     a)   S um m a r i z e   s e c ur i t y   v ul n e ra b i l i t i e s   o f   e a c h   o f   t h e   o pe n   s o ur c e   s of t w a r e     b)   P e r f o r m   c o de   i n s pe c t i o n   o f   e a c h   o pe n   s o ur c e   s of t w a r e   t o   hi g h l i g ht   s e c ur i t y   w e a kn e s s e s   a n po s s i b l e   s o l ut i o n s   W e   o r ga ni z e   o ur   pa pe r   a s   f o l l ow s .   S e c t i o n   di s c us s e s   t h e   l i t e r a t u r e   r e v i e w .   In   S e c t i o n   3 ,   w e   di s c us s   o ur   r e s e a r c h   m e t h o d,   w h e r e   w e   di s c us s   s e c ur i t y   w e a kn e s s e s   a n c o n c e rn s   o f   fo ur   f a m o us   o p e n   s o ur c e   s of t w a r e   t o o l s   us e by   d e ve l o p e r s .   A l o n w i t h   t h e   w e a kne s s e s   a n i s s ue s ,   w e   di s c us s   p o s s i b l e   s o l ut i o n s .     In   S e c t i o n   4,   w e   pr e s e n t   o u r   r e s ul t s   o f   c o de   i n s pe c t i o n   o fo ur   o pe n   s o ur c e   s o f t w a r e   s y s t e m s .   S e c t i o n   5,   pr e s e nt s   d i s c us s i o n   o t h e   h i g hl i g h t e s e c u r i t y   i s s ue s .   I s e c t i o n   6,   w e   c o n c l ude   o ur  p a pe r.       2.   LI TER A T U R R EV I EW   R e s e a r c h   i n   o pe n   s o ur c e   s of t w a r e   s e c ur i t y   h a s   r e c e i ve a t t e nt i o n   f r o m   t h e   r e s e a r c h   c o m m u ni t y .     In   t hi s   s e c t i o n ,   w e   di s c us s   s o m e   of   t h e   e ffo r t s   i n   t h i s   d i r e c t i o n.   I n   [6],   t h e   a u t h o r s ,   s e e t pr o be   i n t o   h o w   t h e   o r ga ni z a t i o n s   h a v e   i n c o r po ra t e s e c ur i t y   i n   o pe n   s o ur c e   s o f t w a r e .   F u r t h e rm o r e ,   t h e   a u t h o r s   pu t   a e f fo r t i n t o   c l a s s i fy i n t h e   w a y s   i n   w hi c s e c ur i t y   i n   o pe n   s o ur c e   s of t w a r e   i s   i n c o r po r a t e d.   T h e   a ut h o r s   i [7]  i de n t i f i e t h e   ga ps   i n   o pe n   s o ur c e   s of t w a r e   s e c ur i t y   a n pe r f o r m   s t udi e s   o n   t h e   i s s ue   w h i c h   r e s ul t e i n   s ugge s t i o n s   f o r   a n y o n e   w h o   i s   g o i n t o   us e   o pe n   s o ur c e   s of t w a r e .   T h e   a ut h o r s   i n   [8]  p e r f o r m   a na l y s i s   o n   a r o u n a   hu n d r e f i f t y   r e s e a r c h   p a pe r s   a n i de n t i f i e t h e   o pe n   s o ur c e   pr o j e c t   c o m m u n i t i e s   w h i c h   r e c e i v e a t t e n t i o n   f r o m   t h e   r e s e a r c c o m m u n i t y   a n d   r e s e a r c que s t i o n s   w hi c a r e   put   f o r w a r b y   t h e   r e s e a r c h e r s .     In   [9 t h e   a ut h o r s   p r e s e n t e d   a   b ri e f   r e v i e w   of   t h e   r e s e a r c h   o s of t w a r e   de v e l o pm e n t   r e l a t e p r a c t i c e s   fo r   e n s u ri n s e c uri t y   i n   o pe s o ur c e   s of t w a r e .   T h e   a u t h o r s   i n   [ 10]  s u m m a r i z e t h e   l i t e r a t u r e   o n   o pe n   s o u r c e   s of t w a r e   s e c ur i t y   a n a l s o   pr e s e n t e d,   f i n di n gs   i n   t h e   l i t e r a t u re ,   i n   c a t e g o ri z e f o r m .   A l s o ,   i n   [11]  t h e   a ut h o r s   r e v i e w e s o m e   r e s e a r c h   o n   o pe s o ur c e   s o f t w a r e   s e c ur i t y   a nd  o r g a n i z e   t h e m   i n t o   c a t e go ri e s .     S of t w a r e   v ul n e r a b i l i t y   a s s e s s m e n t   r e s e a r c h   i s   c a t e go ri z e i nt o   t w o   t y p e s   of   s of t w a r e   v ul n e r a b i l i t y   a n a l y s i s   a n s o f t w a r e   v ul n e ra b i l i t y   di s c ov e r y .   A n a l y s i s   of   s o f t w a r e   v ul n e r a b i l i t y   i s   m o r e   f oc us e o n   di s c ov e r i ng  c ha ra c t e ri s t i c s   o f   v ul n e r a b i l i t i e s ,   w h i c h   h e l ps   i n   de t e r m i n i ng  t h e   c a us e .   A l o n w i t h   c a us e ,   i t   a l s h e l ps   i de t e rm i ni n po s i t i o n.   O n   t h e   o t h e r   ha n d ,   s o f t w a re   v ul n e ra b i l i t y   di s c ove r y   a t t e m pt s   t o   s e a r c h   f o r   e xi s t i n g   b ut   u n d i s c ov e r e v ul n e r a b i l i t i e s .   P r e v i o us   w o r i t h e   d i r e c t i o n   o f   s of t w a r e   v ul n e r a b i l i t y   a na l y s i s   c a n   b e   fo un i n   [12] .   A nd,   p r e v i o us   w o r i n   s o f t w a r e   v ul n e ra b i l i t y   di s c o ve r y   c a n   b e   fo un i n   [13] . T h e r e   a r e   va r i o us   t e c hn i que s   p r o po s e i n   t h e   l i t e ra t u r e   f o r   s o f t w a r e   t e s t i n s uc a s   t ha t   f o un i [1 4].     A s   w e b   a ppl i c a t i o n s   a r e   de pe n de n t   o n   i n t e rn e t   c o nn e c t i v i t y   w h i c m a ke   t h e m   v ul n e ra b l e   t o   s e c ur i t y   a t t a c ks   o v e r   t h e   i n t e rn e t .   S uc h   a ppl i c a t i o n s   a r e   us ua l l y   s ubj e c t e t o   a t t a c ks   w h i c h   us u a l l y   m o di f i e s   s e n s i t i v e   da t a   a nd  a f f e c t   t h e   a v a i l a b i l i t y   of   t h e   s e r v i c e s   t o   a ut h o r i z e us e r s .   O pe w e b   a ppl i c a t i o s e c ur i t y   pr o j e c t   (O W A S P h a v e   i de nt i f i e t o 10  w e b   a ppl i c a t i o n   s e c ur i t y   r i s ks   w h i c h   a r e   i n j e c t i o n,   c r o s s - s i t e   s c r i p t i ng  (X S S ),   b r o ke n   a u t h e n t i c a t i o n   a n s e s s i o n   m a na ge m e n t ,   i n s e c ur e   di r e c t   o b j e c t   r e fe r e n c e s ,   c r o s s - s i t e   r e que s t   fo r ge r y ,   s e c ur i t y   m i s c o n f i gura t i o n ,   i n s e c ur e   c r y pt o gr a p hi c   s t o r a ge ,   i n s uf f i c i e n t   l o ggi ng  a nd  m o n i t o r i ng,   b r o ke n   a c c e s s   c o n t r o l   a nd  i n s e c u r e   de s e r i a l i z a t i o n .   T h e r e   a r e   v a ri o us   t e c hn i q ue s   i n   l i t e r a t u r e   t o   c o un t e r   t h e s e   w e b   a ppl i c a t i o n   s e c uri t y   v ul n e ra b i l i t i e s .   S uc h   w o r c a n   b e   fo un i [15 - 16] .   U s ua l l y   t e c h ni que s   l i ke   s t a t i c   a n a l y s i s   o r   a ut o m a t e b l a c bo t e s t i n g .   T e c hn i q ue s   l i ke   f a ul t   i n j e c t i o n   a r e   e m p l oy e t o   c o un t e v ul n e r a b i l i t i e s   i w e b   a ppl i c a t i o n s   [17 - 1 8]  a ut h o r s   h a v e   u s e a   c r o s s - s i t e   s c r i pt i ng  t e c hn i q ue   f o r   t e s t i n v ul n e r a b i l i t i e s   i n   o pe n   s o ur c e   a ppl i c a t i o n s .   [19 - 20]  hi g h l i g ht s   i n   t h e   s e l e c t i o n   of   s of t w a r e   m e t r i c s   t h a t   c a h e l i n   t h e   e v a l ua t i o n   o f   t h e   s y s t e m   t h a t   c o ve r s   t h e   e v a l ua t i o n   of   t h e   s e c ur i t y   of   t h e   s y s t e m .   [20]  hi g hl i g ht s   h o w   c y c l o m a t i c   c o m pl e xi t y   a n s o ur c e   c o de   c a n   h e l i n   de t e c t i n v ul n e r a b i l i t i e s .   T h e   m o r e   s o ur c e   c o de   ke e ps   o n   a d di n g   o s us t a i v ul n e ra b i l i t i e s   i d i f fe r e nt   v e r s i o ns   a s   s h o w n   i [ 21].   In   t h i s   p a pe r ,   w e   pr e s e nt   a   s e c uri t y   a na l y s i s   of   fo ur   w e l l - kn o w n   o pe n   s o ur c e   s of t w a r e   s y s t e m s ,   w h i c h   a r e   M o o dl e   [22],   J oo m l a   [2 3],   F l a s [ 24],   V L m e di a   pl a y e r   [25] .   W e   s um m a r i z e   t h e   r e s e a r c h   e f fo r t s   i n   i de nt i fy i n s e c u r i t y   c h a l l e n ge s   i n   t h e s e   o pe n   s o ur c e   s of t w a r e   s y s t e m s .   W e b s i t e s   w h i c h   us e   c o n t e nt   m a na ge m e n t   s y s t e m s   (CM S s uc h   a s   J oo m l a   e xpe ri e n c e   a t t a c ks   l i ke   S Q L   In j e c t i o n,   r e m o t e   f i l e   i n c l us i o n ,   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   16 ,   N o .   2 N o v e m be r   2 019   :     86 0   -   881   862   di r e c t o r y   t r a v e r s a l ,   c r o s s - s i t e   s c r i pt i n X S S   ),   S pa m ,   r e m o t e   c o m m a n e xe c ut i o n   (R CE ) ,     f i l e   upl o a d. S e c ur i t y - e n h a n c i n t e c hn i q ue s   fo r   CM S   (i . e .   J o o m l a a ga i n s t   s e c uri t y   f l a w s   a n v ul n e r a b i l i t i e s   c a n   b e   fo un i n   [2 6 - 27] .   A s   e - l e a rn i ng  s o f t w a r e   pl a t f o r m s   a r e   c o nn e c t e ove r   t h e   i nt e rn e t   h e n c e   a r e   v ul n e r a b l e   t o   w e b   a ppl i c a t i o n   s e c ur i t y   a t t a c ks .   M a n i pul a t i n e - l e a rni n pl a t f o r m s   by   e xpl o i t i n s e c ur i t y   v ul n e r a b i l i t i e s   l e a ds   t o   t h e   s i t ua t i o n s   w h e r e   a c c e s s i b i l i t y ,   a va i l a b i l i t y , a n d   r e l i a b i l i t y   of   t h e   pl a t f o r m   a r e b a dl y   a f fe c t e d.   T e c h ni que s   of   e nh a n c i ng  t h e   s e c ur i t y   of   t h e   M oo d l e   pl a t f o r m   c a n   b e   fo un i n   l i t e r a t u r e   s uc h   a s   i [28].   F l a s k   s e c ur i t y   c h a l l e n ge s   a n d   a na l y s i s   c a n   b e   f o u n d   i l i t e r a t u r e   s uc a s   i n   [2 9].   I n   l i t e ra t u r e ,     t h e r e   e xi s t s   v a ri o us   s e c ur i t y   e nh a n c i ng  t e c hni que s   f o r   w e b   a ppl i c a t i o n s   f ra m e w o r ks   l i ke   F l a s o n e   s uc h   w o r c a b e   fo un i [3 0] .   S e c u r i t y   a n a l y s i s   of   m e di a   p l a y e r s   (i . e .   V L c a b e   fo un i [31] .       3.   R ES EA R C H   M ET H O D :   S EC U R I T Y   A N A L Y S I S   A N D   S O LU TI O N S   In   t hi s   s e c t i o n ,   w e   di s c us s   s e c ur i t y   w e a kn e s s e s ,   t hr e a t   a na l y s i s   a n s o l ut i o n s   t o   i m p r o v e   t h e   s e c ur i t y   of   fo ur   f a m o us   o p e n   s o ur c e   s of t w a r e   t oo l s   us e d   fo r   s o f t w a r e   de ve l o pm e n t .   F i n d i n gs   r e l a t e t o   e a c h   s of t w a r e   i s   di s c us s e s e c t i o n   w i s e .     3. 1 .       M o o d l e   3. 1 .   I n tr o d u c ti o n   M oo dl e   i s   a   f r e e   a n o pe n - s o u r c e   l e a rni n g   m a n a ge m e nt   s y s t e m   w r i t t e n   i P H P   a n d   di s t ri b ut e u n de r   t h e   G N U   G e n e r a l   P ub l i c   L i c e n s e . D e v e l o p e o n   pe da go gi c a l   p r i n c i p l e s ,   M o o dl e   i s   us e fo r   b l e n de l e a rn i ng,   di s t a n c e   e duc a t i o n ,   f l i ppe c l a s s r o o m   a n o t h e r   e - l e a rni ng  pr o j e c t s   i n   s c h o o l s ,   u n i v e r s i t i e s ,   w o r kpl a c e s   a n o t h e s e c t o r s .   A s   a E - l e a rni n t o o l ,   M o o dl e   h a s   a   w i de   r a n ge   o f   s t a n da rd  a nd  i nn o v a t i v e   f e a t ur e s   s uc a s   c a l e n d a r   a n G ra de b oo k.   M o o dl e   i s   a   l e a di ng  v i r t u a l   l e a rni ng  e n v i r o nm e n t   a n c a b e   us e i n   m a n y   t y pe s   of  e n v i r o n m e n t s   s uc h   a s   e duc a t i o n,   t ra i ni n g , a nd  de v e l o pm e n t   a n i n   b us i n e s s   s e t t i ngs .   U s e r s   c a n   do w n l o a a nd  i n s t a l l   M o o dl e   o n   a   W e bs e r v e r ,   s uc h   a s   A pa c h e   H T T P   S e r v e r ,   a nd  a   n um b e r   o f   da t a b a s e   m a na ge m e n t   s y s t e m s ,   s uc h   a s   P o s t gr e S Q L ,   a r e   s uppo r t e d .   P r e - b ui l t   c om b i na t i o n s   o f   M oo dl e   w i t h   a   W e b   s e r v e r   a nd  da t a b a s e   a r e   a v a i l a b l e   fo r   M i c r o s of t   W i n do w s   a n M a c i nt o s h.   O t h e r   a ut o m a t e i n s t a l l a t i o n   a pp r o a c h e s   e xi s t ,   s uc h   a s   i n s t a l l i n a   D e b i a n   pa c ka ge ,   de pl oy i n a   r e a dy - to - u s e   T urn K e y M oo dl e   a ppl i a n c e ,   us i n t h e   B i t n a m i   i n s t a l l e r ,   o r   us i n g   a   " o n e - c l i c i n s t a l l "   s e r v i c e   s uc h   a s   I n s t a l l a t r o n.   Ce r t i f i e M oo dl e   P a r t n e r s   p r o v i de   o t h e M oo dl e   s e r v i c e s ,   i n c l ud i n h o s t i ng,   t ra i ni n g ,   c us t o m i z a t i o n   a nd  c o n t e n t   de v e l o pm e n t .   T h i s   n e t w o r of  pr o v i de r s   s uppo rt s t h e   de v e l o pm e n t   o f   t h e   M oo dl e   pr o j e c t   t hr o ug h   r oy a l t i e s .   T h e r e   a r e   f o ur   t y p e s   of   us e r s   s uppo r t e b y   M o o dl e   a dm i n i s t r a t o r s ,   t e a c h e r s ,   s t ude n t s , a nd  g ue s t s .     3. 1 .   A r c h i t e c tu r e   M oo dl e   i s   s t r uc t u r e a s   a n   a ppl i c a t i o n   c o r e ,   s u rr o unde by   n um e r o us   pl ugi n s   t o   pr o v i de   s pe c i f i c   f un c t i o na l i t y .   M oo dl e   i s   de s i gn e t o   b e   h i ghl y   e xt e n s i b l e   a nd  c us t o m i z a b l e   w i t h o ut   m o di fy i n t h e   c o r e   l i b ra r i e s ,   a s   do i n s o   w o ul c r e a t e   pr o b l e m s   w h e n   upg ra di ng  M o o dl e   t o   a   n e w e r   ve r s i o n.   S o   w h e n   c us t o m i z i n g   o r   e xt e n di ng  y o ur   o w n   M oo dl e   i n s t a l l ,   a l w a y s   do   s o   t hr o ug h   t h e   pl ug i n   a r c h i t e c t u r e .   P l ugi n s   i M oo dl e   a r e   o s pe c i f i c   t y pe s .   T h a t   i s ,   a n   a ut h e n t i c a t i o n   pl u gi n   a n a n   a c t i v i t y   m o dul e   w i l l   c o m m uni c a t e   w i t t h e   M o o dl e   c o r e   us i n g   di f f e r e n t   A P Is ,   t a i l o r e d   t o   t h e   t y pe   of  f un c t i o n a l i t y   t h e   pl u gi p r o v i de s .   F un c t i o na l i t y   c o m m o n   t o   a l l   pl ugi n s   ( i n s t a l l a t i o n,   up g r a de ,   pe rm i s s i o n s ,   c o n f i gura t i o n, a r e ,   h o w e ve r ,   ha n d l e c o n s i s t e n t l y   a c r o s s   a l l   pl ug i n   t y pe s .   T h e   s t a n da rd  M oo dl e   di s t ri b ut i o n   i nc l ude s   M oo dl e   c o r e   a n a   n u m b e r   of   pl ugi n s   o e a c h   t y pe   s o   t h a t   a   n e w   M oo dl e   i n s t a l l a t i o c a n   i m m e di a t e l y   be   us e t o   s t a r t   t e a c h i n g   a nd  l e a rni n g .     A f t e r   i n s t a l l a t i o n,   a   M o o dl e   s i t e   c a b e   a da p t e f o r   a   p a rt i c ul a r   pu rpo s e   by   c h a ngi n g   t h e   de f a ul t   c o n f i gu r a t i o o pt i o n   a n by   i n s t a l l i n a dd - o n s   o r   r e m o v i ng  s t a n d a r p l ugi n s .   T h e   a r c h i t e c t u r e   o f   M oo dl e   i s   s h ow n   i n   F i gu r e   1   e xt r a c t e d   f r o m   t h e   t h e   M o o dl e   w e b s i t e   a nd  [ 32].           F i gu r e   1 .   M o o dl e   a r c hi t e c t u r e   Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Se c ur i t y   as s e s s m e nt   of   f our   op e s o ur c e   s of t w ar e   s y s t e m s   ( F ar az   Idr i s   Khan )   863   T o pm o s t   l a y e r   i n   t h e   a r c hi t e c t u r e   i s   m o o dl e c o r e   a n p l ugi n s .   T h e   l a y e r   b e l ow   t h e   t o l a y e r   c o n t a i n s   t h e   da t a b a s e   s y s t e m s   a n t h e   A p a c h e   w e b   s e r v e r .   T h e   b o t t o m m o s t   l a y e r   c o n t a i n s   t h e   o pe r a t i ng  s y s t e m   o n   w h i c t h e   M o o dl e   ru n     3. 1 . 3    S e c u r i ty  V u l n e r ab i l i ti e s   T h e r e   i s   c e r t a i nl y   a   v e s t e i n t e r e s t   i a c t i ng  m a l i c i o us l y   i n   M oo dl e ,   e s pe c i a l l y   f r o m   s t ude n t s   s i n c e   t h e y   h a v e   t h e   b i gge s t   i n c e n t i v e   w i t h   g ra de s   b e i n s o   i m port a nt   t o   t h e m ,   v i r t u a l l y   a l l   a c t o r s   h a v e   a   goo d   e n o ugh”   i n c e n t i v e .   It   do e s n ‟t   ha v e   t o   b e   fo r   pe r s o na l   g a i o r   t o   c a us e   h a rm   t o   o t h e r s ,   t h e   r e a s o n   c a n   s i m p l y   b e   be c a us e   i t   w a s   f unn y .     Co n s i de r   t h e   f o l l ow i n e x a m p l e s :   1)   A   di s gru n t l e a dm i n i s t r a t o r   de c i di n t o   t a ke   i t   o ut   o n   a   p a r t i c ul a r   us e r   h e / s h e   do e s n ‟t   p a r t i c ul a rl y   l i ke ,   ki c ki n g   t h e m   o f   a   c o ur s e   o r e m o v i n g   m a t e r i a l   t h e y   upl o a de   2)   A   us e de duc t i n g   g ra de s   f r o m   a   s t ude n t ,   f o r   w hi c h   a   t e a c h e w i l l   c o m e   unde f i r e     3)   A   us e a d di n g   g ra de s   go   a   s t ude n t ,   f o r   w h i c h   t h e   s t u de nt   w i l l   c o m e   un de f i r e     4)   A   us e r   r e pl a c i n t h e   m a t e r i a l   f o r   a   c e r t a i n   c o ur s e   w i t h   s i m i l a r   y e t   i n c o r r e c t   m a t e r i a l   ha r m i n b o t t e a c h e r s   a n d   s t ude n t s     5)   A   us e r   r e m o v e s   s o m e   m a t e ri a l   p ri o t o   a   c e r t a i e xa m ,   a s   s t u de n t s   t e n t o   do w n l o a m a t e r i a l   f a i r l y   c l o s e   t o   e xa m s U s i n g   t h e   S T R ID E   m o de l ,   w e   c a n   c l a s s i fy   t h e   t hr e a t s   f a c i n g   M o o dl e   a s   s uc h:   a)   S poof i n g   Co n s i de r i n t h e   n a t u r e   o f   M oo dl e ,   r e v o l v i n a r o u n e duc a t i o n ,   a n h o w   r o l e s   o p e r a t e ,   w e   c a n     c l e a rl y   s e e   a n   i nt e r e s t   i n   i m pe r s o na t i n s o m e o n e   e l s e   (a   s t u de n t   i m pe r s o na t i n a   t e a c h e r   t o   a d g ra de s   a s   a   pri m e   e x a m p l e ).   b)   T a m pe ri n g   F r o m   t h e   m a t e ri a l   a l t e r a t i o n   e xa m pl e ,   i t   c a n   b e   c l e a r l y   s e e n   t h a t   a l t e r i n g   m a t e r i a l   c a c a us e   s e r i o us   da m a ge , t e a c h e r s   b e i n po t e n t i a l l y   f i r e o r   ha v e   t h e i r   c a r e e r s ha r m e f o r   a p pe a r i ng  t o   t e a c h   m i s l e a d i n g   o r   f l a t   o ut   w r o n m a t e r i a l .   c)   R e pudi a t i o n   A s   w e   e s t a b l i s h e t h a t   t h e r e   i s a v e s t e di n t e r e s t i na c t i ngm a l i c i o us l y , a s w e l l a s t h e ha rm t ha t s a i a c t i o n s   c a do ,   i t   i s   c r uc i a l l y   i m po r t a n t   t ha t   t h e   a c t o r s   do   n o t   ha v e   t he   a b i l i t y   t o   de n y   ha v i ng  c o m m i t t e d   t h e   a c t .   d)   In f o r m a t i o D i s c l o s ur e   T h e r e   i s n t   m uc h   p r i v a t e   o r   po t e n t i a l l y   h a r m f ul   w h e n di s c l o s e di n f o r m a t i o n w h e n i t c o m e s t o   M o o dl e ,   b ut   t h e r e   a r e   s o m e   t h a t   c a n   b e   h a rm f ul .   Co n s i de r   a   pa i t r a i ni n c o ur s e   w h i c h   us e s   M oo dl e ,   a   us e r   w h o   i s   n ‟t   e nr o l l e di n   t h e   c o ur s e   m a na ge s   t o   ge t a c c e s s t o t h e m a t e r i a l s o ff e r e dby t h a t c o ur s e w h i c h i s by a l l   m e t r i c s   i s   c o n s i de r e s t e a l i ng.   e)   D e n i a l   o f   S e r v i c e   A s   t ra f f i c   t o   M oo dl e   i s   n o r m a l l y   t i e t o   a   s pe c i a l   (a n   e xa m   f o r   e xa m pl e ),   D o S   a t t a c c e rt a i nl y   i s   s o m e t h i n g   t o   w o rr y   a bo ut .   f)   E l e v a t i o o f   P r i v i l e ge   A s   t h e   r o l e   s t r uc t u r e d   i n   s uc h   a   w a y   t h a t   e a c r o l e   ha s   s o m e   de gr e e   o f   c o n t r o l   o ve r   t h e   o n e   b e l ow   i t   (a dm i n s   c r e a t e   c o ur s e ,   t e a c h e r s   c o n t r o l   a n d   e nr o l l   s t ude n t s   t o   s a i c o ur s e s ,   s t ude n t s   ge t   a c c e s s   t o   m a t e r i a l s ,   gue s t s   c a o n l y   s e e   t h e   c o ur s e   t i t l e s ),   us e r s   ha v e   a   go o i n c e n t i v e   t o   ga i n   p ri v i l e ge s   t h e y   w o ul dn t   n o r m a l l y   ha v e .   A   p ri m e   e xa m pl e   w o ul b e   a   s t ude nt   g a i ni n g   t h e   p r i v i l e ge   t o   e di t   t h e i g ra de s .   I t e rm s   o f   i n f o r m a t i o n,   w e   c a n   us e   t h e   CIA   t r i a i o r de r   t o   ge t   a   b e t t e r u nde r s t a n d i n go f w h a t t h e y a r e   a n h o w   t h e y   c o ul b e   u s e t ha r m   i t s   us e r s .   I n f o r m a t i o n   M o o dl e   h a s   a c c e s s   t o   l o gi n   i n f o r m a t i o n,   c o ur s e   i n f o r m a t i o n   (e nr o l l m e nt   s t a t i s t i c s ,   e xa m   p a s s w o r ds ,   t e a c hi n m a t e ri a l ,   e t c ) ,   g ra de s ,   us e r   i n f o r m a t i o n   ( n a m e ,   a ge ,   IP   a dd r e s s   t o   na m e   a   f e w ),   m e s s a ge s   b e t w e e n   us e r s .     g)   Co n f i de n t i a l i t y   U n a ut h o r i z e a c c e s s   t o   s o m e i n f o r m a t i o n, s uc h a s v i e w i n gp ri v a t e m e s s a ge s s e n t b e t w e e n us e r s   w h i c h   i s   a n   i n v a s i o n   o f   pr i v a c y ,   o r   pa s s w o r ds   w h i c h   w i l l   ha rm   t h e   i nt e gri t y   of   t h e   da t a .   H ow e v e r ,   s o m e   m i ght   n o t   be   a s   d a m a gi ng  a s   i t   i s   t h e   c a s e   f o r   v i e w i n t h e   g ra de   o f   a n o t h e s t ude n t .   h)   Int e g r i t y   A s   t h e   b us i n e s s   m o de l   o f   M oo dl e   r e vo l ve s   a r o u n e duc a t i o n,   t h e   m a j o r i t y   of   a t t a c ks   w i l l   a i m     a t   a l t e r i n g ra de s   o r   m a t e r i a l ,   w h i c h   h a s   t h e   po t e n t i a l   t o   c a us e   a n y t h i ng  b e t w e e n   e t h i c a l   i s s ue s     t o   c r i m i na l   l i t i ga t i o n s .   A v a i l a b i l i t y   S i n c e   t h e   t ra f f i c   s pi ke s   a r o un c e rt a i e v e n t s ,   i t   i s   c r i t i c a l   t ha t   M o o dl e   be   a v a i l a b l e   duri n g   s uc t i m e s .   W i t h   t h e   i n f o r m a t i o n   a b ov e   i n   m i n d ,   i t   i s   c l e a t ha t   t h e   i nt e g r i t y   of   da t a   i s   t h e   m o s t   i m po rt a nt   a s pe c t ,   a s   t h e   w h o l e   b us i n e s s   m o de l   i s   b ui l t   a r o u n s h a ri n a n d   s t o r i ng   i n f o rm a t i o n.   S h o ul d   t a m pe ri n g   w i t h   d a t a   b e   a   c o m m o o c c ur r e n c e ,   i t   w i l l   n o   l o n g e r   b e   us e d.     Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   16 ,   N o .   2 N o v e m be r   2 019   :     86 0   -   881   864   3. 1 .   Th r e at   M o d e l   In  t hi s   s e c t i o n ,   w e   a na l y z e   t h e   m o de l   a n d   p r e s e n t   a   t hr e a t   m o de l   t ha t   w i l l   h e l p   i i de n t i fy i n po t e n t i a l   s e c ur i t y   e xpl o i t s   i n   t h e   s y s t e m .     Th e   m a c hi n e   b o un da r i e s   o f   t h e   s y s t e m   de pe n o n   t h e   pl a t f o r m   y o a r e   us i n g .   F o r   e x a m p l e ,   i f   y o u   a r e   us i n t h e   i o s   a pp   o f   M o o dl e   o n   y o ur   p h o n e   t h e t h e   m a c h i n e   b o un d a r y   of   t h e   s y s t e m   i s   y o ur   p h o n e     (s a m e   a ppl i e s   t o   t h e   A n d r o i a pp) .   B ut   i f   y o a r e   a c c e s s i n g   M o o dl e   v i a   a   b r o w s e r   o n   y o ur   pc   t h e t h e   bo un da r y   w i l l   b e   t h e   P H P   s e r v e r   t ha t   i s   r u nni n g   t h e   s o f t w a r e .   T hr e a t   m o de l   o f   m o o dl e   a s   s h o w n   i n   F i gu r e   2 .           F i gu r e   2 .   T hr e a t   m o de l   o f   M o o dl e       M oo dl e   i s   a l r e a dy   a v a i l a b l e   o n   di f fe r e n t   pl a t f o r m s ,   s o   t h e   s y s t e m   (w i t h   i t s   s ub s y s t e m s w i l l   n o t   de fe r   w h e t h e r   i t   i s   de p l oy e o n   a i o s   a pp,   a nd r o i a pp,   o w e b   a ppl i c a t i o n.   T h i s   a l s o   a ppl i e s   w h e t h e t h e   s o f t w a r e   i s   de v e l o p e us i n g   J a v a   o a n y   o t h e p r o gra m m i n l a ngua ge ;   t h e   s ub s y s t e m s   r e m a i n   t h e   s a m e .   T h e   o n l y   t hi n g   t h a t   w i l l   de f e r   i s   t h e   m a c hi n e   b o un da r y   of   t h e   s y s t e m .   A s   s e e s   i n   t h e   di a g ra m ,   w e   o n l y   h a v e   o n e   t r us t   b o un da r y   i n   o ur   s y s t e m   w h i c h   c o n t a i n s   t h e   m a i s ub s y s t e m s   (a c c e s s ,   a ut h e nt i c a t i o n,   b a c kup,   D B   t r a n s f e r,   da t a b a s e ,   c o ur s e ,   g ra de s ,   r e po s i t o r y ,   a n r o l e   t h a t   m a ke s   u t h e   t rus t   b o un d a r y   of   o ur   s y s t e m .     3. 2 .       Jo o m l a   3. 2 .   I n tr o d u c ti o n   J oo m l a   i s   a   c o n t e n t   m a n a ge m e nt   s y s t e m   (CM S us e a s   a   b a s e   t e m pl a t e   f o r   a n y   ki n d   o f   w e a ppl i c a t i o n   t ha t   r e qui r e s   e xt e n s i v e   m a n a ge m e n t   o f   da t a   w h e r e   us e r s   c a n   c us t o m i z e   t h e i r   w e b s i t e   by   a ddi n g   s pe c i f i c   pl ugi n s   t ha t   c a n   f a c i l i t a t e   t h e i r   j ob s   i n   a dd i t i o n   t o   m a ki n t h e   t e m pl a t e   l o o ks   di ff e r e n t . J o o m l a ‟s   us e r   b a s e   c o n s i s t s   of   b o t h   l a r ge - to - m e di um   e n t i t i e s ,   s uc h   a s   c o m pa n i e s   a n go v e r nm e n t a l   s e c t o r s   a n s m a l l   e n t i t i e s ,   s uc h   a s   h o b by i s t s   a n f r e e l a n c e r s .   T h e s e   us e r s   c o ul c o m e   f r o m   di f fe r e nt   do m a i n s ,   s uc h   a s   b us i n e s s   do m a i n s   a n e duc a t i o n a l   do m a i n s   a n o t h e r s .   J o o m l a ‟s   pu r p o s e   i s   t o   p r o v i de   a   f r e e ,   a d a p t a b l e ,   c o l l a b o r a t i v e ,   s t a b l e ,   s e c ur e ,   a nd  e a s y - to - us e   w e pl a t f o r m   f o r   a l l   t y p e s   of   us e r s   f r o m   a r o u n t h e   w o r l d,   s us t a i na b l e   b y   vo l unt e e r s .   I t   i s   de s i g n e t o   b e   us e by   a n y o n e   e ve n   i f   t h e y   do   n o t   h a v e   a   s o l i e xpe ri e n c e   i de a l i n w i t h   t h e   w e de v e l o pm e n t   p r o c e s s . T h e   m a i n   de v e l o pm e n t   o f   J oo m l a   i s   do n e   by   O pe n   S o ur c e   M a t t e r s ,   I n c .   H ow e v e r ,   m a n y   m o r e   fe a t u r e s   a n e xt e n s i o n s   t ha t   m a ke   J oo m l a   t h e   po pul a r   CM S   i t   i s   a r e   b e i n r e gul a r l y   de v e l o pe b y   vo l unt a r y   de ve l o pe r s .   In   a dd i t i o n ,   i nde pe n de n t   de v e l o pe r s   c a n   t a ke   t h e   b a s e   a ppl i c a t i o n   a n f ul l y   c us t o m i z e   i t   w i t h o ut   a n y   e xt e rn a l   m o dul e s .     In   s h o r t ,   m o s t   v ul n e ra b i l i t i e s   i n   J o o m l a   c o m pr o m i s e   t h e   c o n f i de n t i a l i t y   a n i nt e g r i t y   of   t h e   da t a   o t h e   s y s t e m .   I n   a d di t i o n,   m o s t   of   t h e s e   v ul n e r a b i l i t i e s   a n ri s ks   a r e   c a us e n o t   by   J oo m l a   i t s e l f   b ut   by   t h e   e n o rm o us   a m o unt s   o f   un c h e c ke o pe n - s o ur c e   m o dul e s   on   t h e   i n t e rn e t   t ha t   c a n   e a s i l y   be   i n s t a l l e o   h e   s y s t e m .   Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Se c ur i t y   as s e s s m e nt   of   f our   op e s o ur c e   s of t w ar e   s y s t e m s   ( F ar az   Idr i s   Khan )   865   3. 2 .     A r c h i te c tu r e   T h e   a r c h i t e c t u r e   o f   t h e   J oo m l a   s y s t e m   v a r i e s   qui t e   a   b i t   b a s e o n   t h e   a c t i v i t y   of   t h e   w e bs i t e   us i ng  t h e   CM S   a n t h e   ki n o f   e xt e n s i o n s   i t ‟s   us i ng.   N e v e r t h e l e s s ,   r e ga r d l e s s   of   w h a t   t y pe   o s y s t e m   i t   i s ,   t h e r e   a r e   s o m e   un i v e r s a l   c o m po n e n t s   t h a t   c o m po s e   a l m o s t   a l l   J o o m l a   s y s t e m s .   F r o m   i n s pe c t i n f i l e s   a nd  f o l de r s   o J oo m l a .   T h e s e   c o m po n e nt s   a r e   a s   f o l l ow s :   D atab as e :   A l l   c o n t e n t   a nd  i n f o r m a t i o n   t h a t   e xi s t s   w i t hi n   J o o m l a   s y s t e m s   i n c l ud i n a dm i n i s t r a t i v e   i n f o r m a t i o n   a r e   s t o r e a nd  m a na ge w i t h i n   a   M y S ql   da t a b a s e .   In   a dd i t i o n ,   a n y   pl ugi n s   o r   m o dul e s   a dde t o   t h e   s y s t e m   a l s o   us e   t h e   da t a b a s e   t o   s t o r e   a nd  r e t ri e v e   a n y   da t a   t h a t   t h e y   m a y   r e qui r e .   Th e   Jo o m l F r am e w o r k :   W hi c h   a r e   a l l   t h e   b a s i c   f un c t i o na l i t i e s   a nd  l i b ra r i e s   t ha t   m a ke   t h e   c o r e   J o o m l a   s y s t e m   a nd  w o r ks   a s   a   b a s e   f o r   t h e   de v e l o pm e n t   o f   m o dul e s ,   c o m po n e n t s ,   a nd  p l ugi n s .   F u rt h e r m o r e ,   i t   a l l o w s   de ve l o pe r s   t o   us e   t h e   f un c t i o n a l i t i e s   o f   J oo m l a t o   b ui l a n   A P s e r v i c e   w i t h o ut   t h e   n e e f o r   a   w h o l e     w e bs i t e   a n d   i t s   U I.   C om p o n e n ts :   T h e y   a r e   c o n s i de r e a   m i ni - a ppl i c a t i o n   t h a t   run s   o n   t o o f   J oo m l a   a n us u a l l y   h a s   t w o   pa r t s .   O n e   pa r t   i s   t h e   a dm i n i s t ra t o r   pa rt   t hr o ug h   w h i c h   t h e   c o m po n e nt   c a n   b e   m a n a ge d .   T h e   o t h e r   pa rt   i s   t h e   w e bs i t e   pa rt   w h i c h   r e n de r s   w h a t e v e r   c o n t e n t   t h e   c o m po n e n t   m a n a ge s   a n di s p l a y s   i t   fo r   t h e   us e r .   A n   e xa m pl e   o f   a   c o m po n e n t   i s   t h e   us e r   m a na ge m e nt   c o m po n e n t ,   w h i c h   i s   a n   e s s e n t i a l   a nd  c o r e   (m e a ni n i t   c o m e s   p r e i n s t a l l e w i t h   J o o m l a   a n r e qu i r e s   n o   i n s t a l l a t i o n)  c o m po n e n t   i n   J o o m l a   w h i c h   m a na ge s   us e r s   o t h e   w e b s i t e ,   i a d di t i o t o   t h e i r   r o l e s   a nd  p ri v i l e ge s .     M o d u l e s :   T h e y   a r e   l i g ht w e i gh t   e xt e n s i o n s   t h a t   us ua l l y   w or a s   r e n de r e r s   r e n de r i n s o m e   c o n t e n t   o n   t h e   w e bs i t e .   F o r   e xa m pl e ,   t h e r e   c o ul b e   a   m o dul e   t h a t   di s pl a y s   a   l i s t   of   t h e   m o s t   p o pul a r   po s t i n gs   o n   t h e   w e bs i t e .   P l u gi n s / Ex te n s i o n s :   P l ugi n s   a n e xt e n s i o n s   a r e   o n e   of   t h e   m o s t   e s s e n t i a l   c o m po n e n t s   i t h e   a r c h i t e c t ur e   o J oo m l a   s i n c e   i t   a l l o w s   t h e   w h o l e   f ra m e w o r t o   b e   h e a v i l y   e xt e n de d.   T h e y   a l l o w   a ddi n g   a dd i t i o na l   f un c t i o na l i t i e s   a n p r o c e s s e s   t o   t h e   c o r e   f r a m e w o r i n   a dd i t i o n   t o   a n y   f r o n t - e n f u n c t i o na l i t i e s .   F o r   e xa m pl e ,   us e r   a ut h e nt i c a t i o c a b e   a   p l ugi a dde t o   t h e   s y s t e m .   Te m p l ate   S ys t e m :   T h e   t e m p l a t i ng  s y s t e m   do e s   n o t   o n l y   a l l o w   J oo m l a   s y s t e m s   t o   h a v e   di f fe r e nt   c o l o r s   o r   t h e m e s   b ut   a l s o   a l l o w s   t o   c o m pl e t e l y   r e v a m t h e   w e b s i t e   a n c o n t r o l   w h a t   i s   t o   b e   di s pl a y e o r   n o t .   F o e xa m pl e ,   t e m pl a t e s   c a n   b e   us e d   t o   c h a n ge   t h e   de f a ul t   l o o k   of   t h e   w e b s i t e   w h i c h   i s   a   s i m p l e   a r t i c l e   di s p l a y i n a   w e bs i t e   i n t o   a n   e - c o m m e r c e   w e b s i t e   s e l l i n g   a l l   k i n ds   o f   pr o duc t s .     3. 2 .   S e c u r i ty  V u l n e r ab i l i ti e s   T y p e s   of   po t e n t i a l   a t t a c ke r s   h e a v i l y   de p e n o n   t h e   t y pe   of  w e b s i t e   l i ke   m a n y   o t h e r   t h i n gs .   If   t h e   w e bs i t e   i s   j us t   a   pe r s o na l   b l o t h e n   m o s t   a t t a c ke r s   m i ght   b e   s c r i pt   ki d di e s   t r y i n t o   e xpl o i t   s o m e   v ul n e r a b i l i t i e s   t h e y   f o un o n   t h e   i nt e rn e t .   O n   t h e   o t h e r   h a nd,   w e b s i t e s   t h a t   h o l s e n s i t i v e   i n f o r m a t i o n   t ha t   m a ke   a   h i g h   p r o f i l e   t a rge t   s uc h   a s   c r e d i t   c a r i n f o rm a t i o n   t o   de a l   w i t h   m o r e   s o ph i s t i c a t e a n e xpe r i e n c e a t t a c ke r s . M o s t   t hr e a t s   t ha t   J o o m l a   f a c e s   a r e   t hr e a t s   r e l a t e t o   t h e   c o n f i de n t i a l i t y   of   t h e   s y s t e m .   T h e   r e a s o n   b e i n t ha t   m o s t   r e s o ur c e s   t h a t   a r e   w o r t h   c o m pr o m i s i n g   t h e   s y s t e m s   a r e   i n   t h e   da t a b a s e s   o f   t h e   s y s t e m .   T h o ugh  t o   g e t   a c c e s s   t o   t h e   d a t a b a s e   a n   a t t a c ke r   m i g h t   a l s o   ne e t o   a l l e v i a t e   t h e i r   p r i v i l e ge s . A t t a c ke r s   c a t r y   t o   f i n v ul n e ra b i l i t i e s   t hr o ug h   t w o   m a i n   m e t h o ds .   T h e   f i r s t   m e t h o d,   w h i c h   r e qui r e s   l e s s   e xpe r i e n c e   a n i s   m o s t   l i ke l y   t o   b e   u s e by   a m a t e u r s ,   i s   t o   l o o f o r   i t   o n   v ul n e ra b i l i t y   da t a b a s e s   o n l i n e ,   s uc h   a s   t h e   E xp l o i t - D w e bs i t e .   S o m e t i m e s   t h e s e   da t a b a s e s   a nd  r e s o ur c e s   a l s de m o n s t r a t e   h o w   t o   e xpl o i t   a   v ul n e ra b i l i t y ,     w h i c h   m a ke s   i t   c o n v e n i e n t   a n e a s y   f o r   a t t a c ke r s   t o   e xe c ut e .   T h e   o t h e r   m e t h o d,   w h i c h   r e qui r e s   hi g h e l e v e l s   of   e xpe r i e n c e ,   i s   t o   a c t ua l l y   i n s pe c t   t h e   c o de   of  t h e   s y s t e m   s i n c e   J oo m l a ‟s   s o ur c e   c o de   i s   o p e n   fo r   e ve r y o n e   t s e e .   T h i s   m i g ht   n o t   gua ra nt e e   t h a t   t h e   s a m e   v ul n e r a b i l i t i e s   f o un i t h e   s o ur c e   c o de   e xi s t   i n   a   p r o duc t i o n   w e bs i t e ,   b ut   w i l l   g i v e   a n   i n s i g ht f ul   l o o a t   h o w   t h e   s y s t e m   w o r ks   a nd  h o w   i t   m i g h t   b e   e xpl o i t e d.   T h e   m a j o r i t y   of   a t t a c ks   a ga i n s t   J o o m l a   hi s t o r i c a l l y   a r e   Cr o s s - S i t e   S c r i p t i n g ,   I n j e c t i o n ,   R e m o t e   Co d e   E xe c ut i o n,   P ri v i l e ge   E s c a l a t i o n,   a n D i r e c t o r y   t r a v e r s a l   a t t a c ks . A l l   t h e s e   v ul n e r a b i l i t i e s   h a rm   t h e   c o n f i de n t i a l i t y   of   t h e   di f f e r e n t   p a r t s   o f   t h e   s y s t e m .   I a ddi t i o n ,   I n j e c t i o n   a t t a c ks   a n d   p ri v i l e ge   e s c a l a t i o n   c a a l s o   ha r m   t h e   i n t e g ri t y   of   di ff e r e n t   p a r t s   o f   t h e   s y s t e m . T h e   v ul n e ra b i l i t i e s   f o un a r e   n o t   s pe c i f i c   t o   t h i s   do m a i n   o nl y ,   b e c a us e   t h e y   c a n   b e   fo un do n   a n y   w e bs i t e .   T h e   r e a s o n   i s   t ha t   t h e s e   v ul n e ra b i l i t i e s   e xi s t   b y   de f a ul t   a n pe o pl e   w i t h o ut   s e c ur i t y   kn ow l e dge   w i l l   f a l l   i n   i t   e ve r y   t i m e   t h e y   de v e l o a   w e b s i t e .   F o r   e xa m pl e ,   que r i e s   o t h e   D B   i s   v ul n e r a b l e   u nl e s s   y o v a l i da t e   t h e   i np ut   o f   t h e   us e r .   A n i t   i s   n o t   s pe c i f i c   t o   a   c e rt a i t e c hn o l o g y .   F o r   e xa m p l e ,   X S S   c a n   h a ppe n   t o   a n y   w e b s i t e   w h e t h e r   i t   i s   w r i t t e n   i n   P H P ,   N o de J S ,   J a v a ,   e t c . F o l l ow i n i s   a   d i s c us s i o n   o f   t hr e e   o f   t h e   v ul n e r a b i l i t i e s   m e n t i o n e a b ov e :   A.   In j e c t i o A t t a c ks   T h i s   t y pe   of   a t t a c m o s t l y   o c c ur s   due   t o   t h e   l a c o f   pr o pe r   da t a   s a ni t i z a t i o n   a nd  i nput   v a l i d a t i o n .   W h i l e   t h i s   v ul n e ra b i l i t y   i s   pr e s e n t   i n   s o m e   o f   t h e   b a s i c   J oo m l a   c o m po n e n t s ,   i t   m o s t l y   a ppe a r s   i n   t h e   s uppo r t e J o o m l a   e xt e n s i o n s   (m o dul e s ).   T h e   f r e que n c y   of   S Q L   In j e c t i o n   a t t a c ks   h a a   n o t i c e a b l e   i n c r e a s e   i 2018,   w hi c h   c o ul b e   a t t r i b ut e t o   t h e   r e l e a s e   of   ve r s i o n   3. 9 .   T hi s   c o ul be   due   t o   un e xpe c t e be h a v i o r   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   16 ,   N o .   2 N o v e m be r   2 019   :     86 0   -   881   866   i n t r o duc e by   t h e   i nt e gra t i o n   o f   n e w   c o m po n e n t s ,   o r   c h a nge s   i n   e xi s t i n o n e s . T hi s   v ul n e ra b i l i t y   w a s   pr e s e n t   i n   v e r s i o n s   3 . t o   3. 4. o f   J oo m l a   a s   s h o w n   i n   F i gu r e   3.   E x pl o i t i n i t   a l l o w e t h e   a t t a c ke r   t o   po s s i b l y   ga i f ul l   c o n t r o l   o f   t h e   s y s t e m .           F i gu r e   3 .   A   s n i ppe t   o f   t h e   a r e a   o f   c o de   w h e r e   v ul n e r a b i l i t y   t o   t hi s   a t t a c w a s   f o un d       F urt h e r   i n f o r m a t i o n   r e ga r d i n t h e   a b ov e   e xpl o i t   c a n   b e   fo un h e r e . T h i s   v ul n e r a b i l i t y   w a s   a l s o   fo un d   i n   t h e   s l i de e xt e n s i o a s   s h o w n   i F i gu r e   4.           F i gu r e   4 .   A   s n i ppe t   o f   S l i de r ‟s   c o de   w h e r e   a S Q L   i n j e c t i o n   a t t a c c o ul o c c ur       B.   D i r e c t o r y   T r a v e r s a l   A t t a c ks   T h e s e   t y p e s   of   a t t a c ks   m o s t l y   o c c ur   due   t o   t h e   l a c o f   pr o pe r   d a t a   s a n i t i z a t i o n.   P e r f o r m i ng  t h e s e   a t t a c ks   c o ul gra n t   t h e   a t t a c ke r   a c c e s s   r e s t r i c t e a r e a s   o f   t h e   s e r v e r   t o   s t e o ut   of   t h e   r o o t   di r e c t o r y   a n d   a c c e s s   o t h e r   pa rt s   o f   t h e   f i l e   s y s t e m .   T h i s   t y pe   of   a t t a c m o s t l y   oc c ur r e p r e - 2 010 ,   a nd  w a s   a t   t h e   t i m e   o n e   o t h e   m o s t   f r e que n t l y   e xe c ut e d,   a l t h o ug h   i t   ha s   s i n c e   s e e n   a   de c l i n e   i n   f r e que n c y .   T hi s   c o ul b e   a t t r i b ut e t o   t h e   i n t r o du c t i o o f   be t t e r   d a t a   s a n i t i z a t i o t e c hni que s   w i t t h e   ne w e r   v e r s i o n s   o f   J oo m l a .   T hi s   v ul n e r a b i l i t y   w a s   pr e s e nt   i n   t h e   j que r y fo r m   c o m po n e n t ,   w h i c h   l a c ke t h e   pr o p e r   da t a   s a n i t i z a t i o n   t e c hn i que s   n e e de t o   pr e ve n t   t h i s   a t t a c k .     C.   P r i v i l e ge   E s c a l a t i o n :   T h i s   v ul n e ra b i l i t y   h a s   b e e n   de e m e a s   a   c r i t i c a l   o n e   i n   J o om l a   3. 44  t hr o ug h   3 . 6. 3 .   T hi s   s n i ppe t   i s   a   m o dul e   w h e r e   i t   c r e a t e s   a n   a r b i t ra r y   a c c o un t   w i t h   a d m i ni s t r a t i v e   pr i v i l e ge s ,   a f t e r   t h a t ,   a n   e m a i l   i s   s e n t   t a c t i v a t e   t h e   a t t a c ke r ‟s   a c c o un t .   By   e xpl o i t i ng  t hi s   l o o ph o l e ,   a a t t a c ke r   c a ha v e   a dm i ni s t ra t i v e   p r i v i l e ge s   a n upl o a d   a   b a c kdo o r   t o   c o n t r o l     Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Se c ur i t y   as s e s s m e nt   of   f our   op e s o ur c e   s of t w ar e   s y s t e m s   ( F ar az   Idr i s   Khan )   867   T h e   w e b s i t e   c o m pl e t e l y   a n i t   m a y   e vo l ve   t o   ga i n   f ul l   a c c e s s   t o   t h e   h o s t i n s e r v e r .   A l l   i a l l ,   a   hi g h   n u m b e r   o v ul n e r a b i l i t i e s   i n   J o o m l a   a r e   i nt r o duc e t hr o ug m o dul e s   a dde t t h e   CM S .   T h i s   po s e s   a   h uge   s e c ur i t y   r i s f o r   t w o   r e a s o n s .   F i r s t ,   de v e l o p e r s   a r e   n o t   p a y i n g   a t t e nt i o n   t o   h o w   t h e i o w n   m o dul e s   a r e   r e a c t i ng  w i t h   o t h e m o dul e s .   S e c o n d,   us e r s   w h o   a r e   n o t   t e c h   s a v vy   c a n   e a s i l y   a dd  v ul n e r a b l e   m o dul e s   t o   t h e i r   s y s t e m w i t h o ut   k n o w i n g   t h e   r i s ks .   T hr e a t   m o de l   J o o m l a   a s   s h o w n   i F i gu r e   5.           F i gu r e   5 .   T hr e a t   m o de l   J o o m l a       3. 2 . 4    Th r e at   M o d e l   Cl i e n t - s i de   c a n   a c c e s s   t h e   s y s t e m   us i n t h e   H T T P S   p r o t oc o l :   t h e   f i r e w a l l   f i r s t   w i l l   i nt e r c e pt   t h e   c l i e n t - s i de   r e que s t   b a s e o n   i t s   r ul e s . T h e   t hr e a t   m o de l   i s   s h o w n   i n   F i gu r e   5.   If   i t   i s   v a l i d,   t h e   r e que s t   w i l l   m a ke   i t s   w a y   t o   t h e   s y s t e m .   O t h e r w i s e ,   t h e   r e que s t   w i l l   b e   r e j e c t e d.   U s i n t h e   ri g h t   S S L   v e r s i o n ,   t h i s   c o ul pr e v e n t   s n i f f i n a t t a c ks .   A f t e r   t h e   r e que s t   ge t s   t hr o ug h   t he   f i r e w a l l ,   i t   w i l l   b e   r o ut e b a s e o n   t h e   us e r   r e que s t .   If   t h e   us e r   w a nt s   t o   a c c e s s   pa rt s   t h a t   n e e a ut h e n t i c a t i o n ,   t h e   r o ut i ng  w i l l   t a ke   t h e   us e r   r e que s t   i n t o   t h e   a ut h e n t i c a t i o n   p a r t   o f   A A A .   If  t h e   us e r   i s   a ut h e n t i c a t e d,   t h e   r e que s t   w i l l   go   t o   t h e   s pe c i f i c   de s t i n a t i o n   i f   t h e   us e r   h a s   t h e   r i g ht   a u t h o ri z a t i o n   t ha t   w i l l   b e   de t e r m i n e b a s e o n   t h e   pri v i l e ge s   gi v e n   t o   t h e m .   E v e n   a f t e a ut h e n t i c a t i o n,   t h e   us e r   i s   n o t   a l l o w e t o   a c c e s s   pa r t s   o f   t he   s y s t e m   t h a t   t h e y   a r e   n o t   a u t h o ri z e t o   a c c e s s .   F urt h e rm o r e ,   a l l   us e r   a c t i o n s   a r e   t o   be   l o gge t o   t h e   da t a b a s e ,   a n a   b a c kup  s n a ps h o t   of   t h e   s y s t e m   i s   s a v e i n   t h e   e v e n t   t ha t   r e v e r t s   t o   a   m o r e   s t a b l e   v e r s i o i f   n e e de d.   T h e   f i r s t   de f e n s i v e   l a y e r   of   t h e   s y s t e m   i s   t h e   f i r e w a l l .   If   t h e   a t t a c ke r   w a s   a b l e   t by pa s s   t h e   f i r e w a l l ,   an o t h e r   de f e n s i v e   l a y e r   w i l l   c o m e   i nt o   pl a c e ,   w hi c h   i s   t h e   r o ut i ng  a nd  A A A .   T h e   r o ut e r   w i l l   n o t   r o ut e   t h e   us e r   t o   t h e   s pe c i f i e d   a r e a   o f   t h e   s y s t e m   un l e s s   t h e y   a r e   a ut h e nt i c a t e a nd  a ut h o r i z e t o   a c c e s s   t h a t   a r e a   o f   t h e   s y s t e m .   A t   t h i s   po i n t ,   t h e r e   a r e   t w po s s i b l e   a t t a c ks   t o   t h e s e   de fe n s e s ,   D oS   a t t a c ks , a nd  di r e c t o r y   t r a v e r s a l   a t t a c ks .   A   D o S   a t t a c w o ul ov e r l o a t h e   r e s o ur c e s   of   t h e   s y s t e m ,   c a us i ng  t h e   r o ut i n m e c h a ni s m   t o   f a i l ,   a n d   c o n s e que n t l y   de s t r oy i n t h e   di s p a t c h e r   a n d   t h e   A A A   m e c ha ni s m s .   T hi s   e n a b l e s   t h e   a t t a c ke r   t o   a c c e s s   a r e a s   of   t h e   s y s t e m   w i t h o ut   n e e di n t o   b e   a ut h e n t i c a t e o r   a ut h o r i z e d.     H ow e ve r ,   t h e   f i r e w a l l   h a s   a   f e a t ur e   t o   c i r c um v e n t   t ha t ,   c a l l e t h e   B a B o t s   B a nn e d .   T h i s   f e a t ur e   s e n s e s   us e r   r e que s t s   a nd  i s   t ri gge r e o n c e   a   l a r ge   n u m b e r   o f   m a l i c i o us   r e que s t s   a r e   r e c e i ve d,   b a nni n g   t h e s e   r e que s t s ,   s ub s e que n t l y   m i t i g a t i ng  m o s t   o f   t h e   e ffe c t s   of   t h e   D o S   a t t a c ks .   A n o t h e r   po s s i b l e   a t t a c o n   t h e   r o ut i ng  a n A A A   m e c ha n i s m s   i s   t h e   di r e c t o r y   t r a v e r s a l   a t t a c ks .   T h i s   a t t a c a l l o w s   t h e   a t t a c ke r   t o   a c c e s s   f i l e s   a n f o l de r s   i n   t h e   pa r e nt   di r e c t o ri e s   w h i c h   t h e y   s h o ul n o t   no r m a l l y   be   a l l o w e t o   a c c e s s ,   r e v e a l i n po s s i b l y   s e n s i t i v e   da t a .   T hi s   a t t a c c a b e   m i t i g a t e by   c o n f i guri ng  t h e   A A A   m e c ha n i s m   p r o pe r l y   a n d   by   a ddi ng  r e s t r i c t i v e   c o d e   us i n t h e   . ht a c c e s s   f i l e   i n s i de   t h e   J oo m l a   f r a m e w o r k.   O n e   o t h e r   w a y   a n   a t t a c ke r   c o ul ga i una ut h o r i z e a c c e s s   t o   t h e   s y s t e m   i s   by   us i n b r u t e   fo r c e   a t t a c ks   t o   a s s um e   t h e   i de n t i t y   of   a   s upe r us e r   i n   t h e   s y s t e m .   T h i s   i s   m i t i g a t e by   t hr e e   m a i n   f e a t u r e s   i m p l e m e nt e i n   J o o m l a ,   w hi c h   a r e   B a B o t s   B a nn e d ,   B l o c k   F a i l e L o gi n.   B a B o t s   B a nn e w i l l   s t o b o t s   f r o m   b r ut e - fo r c i n t h e i w a y   i n t o   t h e   s y s t e m   by   de t e c t i n g   a ut o m a t e d,   l a rge - v o l um e   l o gi n   a t t e m pt s   a n s t o ppi n t h e m ,   w h i l e   B l o c F a i l e L o gi n   w i l l   r e j e c t   a l l   l o gi n   a t t e m pt s   f r o m   t h e   a t t a c ke r ‟s   IP   a dd r e s s   w h e n   a   c e rt a i n   nu m b e r   o f   f a i l e l o gi n s   i s   r e a c h e d.   F u rt h e r m o r e ,   i n   J oo m l a ,   a dv a n c e CA P T CH A   m e c ha n i s m s   a r e   us e t o   e n s u r e   r e a l   h u m a us e r s   a r e   m a ki ng  l e gi t i m a t e   r e que s t s   a n d   p r e v e n t   a n y   t y pe   of   b r ut e   f o r c e   a t t a c ks .   A n o t h e r   w a y   t o   h a v e   a c c e s s   t o   s e n s i t i v e   i n f o r m a t i o n   o f   t h e   s y s t e m   o r   pe r f o r m   m a l i c i o us   a c t i o n s ,   t h e   a t t a c ke r   m i g ht   t r y   t o   ge t   h i g h e r   p ri v i l e ge s   t o   do   t h a t .   T o   m i t i ga t e   t ha t ,   w e   h a v e   t hr e e   m e c h a ni s m s   w h i c h   a r e :   s e pa ra t e   a dm i n s   l o gi f r o m   n o rm a l   us e r s ,   pe r f o r m i n a   h e a l t h   c h e c k,   u pd a t e   f e a t u r e .   S e pa ra t e   a dm i n s   l o gi n   f r o m   n o rm a l   us e r s   m e a n   t ha t   w e   h a v e   di ffe r e nt   l o gi n s   fo r   us e r s   a n a d m i n s .   P e r f o r m i ng  h e a l t h   c h e c i s   a   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   16 ,   N o .   2 N o v e m be r   2 019   :     86 0   -   881   868   f e a t ur e   f r o m   t h e   f i r e w a l l   w h e r e   i t   n o t i f i e s   y o u   i f   y ou  d ow n l o a de a   pl ugi n   w i t h   a   v ul n e r a b i l i t y   t h a t   m i g ht   m a ke   y o u r   w e b s i t e   v ul n e r a b l e   i n   a dd i t i o n   t o   t ha t ,   i t   w i l l   a l e rt s   y o i s o m e   h i dde n   c o de   i s   fo un s uc h   a s   a   b a c kdoo r .   T h e r e f o r e ,   t h e r e   i s   a   b a c kup  m e c ha n i s m   w h e r e   i t   t e l l s   y o w h e t h e r   y o h a v e   t h e   l a t e s t   v e r s i o n   of  J oo m l a   o n o t ,   b e c a us e   t h e   o l v e r s i o n s   o f   a n y   a p pl i c a t i o n   ha v e   m a n y   v ul n e ra b i l i t i e s   t ha t   a r e   t a ke c a r e   o f   i   t h e   n e w e r   o n e s .   O n e   c o m po n e n t   t ha t   m i g ht   b e   v ul n e ra b l e   t o   a t t a c i s   t h e   m o dul e   c o m p o n e nt .   T h e   a t t a c ke r   m i g h t   us e   a n   X S S   a t t a c k   i o r de r   t o   e xe c ut e   unde s i ra b l e   i n s t ruc t i o n s   o t h e   s e r v e r   s i de ,   o e v e n   a t   t h e   us e r ' s   s i de .   M y S Q L   da t a b a s e   t h a t   J o o m l a   us e s   by   d e f a ul t   i s   v ul n e ra b l e   t o   S Q L   i n j e c t i o n   a t t a c k.   T h e   a t t a c ke r   m i g ht   us e   S Q L   i n j e c t i o n   i n   o r de r   t o   ge t   da t a   t ha t   h e   i s   n o t   s uppo s e t o   h a v e   a c c e s s   t o ,   a n i n   t h e   w o r s t   c a s e ,   h e   m i g h t   i n j e c t   o r   de l e t e   da t a .   T o   m i t i g a t e   t h i s ,   t h e   s y s t e m   i s   us i n t h e   b a c kup  t o   r o l l b a c t t h e   c o r r e c t   v e r s i o n   i f   t h e   a t t a c ke s o m e h o w   w a s   a b l e   t o   t a m pe r   w i t t h e   da t a .   I n   a ddi t i o n ,   w e   a r e   a b l e   t o   a c t i v a t e   t h e   t w o - f a c t o r   a ut h e nt i c a t i o n   m e t h o i n   J oo m l a .   F o r   e xa m pl e ,   a   s e c r e t   ke y   w i l l   b e   s e n t   t o   t h e   us e r   de v i c e   a ddi t i o n a l l y   t o   hi s   c r e de n t i a l s   t o   l o i n.   T h us ,   e v e n   t h e   a t t a c ke c o ul r e a c h   t o   t h e   us e r   i n f o r m a t i o n ,   h e   w i l l   n o t   b e   a b l e   t o   l o i n   b e c a us e   t h e   s e c r e t   ke y   i s   m i s s i n g .   M o r e ov e r ,   t h e   f i re w a l l   c a n   de t e c t   a n b l o c S Q L   a t t e m pt s   w h e n   a t t a c ke r s   t r y   t o   i n j e c t   t h e m .   A n o t h e r   a t t a c m i g h t   b e   f r o m   t he   i n s i de r s   r a t h e r   t ha n   o ut s i de r s .   F o r   e xa m pl e ,   a a dm i n   c a n   us e   h i s   pri v i l e ge s   i n   o r de r   t o   pe r f o r m   a c t i o n s   t h a t   a r e   ha rm f ul   t o   t h e   s y s t e m .   T o   m i t i ga t e   t hi s ,   t h e   s y s t e m   ha s   a   l o ggi ng  m e c ha n i s m   t h a t   r e c o r ds   e v e r y   a c t i o n   pe r f o r m e o n   t h e   s y s t e m .     3. 3 .       F l as k   3. 3 .     I n t r o d u c ti o n   F l a s i s   a   m i c r o   w e b   f r a m e w o r w r i t t e n   i n   py t h o n.   It   i s   c l a s s i f i e a s   a   m i c r o - f r a m e w o r b e c a us e   i t   do e s   n o t   r e qu i r e   pa rt i c ul a t o o l s   o r   l i b r a ri e s .   I t   ha s   n o   da t a b a s e   a b s t r a c t i o l a y e r ,   f o r m   v a l i d a t i o n,   o a n y   o t h e r   c o m po n e n t s   w h e r e   pr e - e xi s t i n t h i rd - pa rt y   l i b r a r i e s   p r o v i de   c o m m o n   f u n c t i o n s . H ow e v e r ,   F l a s k   s uppo rt   e xt e n s i o n s   t ha t   c a n   a dd   a pp l i c a t i o f e a t u r e s   a s   i f   t h e y   w e r e   i m pl e m e n t e d   i F l a s k   i t s e l f .   E x t e n s i o n s   e xi s t   f o r   ob j e c t - r e l a t i o na l   m a p pe r s ,   f o r m   v a l i da t i o n,   u pl o a ha n dl i ng,   v a r i o us   o pe n   a u t h e n t i c a t i o n   t e c hn o l o gi e s   a n d   s e v e r a l   c o m m o n   f ra m e w o r r e l a t e t o o l s .   E x t e n s i o n s   a r e   upda t e f a m o r e   r e gul a rl y   t h a t h e   c o r e   F l a s pr o g r a m .   F l a s i s   c o m m o nl y   us e w i t h   M o n go D B   w h i c h   a l l ow s   i t   m o r e   c o n t r o l   o v e r   d a t a b a s e s   a n hi s t o r y .   In   2 004 ,   t h e   po c c o   t e a m   w a s   f o r m e da s a n   i nt e rn a t i o na l   gr o up  o f   e n t h us i a s t s   f r o m   t h e   P y t h o c o m m uni t y   w o r ki n o n   o pe n   s o ur c e   P y t h o n   s o f t w a r e   w i t ho ut   c o m m e r c i a l   i nt e r e s t   a n f o r   t h e   b e n e f i t   of   o t h e r s .   F l a s w a s   c r e a t e by   A r m i R o n a c h e r   o f   P oc oo .   A r m i n   R o n a c h e i s   a n   A us t ri a o pe n   s o ur c e   s o f t w a r e   pr o g r a m m e a nd  t h e   c r e a t o o f   t h e   F l a s k   w e b   f r a m e w o r f o r   P y t h o n .     3. 3 .     A r c h i te c tu r e   F l a s i s   b a s e o n   t w o   s ubs y s t e m s ,   W e r kz e ug  W S G t o o l ki t , a n J i n j a 2   t e m p l a t e   e n g i n e .   W e b   S e r v e r   G a t e w a y   In t e r f a c e   (W S G I)  ha s   b e e n   a do pt e a s   a   s t a nda rd  f or  P y t h o n   w e b   a ppl i c a t i o n   de v e l o pm e n t .   W S G i s   a   s pe c i f i c a t i o f o r   a   u ni v e r s a l   i nt e r f a c e   b e t w e e n   t h e   w e b   s e r ve r   a n d   t h e   w e b   a ppl i c a t i o n s .   W e r kz e ug  It   i s   a   W S G t oo l ki t ,   w h i c h   i m pl e m e n t s   r e que s t s ,   r e s po n s e   obj e c t s ,   a n o t h e r   ut i l i t y   f un c t i o n s .   T h i s   e n a b l e s   b ui l di n a   w e f r a m e w o r o n   t o of   i t .   F i gu r e   s h o w s   h ow   t h e   w o r ki n o f   t h e   l a y e r s   of   t h e   f l a s k.     O n   t h e   o t h e r   h a nd,   J i n j a i s   a   po pul a t e m p l a t i n g   e n g i n e   fo r   P y t h o n .   A   w e b   t e m pl a t i ng  s y s t e m   c o m b i n e s   a   t e m p l a t e   w i t a   c e r t a i d a t a   s o ur c e   t o   r e n de r   dy na m i c   w e b   pa ge s .   F l a s k   c o m e s   w i t h   n o   b a t t e r i e s   i n c l ude a pp r o a c h   (v e r y   l i ght   a n de pe n ds   o n   e xt e n s i o n s ),   s o   a l l   s ub s y s t e m s   e xi s t   i n   e xt e n s i o n s   t h a t   a r e   n o t   a   pa r t   o f   F l a s k   i t s e l f .           F i gu r e   6 .   T h i s   f i gu r e   s h o w s   h ow   t h e   l a y e r s   o f   f l a s w o r k   t o ge t h e r   i a n y   w e b   a ppl i c a t i o n   Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Se c ur i t y   as s e s s m e nt   of   f our   op e s o ur c e   s of t w ar e   s y s t e m s   ( F ar az   Idr i s   Khan )   869   O n e   of   t h e   b i gge s t   a dv a n t a ge   t ha t   W S G gi v e s   us   f l e xi b i l i t y .   Y o u   c a n   a c t ua l l y   c h a n ge   t h e   w e s t a c k   c o m po n e n t s   w i t h o ut   c ha n gi ng  t h e   c o de s   a t   a l l ,   a n w i t h o ut   e v e n   c h a n g i n t h e   a pp l i c a t i o n   t ha t   r u n s   t h e   W S G s e r v e r s .   T h i s   m e a n s   t h a t   y o ur   a ppl i c a t i o n   o n   f l a s c a n   b e   c o n f i gur e w i t h   a n y   s e r v e r   (l i ke   a p a c h e w i t h o ut   c h a ngi n g   t h e   c o de   e a c h   t i m e   y o s h i f t   f r o m   s e r v e r   t o   a n o t h e r.   W S G s e r v e r s   p r o m o t e   s c a l i n g.   S e r v i n t h o us a n ds   o f   r e qu e s t s   fo r   dy n a m i c   c o n t e nt   a t   o n c e   i s   t h e   do m a i n   o f   W S G s e r v e r s ,   n o t   f ra m e w o r ks .   W S G s e r v e r s   ha n d l e   p r o c e s s i n r e que s t s   f r o m   t h e   w e b   s e r ve r   a nd  de c i di ng  h o w   t o   c o m m uni c a t e   t h o s e   r e que s t s   t o   a a p pl i c a t i o n   f ra m e w o r k' s   p r o c e s s .   T h e   s e g r e ga t i o n   o r e s po n s i b i l i t i e s   i s   i m po r t a n t   f o r   e ff i c i e n t l y   s c a l i n g   w e b   t ra f f i c   a n d   a l s o   r e duc e s   t h e   c h a n c e s   o f   D D o S   a t t a c k.   T h e   de v e l o p e r   c a m a ke   a   m i s t a ke   i t h e   c o n f i gu ra t i o n   W S G f i l e   t ha t   ru n s   f l a s k   o n   t h e   w e b   s e r v e r ,   a n t h e   r e s ul t   o f   a n y   m i s t a ke   i n   t h i s   f i l e   c a p r e v e n t   t h e   a p pl i c a t i o f r o m   r u nni n o n   t h e   s e r v e r .   J i n j a i s   a   t e m pl a t e   e n g i n e   t ha t   t ra n s f o r m s   y o ur   c o de   i n   py t h o n   t o   H T M L   f i l e s   a n ha n d l e s   t h e   i n t e r a c t i o n   b e t w e e n   t h e m ,   f o r   e xa m pl e ,   by   l oo ki n a t   t h e   c o de   s h ow n   i n   F i gu r e   7.   M i s s pe l l i n g   „t e m p l a t e . ht m l ‟  o r   t h e   n a m e s   o f   t h e   v a r i a b l e s (m y _ s t r i ng)  o r   e v e n   f o r ge t t i n t o   i m po r t   r e n de r _ t e m pl a t e   m o dul e   w i l l   p r e v e n t   y o ur   pa ge   f r o m   l o a di n g .   J i n j a i s   m o r e   s e n s i t i v e   a n e xpo s e t o   v ul n e r a b i l i t i e s   s i n c e   i t ‟s   a   l i n k i n b e t w e e n   t h e   p y t h o n   c o de   a n t h e   H T M L   f i l e s ,   a n e rr o r s   c a n   ha ppe n   b e c a us e   o m i s s pe l l i n o r   c ha n gi ng  t h e   na m e   o H T M L   f i l e .     A n y   m i s t a ke s   ha ppe n   i n   J i n j a o W S G c o de   c a n   p r e v e n t   us e r s   f r o m   a c c e s s i n y o ur   w e b s i t e ,   w h i c h   i s   a a v a i l a b i l i t y   i s s ue .   Ca us i n p r o b l e m s   i n   J i n j a c o de   w i l l   o pe n   de b ug  m o de   of   t h e   f l a s k(  w h i c h   m us t   b e   di s a b l e i n   de pl oy m e n t a nd  m a ke   y o e a s y   e xe c ut e   p y t h on   c o m m a nds   t o   t h e   w e b   a ppl i c a t i o n,   w h i c h   i s   a   c o n f i de n t i a l i t y   a n d   i nt e g r i t y   i s s ue . I n   F l a s 0 . 10   a n d   l o w e r ,   j s o n i fy ()  di n o t   s e r i a l i z e   t o p - l e v e l   a rr a y s   t o   J S O N   a s   s h o w n   i n   F i gu r e   7.   T hi s   w a s   b e c a us e   of   a   s e c ur i t y   v ul n e ra b i l i t y   i E CM A S c r i pt   4 .   E CM A S c ri pt   c l o s e d   t h i s   v ul n e ra b i l i t y ,   s o   o n l y   e xt r e m e l y   o l b r ow s e r s   a r e   s t i l l   v ul n e ra b l e .   A l l   o f   t h e s e   b r ow s e r s   h a v e   o t h e r   m o r e   s e r i o us   v ul n e ra b i l i t i e s ,   s o   t hi s   b e ha v i o r   w a s   c h a nge a nd  j s o ni fy ()  n o w   s uppo r t s   s e ri a l i z i n g   a rr a y s .           F i gu r e   7 .   F l a s v ul n e ra b i l i t y       A.   D e al i n g   w i th   C o o k i e s   If   y o ur   a ut h e nt i c a t i o n   i n f o r m a t i o n   i s   s t o r e i c oo ki e s ,   y o h a v e   i m pl i c i t   s t a t e   m a n a ge m e nt .     T h e   s t a t e   of   b e i n l o gge i n   i s   c o n t r o l l e by   a   c oo ki e ,   a nd  t ha t   c o o ki e   i s   s e n t   w i t h   e a c h   r e que s t   t o   a   pa ge .   U n fo r t u na t e l y ,   t h a t   i n c l u de s   r e que s t s   t ri gge r e by   3r pa rt y   s i t e s .   If   y o d o n ‟t   ke e t ha t   i n   m i nd,   s o m e   pe o pl e   m i g ht   b e   a b l e   t o   t r i c y o ur   a ppl i c a t i o n ‟s   us e r s   w i t h   s o c i a l   e n g i n e e r i ng  t o   do   s t u p i t h i ngs   w i t h o ut   t h e m   kn o w i n g .   S a y   y ou  h a v e   a   s pe c i f i c   U RL   t h a t   w h e n   y o s e nt   P O S T   r e que s t s   t o   w i l l   de l e t e   a   us e r ‟s   pr o f i l e     (s a y   h t t p : / / e x a m p l e . c o m / us e r/ de l e t e ).   If   a a t t a c ke n o w   c r e a t e s   a   pa ge   t h a t   s e n ds   a   po s t   r e que s t   t o   t ha t   pa ge   w i t h   s o m e   J a v a S c r i pt   t h e y   j us t   ha v e   t o   t ri c s o m e   us e r s   t o   l o a t ha t   pa ge   a n d   t h e i p r o f i l e s   w i l l   e n u b e i n g   de l e t e d.   Im a gi n e   y o w e r e   t o   r u n   F a c e boo w i t h   m i l l i o n s   o f   c o n c urr e n t   us e r s   a n d   s o m e o n e   w o ul s e n o ut   l i n ks   t o   i m a ge s   o f   l i t t l e   ki t t e n s .   W h e n   us e r s   w o ul go   t o   t h a t   pa ge ,   t h e i p r o f i l e s   w o ul ge t   de l e t e w h i l e   t h e y   a r e   l o o ki n a t   i m a ge s   o f   f l u f fy   c a t s .   H ow   c a n   y o pr e ve n t   t h a t ?   B a s i c a l l y ,   f o r   e a c h   r e que s t   t ha t   m o di f i e s   c o n t e n t   o t h e   s e r v e r ,   y o w o ul h a v e   t o   e i t h e r   us e   a   o n e - t i m e   t o ke a nd  s t o r e   t ha t   i t h e   c o o ki e   a nd  a l s t r a n s m i t   i t   w i t h   t h e   fo r m   da t a .   A f t e r   r e c e i v i n t h e   da t a   o n   t he   s e r v e r   a ga i n ,   y o w o ul t h e n   h a v e   t o   c o m pa r e   t h e   t w o   t o ke n s   a n e n s u r e   t h e y   a r e   e qua l .   W h y   doe s   F l a s n o t   do   t ha t   f o r   y o u?   T h e   i de a l   p l a c e   f o r   t h i s   t o   ha ppe n   i s   t h e   fo r m   v a l i d a t i o n   f ra m e w o r k,   w h i c h   do e s   n o t   e x i s t   i n   F l a s k .   S o   c o n s i de r   h o w   a r c hi t e c t u r e   m i g ht   c h a nge   o ve r   t i m e .   F l a s a r c h i t e c t u r e   c a c h a nge   b e   a ppl y i n g   o n e   o f   t h e   f o l l ow i n g   de c i s i o n s :   1)   In c l u di n o n e   o f   t h e   i m po r t a n t   e xt e n s i o n s   t ha t   m a n y   de ve l o p e r s   us e   t o   b e   o n e   of   t h e   m a i n   s ub s y s t e m s   i a   f l a s k   r a t h e r   t h a de a l i n g   w i t h   e x t e rna l l y .   2)   Cha n g i n g   i t s   m a i c o m po n e n t s   l i ke   de a l i n w i t a n o t h e t e m pl a t e   e n g i n e   ra t h e t ha n   J i n j a 2     Evaluation Warning : The document was created with Spire.PDF for Python.