New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Security: tambah cara untuk mengharuskan pengguna mengganti password default #927

Closed
eddieridwan opened this Issue Apr 9, 2018 · 19 comments

Comments

3 participants
@eddieridwan
Collaborator

eddieridwan commented Apr 9, 2018

Ternyata banyak desa online yang masih menggunakan password default. Untuk mengamankan website mereka, perlu dicari cara untuk memaksa passwordnya diganti.

Dan juga harus mengganti password paling lama dalam waktu 3 bulan.

Perlu juga ditambah cek agar password yang digunakan harus memenuhi syarat kekuatan tertentu.

@eddieridwan eddieridwan added the security label Apr 9, 2018

@eddieridwan eddieridwan added this to DIPRIORITASKAN in Rilis yang sedang dikerjakan Apr 9, 2018

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Saya hanya mereport karna kebetulan saya bisa berkomunikasi langsung dengan para attackernya.

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Kebetulan saat ini ada 3 attacker di grub fb. Kita harus berterimakasih kepada mereka atas bantuannya mengetes keamanan OpenSID

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 9, 2018

Kemarin mereka juga sudah memberi peringatan di FB bahwa banyak website masih menggunakan password default -- sebelum melakukan hacking. Tapi kita juga sudah lama tahu -- ini bukan info baru. Banyak desa yang sepertinya sama sekali tidak mengerti keamanan. Fitur teknis kemampuannya terbatas. Celah utama selalu ada pada pengguna. Dan kembalinya pada pendampingan yang melekat dan bertanggung jawab.

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Celahnya bukan karna password tidak diganti tapi lebih mendalam. Ada baiknya sementara desa" kosongkan dulu data penduduknya. Sementara gunakan data penduduk dalam versi offline

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 9, 2018

Apakah anda diberitahu apa masalah yang 'lebih mendalam' itu? Kalau kita tidak tahu, akan sukar ditutup. Ternyata para pentester sulit diajak untuk diskusi di forum teknis.

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Coba nanti saya tanyakan celahnya dimana hingga bisa ditembus. Kemarin yg saya dapat info celah ada pada script upload

1 similar comment
@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Coba nanti saya tanyakan celahnya dimana hingga bisa ditembus. Kemarin yg saya dapat info celah ada pada script upload

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 9, 2018

Kalau script upload juga sudah lama diketahui --- tapi celah itu ada HANYA kalau bisa login ke modul Admin. Apakah ada celah lain yang mereka ketahui --- yang 'lebih mendalam'?

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Cuman upload shell lewat bug bug upload atau bug yg bisa di xploit

Gk pakek default tuh om... dia cuman register di usernya... nah kan di dashboard user ada tempat upload kayaknya

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Setau saya attacker ga butuh password atau login admin. Attacker incject shell pada bug upload untuk xploit

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 9, 2018

Maksudnya upload foto di manajemen pengguna atau fitur upload lainnya? Tapi semua itu hanya bisa diakses kalau sudah login...
Di mana bisa upload tanpa login? Kalau bisa kita perlu segera tutup.

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Iya benar.
Attacker ga perlu account untuk masuk ke website.
Attacker punya cara sendiri yang ga mungkin dibongkar ke kita om.

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 9, 2018

Ya, katanya mereka mau membantu. Kalau mau membantu, tentunya akan memberitahu apa yg perlu dilakukan untuk menutup celah. Kalau tidak mau, berarti mereka hanya ingin tertawa melihat orang sengsara....

@metalab25

This comment has been minimized.

Contributor

metalab25 commented Apr 9, 2018

Bung eddie silakan langsung chat sama attackernya aja biar saya grupkan

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 9, 2018

Ada yg sudah di slack. Tapi tidak bisa diajak membahas.

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 15, 2018

Contoh dari Laravel untuk memaksa penggantian password: http://laraveldaily.com/password-expired-force-change-password-every-30-days/

@suphm

This comment has been minimized.

Contributor

suphm commented Apr 25, 2018

Saya minta izin bergabung disini ya.

Menurut saya, memaksa metode mengganti password rutin kurang pas di-UX. pasti admin bosen nantinya.
Usul saya, bisa tambahkan config variabel konstan untuk username/password pertama. implementasinya, pengecekan dilakukan seteleh login berhasil. misalnya:

if ($user->is_using_default_login_info()) {
	// pesan warning ke user dan alihkan ke halaman ubah password
}

function is_using_default_login_info() {
	return $username == $config_admin_username && $password === $config_admin_password;
}
@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 26, 2018

@suphm : kalau ada solusi silakan kirim pull request. Ikuti petunjuk https://github.com/OpenSID/OpenSID/wiki/Cara-Ikut-Mengembangkan-OpenSID.

suphm added a commit to suphm/OpenSID that referenced this issue Apr 27, 2018

Bug Fix OpenSID#927
Fix: admin_warning terhapus saat error mengupdate password.

suphm added a commit to suphm/OpenSID that referenced this issue Apr 27, 2018

suphm added a commit to suphm/OpenSID that referenced this issue Apr 27, 2018

Bug Fix OpenSID#927
+ Fix: admin_warning terhapus saat error mengupdate password.
+ Change: Use ui-dialog library.

@eddieridwan eddieridwan moved this from DIPRIORITASKAN to SEDANG DIKERJAKAN in Rilis yang sedang dikerjakan Apr 29, 2018

eddieridwan added a commit that referenced this issue May 1, 2018

suphm added a commit to suphm/OpenSID that referenced this issue May 1, 2018

merge upstream (#1)
* Tutup celah bisa unggah script php melalui unggah foto di Setting User

* Tambah kontributor di README.md

* Ganti ke versi 2.12

* Update README.md

* Perbaiki styling dialog ubah password default

* OpenSID#927: Ingatkan admin untuk mengganti password kalau masih menggunakan password default. [security-fix]
@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented May 1, 2018

Mengikuti usul @suphm , issue ini dibatasi hanya untuk memperingati admin mengganti password kalau masih menggunakan password default.

PR #966 telah menerapkan perubahan itu.

Issue ini akan ditutup. Kalau perubahan berikut yg belum dikerjakan masih diperlukan, akan dibuka issue baru:

  • pengguna harus mengganti password paling lama dalam waktu 3 bulan.
  • password yang digunakan harus memenuhi syarat kekuatan tertentu.

@eddieridwan eddieridwan moved this from SEDANG DIKERJAKAN to SUDAH DI MASTER in Rilis yang sedang dikerjakan May 1, 2018

eddieridwan added a commit that referenced this issue May 2, 2018

Template PR dan ISSUE untuk membantu pengembang yang lain. (#975)
* merge upstream (#1)

* Tutup celah bisa unggah script php melalui unggah foto di Setting User

* Tambah kontributor di README.md

* Ganti ke versi 2.12

* Update README.md

* Perbaiki styling dialog ubah password default

* #927: Ingatkan admin untuk mengganti password kalau masih menggunakan password default. [security-fix]

* Tambah template Issue dan PR
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment