[owasp-indonesia] FW: info websites yang menerima vulnerability research

Zaki Akhmad za at owasp.org
Tue Mar 27 03:07:28 UTC 2012


2012/2/29 Paulus Junior Lazuardi <paulusjrlz at gmail.com>:
> Halo rekan-rekan,
>
> Pada salah satu event yang sempat saya hadiri, ada pertanyaan/argumen yang
> menarik,
> intinya adalah bahwa hacker tidak bisa disalahkan atas apa yang diperbuat
> (hack/percobaannya)
> dengan alasan kira-kira berikut.
> 1. di internet begitu banyak website yang mengajarkan cara hacking, tools
> juga tersedia bebas
> 2. banyak pula website yang belum terproteksi
>
> Berikut ada tulisan yang cukup relevan,
> http://dankaminsky.com/2012/02/26/review/
> sebetulnya isinya daftar website yang punya open review policy,
> "memperbolehkan research for vulns" dengan terms masing-masing.
>
> Saya juga jadi teringat akan nasehat dari salah satu member OWASP
> (Michael),
> bahwa ketika melaporkan vulnerability website suatu instansi,
> ada kemungkinan anda sudah melanggar policy mereka (bila ada, yaitu secara
> aktif/sengaja melakukan percobaan)
>
> Ada argumen/sharing untuk topik ini?
> Bagaimana dengan website yang belum punya policy (minimal untuk proteksi)?
> Bebas?

Wah, pertanyaan dari Junior sudah hampir sebulan, ternyata belum ada
yang merespon.

Jadi, apakah ada ethical hacking? Kalau mengutip salah satu pakar
keamanan informasi, yang ada sekarang adalah legal atau ilegal
hacking. Tidak ada lagi ethical hacking.

Kalau bagi saya, seharusnya pemiliki situs merasa terbantu saat ada
orang yang melaporkan kerentanan situsnya. Tapi, ya memang jadi
abu-abu. Apakah motif seseorang ini melakukan scanning atas situs
tersebut.

Jika situs ini memiliki nilai aset yang besar, harusnya pemilik situs
mengalokasikan anggaran yang cukup juga dalam melakukan upaya
pengamanan.

-- 
Zaki Akhmad
OWASP Indonesia Chapter Leader
http://www.owasp.org/index.php/Indonesia


More information about the owasp-indonesia mailing list