Menutup Celah Keamanan Oracle SQLPlus pada Windows

Tahukah anda bahwa (dengan proses instalasi Oracle secara default) ada celah keamanan pada Oracle di Windows? Celah keamanan ini memungkinkan orang yang tidak mengetahui username dan password Oracle dapat log in ke Oracle dengan hak akses penuh sebagai Database Administrator (DBA) melalui SQLPlus. Kenapa bisa seperti itu?

Pada saat kita meninstal Oracle pada sistem operasi Windows, secara default Oracle akan memasukkan username Windows kita (yang biasa kita gunakan untuk log in ke Windows) sebagai salah satu member grup DBA dengan hak akses setara dengan hak akses user SYSTEM di Oracle. Oleh karena itu, jika seseorang berhasil log in ke windows maka dia juga bisa log in ke Oracle dengan hak akses penuh tanpa harus mengetahui username dan password Oracle. Trik ini cukup sederhana dan sering saya gunakan di kelas jika ada mahasiswa saya yang lupa dengan password user SYSTEM (penjelasan selengkapnya baca di postingan saya yang lain)

Mengingat user SYSTEM adalah user dengan hak akses nyaris tak terbatas, jika celah kemanan ini dibiarkan tentu akan sangat berbahaya. Siapapun yang berhasil log in ke sistem operasi Windows dapat mem-by pass pengamanan data di Oracle bahkan memegang kendali penuh sebagai DBA. Di kelas, celah keamanan ini mungkin bisa dimanfaatkan untuk tujuan yang positif, tapi tentu saja celah keamanan ini juga dapat dimanfaatkan untuk hal-hal yang negatif. Nah, bagaimana cara menutup celah keamanan ini? Sebenarnya cukup mudah. Kuncinya adalah menghilangkan username Windows kita dari grup DBA. Adapun langkah-langkahnya adalah sebagai berikut:

  1. Pada sistem operasi windows, login sebagai Administrator lalu masuk ke Control Panel
  2. Pilih Administrative Tool
  3. Pilih Computer Management
  4. Pilih Local Users and Groups
  5. Pilih Users
  6. Klik kanan user yang digunakan untuk log in ke Windows, lalu klik Properties (perhatikan screenshot berikut ini, klik gambar untuk memperbesarnya)
  7. Akan muncul window baru, pada tab Member Of pilih grup ORA_DBA lalu klik tombol Remove kemudian klik tombol OK

Sekarang jika kita mencoba trik log in ke Oracle dengan menggunakan username Windows maka proses log in akan ditolak dan akan tampil pesan berikut:
Selamat mencoba. Semoga bermanfaat 🙂

Iklan

3 pemikiran pada “Menutup Celah Keamanan Oracle SQLPlus pada Windows

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s