Web Application Stress Tool.. selanjutnya kita panggil saja beliau ini WAS. Saya mau curhat sedikit.. Jadi begini ceritanya.. Saya sedang membangun err..lebih tepatnya telah selesai membangun sebuah webservice untuk retrieve data publikasi dari textbase InMagic, oh ya.. dan aplikasi web yang mengambil data dari webservice itu. Setelah selesai development, proses berikutnya adalah testing bukan? Testing sudah dilakukan di lokal, semua berjalan baik baik saja. Kemudian webservice dan aplikasinya di upload di server hosting. Nah setelah selesai di upload, testing dilakukan pada webservice dan aplikasinya disana (server hosting).
Untuk keperluan testing pun saya membuat aplikasi kecil untuk simulasi request dari user. Yang pertama dengan menggunakan ASP.NET dengan parameter input berapa kali jumlah kali query yang dilakukan, yang kedua dengan meng-embed javascript yang melakukan refresh page tiap 3 detik, keduanya menggunakan random keyword. Oke.. keduanya pun berjalan dengan lancar. Tapi hasil dari test kurang informatif. Kemudian saya menggunakan WAS dari Microsoft punya. Download di sini. File berukuran sekitar 9 MB. Overviewnya begini kira kira..
The Microsoft WAS web stress tool is designed to realistically simulate multiple browsers requesting pages from a web site. You can use this tool to gather performance and stability information about your web application. This tool simulates a large number of requests with a relatively small number of client machines. The goal is to create an environment that is as close to production as possible so that you can find and eliminate problems in the web application prior to deployment.
Hoho.. Nice app.. Setelah beres install tanpa basa basi bisu saya langsung ‘jajal’. Instruksi penggunaannya dapat dibaca disini nih. Untuk permulaan saya test ringan saja, dengan 1 thread selama 5 menit. Kemudian keluar reportnya. Hmmm.. oke.. bagus.. Kemudian saya ‘perkosa’ webservice dan aplikasinya dengan menggunakan 25 thread selama 15 menitan. Kemudian muncul hasilnya.. hmm.. memuaskan. Oke.. sambil browsing sana sini saya menuliskan email untuk pak bos teatang hasil test yang saya lakukan. Email selesai.. kirim!
Tidak lama kemudian muncul notifikasi outlook di pojok kanan bawah desktop saya. Oh email masuk. Isinya adalah main website kantor saya down. Tidak bisa diakses. Oh my.. Apa gara gara habis ‘dibantai’ sama WAS ya? Servernya jadi ‘stress’ betulan.. :p Sementara proses mitigasi penyebabnya, website di redirect ke mirrornya. Email yang masuk berikutnya adalah hasil analisa dari pak bos, seperti ini kira kira..
Jadi begini, yang pasti terjadi dengan web site adalah SQL Injection,
dimana dilakukan perubahan data2 MCMS dalam SQL Server.Kenapa WAS menjadi tersangka adalah karena itu satu2nya kegiatan yang
tidak biasa yang dilakukan pada MCMS. Jadi hasil dari SQL injection
tersebut adalah untuk setiap line di database (sejauh yg bisa pak bos dan empunya website lihat adalah table user, table resource) ditambahkan string
tambahan “<script … source=”nggn.js>”, tetapi yg aneh nya data aslinya
sediri tidak dihapus, tetapi di kopikan ke line baru pada table yang
sama, terlalu baek bukan ?” Nah tetapi ketika di coba browse si script
tadi di IE, ternyata di tangkap oleh Trend Micro sebagai virus. Bingung
khan.Jadi kesimpulannya :
1. WAS yg kita pakai sudah mengalami injection dari virus
2. WAS membukan jalan untuk virus
3. itulah cara kerja WAS dalam melakukan testing
4. Hanya Tuhannya orang2 CGNET yg tahu.
Ohya, website kantor saya dibangun menggunakan MCMS, dan CGNET itu server hostingnya. Lanjut lagi emailnya ya..
Satu lg keanehan, yaitu kalau memang server database di hack, kenapa
cuma dataCIFORkantor saya yang diserang ? jadi pak bos sih lebih prefer no 2, yaitu
ketika WAS dijalankan, terbukan hole security, yang kemudian ada virus
yang memanfaatkannya.
Yaaah begitulah ceritanya.. Lucu juga sebenarnya goal aplikasi WAS untuk mengeliminir terjadinya problem, malah jadi tambah masalah. Padahal itu buatan mikrosop, you knowlah buatan mikrosop gimana.. MCMS juga buatan mikrosop. Sebenanrnya saya agak ragu juga bisa begitu, tapi pak bos bisa jadi benar. Virus,worm dan teman temannya sepengetahuan saya memang lebih senang sama produk mikrosop. Dan saya pun sukses berat merepotkan pak bos, empunya website dan orang orang terkait lainnya. Hohoho… Maapken sayah… 🙂 Akhirnya WAS pun ditinggalkan, dan kembali menggunakan aplikasi simulasi yang lain.
Kira – kira kenapa bisa gitu ya? pernah pakek WAS ini? Atau ada tool untuk testing aplikasi dan webservice yang laen? Ya udah yuk.. saya mo lanjut maen Dota lagi ajah.. 😉
1 comment / Add your comment below