25
Nov
07

WEB Exploit – Old Article from Jasakom.com


Exploit Web ???
Thursday, February 08, 2001- Jumlah Klik [18168] , Penulis : [-Ruth-]

Jasakom – Melanjutkan tutorial sebelumnya tentang bagaimana bertahan di web yg liar, maka sekarang dibahas secara lebih mendetil tentang bagaimana hacker dapat mengexploitasi web site. Dengan mengetahui hole ini juga, anda dapat mengamankan web site sendiri.
Bagaimana anda tahu web site anda bermasalah ?? Kita langsung aja masuk ke detil exploitasi.

Known vulnerabilities dan misconfiguration
Known vulnerabilities adalah bug(hole) atau exploit yg timbul pada baik operating system (OS) ataupun aplikasi pihak ketiga (third party) seperti Web server, database server, mail server, dan shopping cart.

Salah satu contoh hole (vulnerabilty) yg paling banyak adalah dari aplikasi Microsoft Intenet Information server (IIS).
Dan bug paling terkenal dari IIS ini adalah UNICODE Directory Transversal Vulnerabiliti (Security Buletin MS00-078) yg ditemukan pada pertengahan October lalu.
Dengan adanya bug UNICODE ini seluruh isi server anda dapat di lihat melalui browser dan bahkan akan lebih mudah lagi jika menggunakan IIS-Uncode aplikasi yg dikhususkan utk mendeteksi bug ini.
Jika permission (hak akses) ke server anda salah seting (misconfiguration), maka server anda dapat dikuasai dengan mudah seperti add, edit, delete dsb. Patch utk bug ini dapat di temukan di

http://www.microsoft.com/technet/security/bulletin/ms00-0078.asp

Dari informasi di atas anda tahu bahwa yg dimaksud dengan Known vulnerabilities dan misconfiguration adalah bug yg ditemukan dan ditambah dengan salah konfigurasi maka jadilah kesalahan yg sempurna dan senjata ampuh dari hacker.
Dari sisi security anda dapat segera patch sever anda.

Hiden Fields
Hiden field ini terdapat pada HTML form, dimana dari field-field ini dapat di ketahui harga barang dan bahkan adanya password yg tersembunyi,
jika anda menggunkan view sourve pada IE. Hal ini memungkinkan hacker mendapatkan password atau pembelian dengan harga gratis jika source tsb
dapat diubah.

Backdoor & Debug Options
Utk yg ini adalah kerjaan developer, dimana pada saat mereka membuat program atau aplikasi web ini, mereka akan membuat program kecil utk
dapat membantu kerjaan mereka dalam debug program tsb. Selain itu mereka kadang menciptakan suatu cara utk masuk ke coding yg di kirain kagak
diketahui orang lain, tapi pada saat di implementasikan di web akan menjadi masalah besar.

Cross Site Scripting
Kalo yg ini memang agak susah mendeskripsikan karena memiliki banyak arti. Salah satu contohnya adalah anda membuat suatu page yg dapat
mengumpulkan informasi dari user dan dikirim ke server user atau e-mail dll.
Contohnya seperti hotmail pernah di hack dengan cara menyediakan page yg sama, tetapi data ID dan password akan dikirim ke tempat lain.
Dengan kata lain user ke web site tujuan dengan menggunakan site lain yg namanya hampir sama. BTW, pengguna internet kan jarang melihat
dengan teliti URL yg diinput. Kebanyakan cara ini melibatkan java script code yg dimasukkan ke field-nya.

Parameter Tampering
Utk contoh exploit yg ini dapat anda lihat di http://www.jasakom.com/Security/article/sec01012701.htm
Dimana parameter tampering meliputi manipulasi dari URL sehingga dapat melihat informasi yg tidak seharusnya di publish.
Banyak web aplikasi yg menggunakan back-end database server dan pada URL nya dapat dilakukan SQL statement command.
Hacker dapat mengambil data dengan menggunakan SQL command pada URL utk mendapatkan informasi user, password, credit card dll.
Contoh site yg di hack dengan cara ini adalah buy.com

Cookie Poisoning
Cookie poisoning adalah merubah data yg ada di dalam cookie. Kebanyakan web site menyimpan cookie di computer dari user yg mengunjungi web site mereka. Cookie itu menyimpan data user seperti ID, password dll. Apabila modifikasi dapat dilakukan pada cookie ini maka data user dapat diakses.

Input Checking
Input checking ini meliputi hal dalam menjalankan command pada form HTML yg di proses dengan CGI script.
Contohnya utk form yg mengirim data ke e-mail tujuan dengan menggunakan CGI ini, dapat dimanipulasi sehingga data yg dikirim ke tujuan berbeda dari tujuan semula, sehingga dara user yg berupa password dll dapat diambil oleh hacker.

Buffer Overflow
Buffer Overflow adalah tehnik penyerangan hacker yg paling classic, dimana mereka mengirimkan packet data yg besar ke web site tertentu sehingga kinerja web server menjadi tinggi. Maka web server akan lambat kerjanya (hung). Hal ini terjadi pada microsoft beberapa waktu yg lalu. Utk contohnya anda dapat lihat di bagian security.
Pada form di HTML jika ada field yg isi datanya cukup besar, hal ini juga dapat memungkinkan buffer overflow.

Direct Access Browsing
Direct Access browsing seharusnya menggunakan authentication. Hal ini juga cukup berbahaya dimana data yg sensitive akan dapat di akses semuanya. Salah satu contoh yaitu dengan menggunakan telnet, dimana akses ke informasi web secara direct.

Solusi
Dari semua cara exploit di atas(hacker way), sampailah kita pada cara securitynya.
Bagaimana cara memproteksi web site anda ???

1. Yg paling pertama sekali adalah lakukan pengenalan dan penekanan ke developer anda tentang masalah security ini.
Jika mereka mengadakan coding web aplikasi harus benar# yakin tidak ada hole yg mereka tinggalkan.
Address field pada web aplikasi tidak boleh terdapat character @, $, *, < dan &. Dimana dengan adanya character tsb dapat memungkinkan run javascript oleh user yg suka iseng. Nama field juga harus dibatasi tidak sampai dengan 255 char karena hal ini menuju pada exploit buffer overflow.

2. Tetap memonitoring patch terbaru sehingga tidak ketinggalan jaman dalam menginstall Service Pack.
Jika vulnerabilities ditemukan dan di publish, dan anda tidak mengetahuinya maka tinggal tunggu waktu anda kapan akan di hack.

3. Belilah scanning tools utk scanning web anda sendiri. Sehingga dengan cara ini anda tahu hole apa yg ada di dalam web anda sendiri.

Sekiranya cukup untuk dasar internet security ini. Utk contoh exploit anda dapat melihat lebih banyak di bagian security dan tentunya yg lebih jelas lagi ada di bagian hacking.

[-Ruth-]


4 Responses to “WEB Exploit – Old Article from Jasakom.com”


  1. 1 Willy Ediyanto
    29-November-2007 pukul 6:41 am

    Duh, yang ginian,aku gak ngerti deh. Tapi bagus sebagai bahan bacaan.

    ini juga ambil artikel dari jasakom mas😀

  2. 2-Desember-2007 pukul 1:19 pm

    😀 ini juga dapet artikel dari jasakom.com pak, yang tampilan dulu..😀 terima kasih dah kasi comment pak🙂

  3. 3 momo
    17-Januari-2008 pukul 2:42 pm

    mas bisa ajarin ngehack password d mig33. makasi sebelumnya..

    balas ya d momogi_01@yahoo.co.id

    @ kata mbah google sich pake brutus AET2 mas😀

    brutusnya bisa didownload di http://www.hobie.net

    lebih detailnya bisa dilihat di http://www.hibarufamily.com

    NB: hacking ID mig33 juga dikomersilkan (saya g’ termasuk lho mas :D)

    jadi emang lumayan susah cari cara atau tutorial hacking (lebih tepatnya cracking)

  4. 4 nopal
    13-Maret-2009 pukul 9:48 pm

    mas ada gak sih software to exploid buat mengetahui struktur directori suatu webSite dan alur proses nya

    kata temen sih ada.

    tapi apa ya namanya?

    thx….

    admin Says :

    dulu pernah coba gitu2an pake nettools bro, coba juga happy browser, coba searching di mbah gugel, masa bro anak jarkom gak tau si bro:mrgreen:


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s


RSS Mr. Mamatto Moved

  • Sebuah galat telah terjadi; umpan tersebut kemungkinan sedang anjlok. Coba lagi nanti.

Blog Stats

  • 53,028 hits

Kalender

November 2007
S S R K J S M
« Jul   Des »
 1234
567891011
12131415161718
19202122232425
2627282930  

Community


Add to Technorati Favorites

%d blogger menyukai ini: