Laman

Senin, 09 Mei 2011

Web hacking (Deface, sql&script injection)

ketika yg lain pada maen PB, ane? bikin trit ini..

Web hacking…, bukan hal baru lagi bagi jawara internet ( hacker ) baik aliran putih maupun aliran hitam ( cracker ). Terus apa yang dimaksud dengan web hacking? Untuk mendapatkan definisi kedua kata tersebut ( web dan hacking ) juga sebenarnya lumayan pusing. Secara semantik, web didefinisikan menjadi Data yang direpresentasikan di World Wide Web. Adapun hacking didefinisikan menjadi Tindakan di luar otoritas atau tindakan mematahkan/membobol mekanisme keamanan sebuah sistem informasi atau sistem jaringan. Jadi, singkatnya web hacking dapat diartikan Tindakan menerobos mekanisme keamanan dari suatu sistem yang direpresentasikan dalam world wide web. 
Ok, next. kemudian bagaimana web hacking tersebut dilakukan? ada banyak sekali cara untuk menerobos sistem suatu website, namun bin tapi, disini ane cm mau ngebahas dengan cara deface, sql injection dan script injection. kenapa? karena itulah tugasnya.hahaha.

Deface /
Defacing adalah teknik mengganti atau menyisipkan file pada server, teknik ini dapat dilakukan karena terdapat lubang pada sistem security yang ada di dalam sebuah aplikasi.
Defacer website dapat merubah tampilan sebagian atau seluruhnya tergantung kemauan defacer dan lubang yang bisa dimasuki, namun jika dia sudah putus asa, defacer akan melakukan denial of servis (DoS) attack yaitu mengirimkan request palsu pada server yang berlebihan sehingga kerja server lambat dan lama-kelamaan server akan crash dan down. Untuk dapat melakukan web deface, defacer melakukan beberapa tahap sebagai berikut :
a. Mencari kelemahan pada sistem security, menemukan celah yang dapat dimasuki untuk melakukan eksplorasi di server target. Dia akan melakukan scanning tentang sistem operasi, service pack, service yang enable, port yang terbuka, dan lain sebagainya. Kemudian dianalisa celah mana yang bisa dimasuki.
b. Melakukan penyusupan ke server korban. Teknik ini dia akan menggunakan beberapa tools, file yang akan disisipkan, file exploit yang dibuat sengaja untuk di-copy-kan. Setelah berhasil masuk , tangan-tangan defacer bisa mengobok-obok isi server.

Dan bagi ente yg mau ingin men-deface sebuah website, begini caranya :
- Buka sebuah website yang akan di deface
- Kemudian copy kan script di bawah ini
javascript:document.body.contenEditable='true'; document.designMode='on';void 0
- Paste pada url bar dan mulailah untuk mendandani dan me make up web tersebut
(nb: ini cuma iseng-isengan)

SQL Injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi cilent. SQL injention merupakan teknik mengeksploitasi web aplikasi yang di dalamnya menggunakan database untuk penyimpanan data.
Berhubung banyak sintaksnya, jadi kalo minat, monggo didonlot.SQL Injection

Script Injection ini ni yg paling susah dicari. HTML injection, script injection atau apapun istilahnya dari teknik hacking
klasik dengan metode memasukkan kode-kode HTML maupun JavaScript
kedalam field input suatu web based application memiliki potensi merusak yang
cukup besar apabila tidak ditangani dengan baik...bagi programmer pemula
yang tidak banyak mengetahui fungsi-fungsi yang ada tentu akan menjadi
masalah yang cukup menyusahkan. Disini saya mengambil contoh penggunaan
dengan PHP programming, banyak disediakan fungsi-fungsi untuk mengatasi
hal tersebut...misalnya :
* strip_tags, mysql_escape_string, htmlentities dll
* menerapkan aturan regular expresion -> preg_match, ereg, ereg_replace
Potensi Kerusakan
Kerusakan yang dapat terjadi sangatlah berbahaya apabila seorang penyerang
mengetahui kelemahan dari sanitasi input pada aplikasi web kita, misalnya
dengan memasukkan kode-kode HTML dan JavaScript seorang penyerang dapat
merubah tampilan dari aplikasi kita ataupun mendirect halaman dari aplikasi
kita ke alamat penyerang dan berbagai macam bentuk potensi merusak lainnya.
Kelemahan selain HTML injection
Permasalahan lainnya dari sanitasi input adalah penanganan terhadap input dari
user berupa karakter tanpa spasi, dengan memasukkan karakter tanpa spasi
dalam jumlah yang besar akan menyebabkan rusaknya tampilan aplikasi web
kita...tentu hal ini sangat menyebalkan dan kita tidak menginginkan itu terjadi
bukan?? :) dan terkadang saya juga ingin sedikit membalas tindakan mereka ;)
Setelah kita melakukan sanitasi terhadap kode-kode html maka diperlukan juga
sanitasi terhadap input karakter tanpa spasi yang dapat merusak tampilan
website kita, sekaligus untuk sedikit memberi pelajaran pada siiseng..
kita buat browser dia untuk looping sebanyak2nya...OK
POC (Proof Of Concept)
Disini kita akan membuat sebuah fungsi yang akan digunakan untuk men-
sanitasi string yang dimasukkan oleh user, apabila string tidak
bermasalah/mengandung kode-kode dan maksud yang tidak baik maka data
akan diinput kedalam database aplikasi kita sedangkan jika sebaliknya maka
fungsi ini akan memfilternya dan mem-bypass ke sebuah script yang akan
diterima oleh user yang mengirimkan kode tersebut :) 
Ni yg mau langkah-langkahnya HTML injection 

Tidak ada komentar:

Posting Komentar