Informatics Forum

Archive for the ‘Security’ Category

SQL Injection bukan barang baru yang digunakan para hacker atau cracker untuk merusak sistem software dan sistem database, hampir semua pemrograman bisa dirusak dengan cara ini.
Dengan cara memasukkan script query yang dijalankan lewat media input program. Media input program ini adalah sebagai berikut :
A. Aplikasi Web

– Address bar di browser application. Ini memainkan parameter querystring yang akan ditangkap program. Script SQL diinjeksi dengan mengetikannya di address bar itu.

– Search Textbox, hampir di semua portal web menyediakan fasilitas searching sesuatu.

– Form Login,

B. Aplikasi Dekstop

– Login

– Searching

Beberapa contoh video guidance tentang SQL Injection.
1. http://www.youtube.com/watch?v=MJNJjh4jORY
2. http://www.youtube.com/watch?v=_Bh1_-wg-ok
3. http://www.youtube.com/watch?v=VKBJnLLSTeQ&feature=related
4. http://www.youtube.com/watch?v=36iDzFJcuho&feature=related

Advertisements

Hati-hati dan waspada bagi anda yang punya website untuk memeriksa sekali lagi tingkat keamanan website dari tangan – tangan yang tidak bertanggung jawab. Sebuah teknik, yang mungkin ini sudah kadaluarsa, tapi patut diperhatikan oleh semua.

Teknik ini berupa memasukkan script buatan sendiri di dalam sebuah website. Segampangkah itu kita memasukkan script itu di website, iya gampang banget. Kenapa gampang banget, ok sabar dong, dijelasin satu satu ya.

1. Sebuah website hampir semua memiliki guest book (buku tamu), cari website2 yang punya feature ini, kebanyakan itu website pemerintahan, instansi, lembaga tertentu dll.

2. Test dulu, apakah dia secure atau ada hole. Caranya?
Coba anda masukkan tag – tag HTML, misal <table> di dalam salah satu field isian guest book itu.

3. Liat hasil testing,
Jika guest book ada sistem approval, bakalan sulit ngelihat.
Tapi kalau nggak ada sistem approval, kita bisa liat hasil testing kita ini.
Testing sukses jika :
tag <table> kita hilang, dan dia run menjadi tag HTML yang berjalan di pages buku tamu.
Tandanya apa, tampilan Interface web (HTML) menjadi rusak, karena script yang kita injeksi tadi.
Gagal :
Tag string <table>
ditampilkan di guest book, dan tampilan normal saja. Karena <table> ditampilkan menjadi &lt;table&gt;

4. Untuk testing yang sukses, kita bisa ngapain aja ?
a. Insert tag HTML lengkap, terserah diisi apa, yang bagus bisa yang jelek bisa
b. Insert tag Javascript, anda bisa main2 disini

5. Website mana saja yang bisa di script injection ?
Ya cari sendiri mas. Selamat mencoba.

Tidak adil dong ngasih teknik ngerusaknya, tidak ngasih teknik preventifnya.
Yang perlu dimaki di kasus ini adalah programmernya, kenapa dia membiarkan hole/lubang ini bisa terbuka untuk diserang. Programmer dibayar mahal bukan buat duduk2 doang.

Yang peru disiapkan :
1. List mana2 saja pages dimana pengguna internet bisa memasukkan data ke website kita, dan data itu disimpen ke database.

2. Buka file program , cari blok program yang menghandle data dari form (misal buku tamu) sebelum data dimasukkan di database.

3. Lakukan converter pada variable data dari form dengan mengganti tanda < menjadi &lt; dan > menjadi &gt; . Di PHP ada fungsi khusus untuk ini.

4. Cukup dengan ini saja? Iya cukup dan simple khan.

Monggo sharing2 dan cerita2nya ya……

Published on http://batampos.co.id/content/view/31768/98/
Beberapa minggu lalu, ketika masalah pemukulan warga negara Indonesia oleh polisi Malaysia, dunia internet Indonesia ramai oleh kelakuan para hacker merusak tampilan situs-situs yang berdomain Malaysia.

Juga beberapa bulan lalu ketika krisis Ambalat berlangsung, kedua kubu saling serang web deface.
Deface adalah teknik mengganti atau menyisipkan file pada server, teknik ini dapat dilakukan karena terdapat lubang pada sistem security yang ada di dalam sebuah aplikasi.

Defacer website dapat merubah tampilan sebagian atau seluruhnya tergantung kemauan defacer dan lubang yang bisa dimasuki, namun jika dia sudah putus asa, defacer akan melakukan denial of servis (DoS) attack yaitu mengirimkan request palsu pada server yang berlebihan sehingga kerja server lambat dan lama-kelamaan server akan crash dan down. Untuk dapat melakukan web deface, defacer melakukan beberapa tahap sebagai berikut :

a. Mencari kelemahan pada sistem security, menemukan celah yang dapat dimasuki untuk melakukan eksplorasi di server target. Dia akan melakukan scanning tentang sistem operasi, service pack, service yang enable, port yang terbuka, dan lain sebagainya. Kemudian dianalisa celah mana yang bisa dimasuki.
b. Melakukan penyusupan ke server korban. Teknik ini dia akan menggunakan beberapa tools, file yang akan disisipkan, file exploit yang dibuat sengaja untuk di-copy-kan. Setelah berhasil masuk , tangan-tangan defacer bisa mengobok-obok isi server.
Tapi tidak adil kiranya jika hanya sharing tentang teknik deface web. Maka untuk pengelola situs harus waspada, karena deface bisa jadi bencana yang sangat merepotkan. Pekerjaan menata ulang dan memperbaiki bagian yang rusak, bukan pekerjaan yang mudah. Karena itu sebelum situs anda digerayangi seyogyanya melakukan langkah-langkah preventif sebagai berikut :
1. Rutin melakukan update, upgrade dan patch pada sistem operasi dan aplikasi-aplikasi yang dipakai.
2. Memeriksa ulang dan memperbaiki konfigurasi pada sistem operasi, web server dan aplikasi lainnya.
3. Menganalisa kembali service-service yang aktif, matikan jika tidak perlu.
4. Mengatur jadwal untuk melakukan backup data penting, file konfigurasi sistem, database, sehingga jika sewaktu-waktu terjadi deface, anda tinggal menggunakan data backup.
5. Melindungi server dengan firewall dan IDS. Kedua tools ini ampuh untuk mengatasi serangan denial of service(DoS) attack.
6. Selalu memperhatikan hal-hal yang mencurigakan pada server, baca log system operasi, log web server ataupun log aplikasi.
7. Melakukan vulnerability scanning secara rutin, juga melakukan private security test.
Demikian beberapa trik, baik melakukan deface (meskipun tak secara detail/teknis) maupun menangkal deface. Semoga website anda aman dari serangan para hacker


Pages

Blog Stats

  • 135,542 hits

Category

Online

visitor stats
December 2017
M T W T F S S
« Jan    
 123
45678910
11121314151617
18192021222324
25262728293031