Exploit Web
Exploit Web
Sumber : # $
"
Koleksi Artikel dari Biasawae Community
Copyleft 2004 biasawae.com
Salah satu contoh hole (vulnerabilty) yg paling banyak adalah dari aplikasi Microsoft Intenet
Information server (IIS).
Dan bug paling terkenal dari IIS ini adalah UNICODE Directory Transversal Vulnerabiliti
(Security Buletin MS00-078) yg ditemukan pada pertengahan October lalu.
Dengan adanya bug UNICODE ini seluruh isi server anda dapat di lihat melalui browser dan
bahkan akan lebih mudah lagi jika menggunakan IIS-Uncode aplikasi yg dikhususkan utk
mendeteksi bug ini.
Jika permission (hak akses) ke server anda salah seting (misconfiguration), maka server
anda dapat dikuasai dengan mudah seperti add, edit, delete dsb. Patch utk bug ini dapat di
temukan di
www.microsoft.com/technet/security/bulletin/ms00-0078.asp
Dari informasi di atas anda tahu bahwa yg dimaksud dengan Known vulnerabilities dan
misconfiguration adalah bug yg ditemukan dan ditambah dengan salah konfigurasi maka
jadilah kesalahan yg sempurna dan senjata ampuh dari hacker.
Dari sisi security anda dapat segera patch sever anda.
Hiden Fields
Hiden field ini terdapat pada HTML form, dimana dari field-field ini dapat di ketahui harga
barang dan bahkan adanya password yg tersembunyi,
jika anda menggunkan view sourve pada IE. Hal ini memungkinkan hacker mendapatkan
password atau pembelian dengan harga gratis jika source tsb
dapat diubah.
Parameter Tampering
Utk contoh exploit yg ini dapat anda lihat di
http://www.jasakom.com/Security/article/sec01012701.htm
Dimana parameter tampering meliputi manipulasi dari URL sehingga dapat melihat informasi
yg tidak seharusnya di publish.
Banyak web aplikasi yg menggunakan back-end database server dan pada URL nya dapat
dilakukan SQL statement command.
Hacker dapat mengambil data dengan menggunakan SQL command pada URL utk
mendapatkan informasi user, password, credit card dll.
Contoh site yg di hack dengan cara ini adalah buy.com
Cookie Poisoning
Cookie poisoning adalah merubah data yg ada di dalam cookie. Kebanyakan web site
menyimpan cookie di computer dari user yg mengunjungi web site mereka. Cookie itu
menyimpan data user seperti ID, password dll. Apabila modifikasi dapat dilakukan pada
cookie ini maka data user dapat diakses.
Input Checking
Input checking ini meliputi hal dalam menjalankan command pada form HTML yg di proses
dengan CGI script.
Contohnya utk form yg mengirim data ke e-mail tujuan dengan menggunakan CGI ini, dapat
dimanipulasi sehingga data yg dikirim ke tujuan berbeda dari tujuan semula, sehingga dara
user yg berupa password dll dapat diambil oleh hacker.
Buffer Overflow
Buffer Overflow adalah tehnik penyerangan hacker yg paling classic, dimana mereka
mengirimkan packet data yg besar ke web site tertentu sehingga kinerja web server menjadi
Koleksi Artikel dari Biasawae Community
Copyleft 2004 biasawae.com
tinggi. Maka web server akan lambat kerjanya (hung). Hal ini terjadi pada microsoft beberapa
waktu yg lalu. Utk contohnya anda dapat lihat di bagian security.
Pada form di HTML jika ada field yg isi datanya cukup besar, hal ini juga dapat
memungkinkan buffer overflow.
Solusi
Dari semua cara exploit di atas(hacker way), sampailah kita pada cara securitynya.
Bagaimana cara memproteksi web site anda ???
1. Yg paling pertama sekali adalah lakukan pengenalan dan penekanan ke developer anda
tentang masalah security ini.
Jika mereka mengadakan coding web aplikasi harus benar# yakin tidak ada hole yg mereka
tinggalkan.
Address field pada web aplikasi tidak boleh terdapat character @, $, *, < dan &. Dimana
dengan adanya character tsb dapat memungkinkan run javascript oleh user yg suka iseng.
Nama field juga harus dibatasi tidak sampai dengan 255 char karena hal ini menuju pada
exploit buffer overflow.
2. Tetap memonitoring patch terbaru sehingga tidak ketinggalan jaman dalam menginstall
Service Pack.
Jika vulnerabilities ditemukan dan di publish, dan anda tidak mengetahuinya maka tinggal
tunggu waktu anda kapan akan di hack.
3. Belilah scanning tools utk scanning web anda sendiri. Sehingga dengan cara ini anda tahu
hole apa yg ada di dalam web anda sendiri.
Sekiranya cukup untuk dasar internet security ini. Utk contoh exploit anda dapat melihat lebih
banyak di bagian security dan tentunya yg lebih jelas lagi ada di bagian hacking.
[-Ruth-]