WEB HACKING
World Wide Web adalah salah satu bagian dari internet yang paling populer, sehingga sering terjadi serangan pada port 80 atau yang sering dikenal dengan sebutan web hacking yang berupa :
ü Deface Situs.
ü SQL Injection.
ü Memanfaatkan kelemahan dari Scripting ataupun HTML form.
DEFACE adalah suat aktivitas merubah halaman depan atau isi suatu situs web sehingga tampilan maupun isinya sesuai yang anda inginkan. Biasanya deface sering terjadi pada situs e-commerce web yang menggunakan microsoft IIS. Hal ini dikarenakan adanya bug pada IIS atau biasa disebut dengan unicode bug. Secara garis besar deface dapat dilakukan dengan 3 cara diantaranya adalah sebagai berikut :
v Secara Umum, memasukkan input illegal yang bertujuan agar user terlempar keluar dari direktori file-file web server & masuk kedalam root directory untuk menjalankan cmd.exe & mengamati struktur direktori pada NT server sasaran.
v Dengan TFTP (Trival File Transfer Protokol), TFTP adalah protokol berbasis UDP pada port 69.
v Dengan FTP dengan web yang telah diisi bahan deface.
NETCAT memungkinkan untuk membentuk port filter sendiri yang memungkinkan file transfer tanpa menggunakan FTP. Netcat dapat digunakan untuk menghindari port filter pada firewall, mengspoot IP addres, sampai dengan melakukan session hijacking.
Cara mengamankan server dari deface :
· Selalu mengupdate dengan service pack & hotfix terbaru.
· Melindungi dengan fireware & IDS
· Menghilangkan Opsi Tulis pada protokol HTTP (HTTP 1.0/HTTP 1.1)
SQL Injection attack merupakan salah satu teknik dalam melakukan web hacking untuk mengakses pada sistem database yang berbasis pada microsoft SQL server. Teknik ini memanfaatkan kelemahan dari bahas programer scripting pada SQL. Untuk mengatasi hal ini atur agar :
· Hanya karakter tertentu yang dapat diinput.
· Jika diketahui adanya ilegal character, langsung tolak permintaan.
Kelemahan Dasar HTML FORM
1. Formulir dalam format HTML (HTML Form) adalah tampilan yang digunakan untuk menampilkan jendela yang berguna untuk memasukkan username dan password.
2. Setiap HTML harus menggunakan salah satu metode pengisian formulir, misalnya perintah GET atau POST.
3. Dengan melalui kedua metode GET atau POST parameter akan disampaikan pada aplikasi di sisi server.
Tool untuk memeriksa Vulnerabilities
v Happy Browser adalah software yang digunakan sebagai tool untuk memeriksa, mencari, atau melacak komputer-komputer server yang security-nya sangat lemah. Diciptakan pada akhir tahun 19999 oleh Doc Holiday & Ganymed.
v Hacking Tools :
Instant Source,Wget,Black Widow,Window Bomb
Tidak ada komentar:
Posting Komentar