Penetrasi Website
Penetrasi Website
OLEH
SAMUEL TANGON
XII TKJ 6
Biodata
Nama : Samuel Tangon
http://localhost/index.php?p=1+union+select+0,1,2,conc
at(username,0x3a,password),4+from+admins--
RFI ( Remote File Inclusion )
RFI adalah salah 1 teknik hacking yang
memungkinkan penyerang dapat meng-include kan
file yang ada di luar server.
Bahaya RFI
Bug RFI Sangat berbahaya karena penyerang / attacker
dapat langsung meng-includekan file yang berupa
backdoor / pintu belakang dari website.
Contoh Penggunaan RFI
Contoh Website Misalnya :
http://www.7crew.co.cc/guestbook.php?page=welcome
allow_url_include = off
allow_url_fopen = off
magic_quotes_gpc = on
Validasi Syntax SQL
Misalnya Dalam File guestbook.php berisi,
<?php
$id = $_GET['id'];
$result = mysql_query( "SELECT name FROM members WHERE id = '$id'");
?>
Dapat Dilihat Variable “$id” tidak di filter, dengan mudahnya syntax SQL dapat di Injeksi.
<?php
$pagina=$_GET['pagina'];
include $pagina;
?>
Dapat ditambahkan “./” sebelum variable $_GET agar setiap file yang di include di luar
server, akan ditambahkan “./” pada setiap link. Ubah Menjadi,
<?php
$pagina=“./”$_GET[‘pagina’];
include $pagina;
?>
Validasi Syntax LFI
Misalnya dalam File index.php berisi,
<?php
$pagina=$_GET['pagina'];
include '/pages/'.$pagina;
?>
Sama Seperti pencegahan Bug RFI, ditambahkan variable “./” sebelum variable $_GET .
Ubah Menjadi,
<?php
$pagina=“./”$_GET[‘pagina’];
include ‘/pages/’.$pagina;
?>
Kesimpulan
Dari Materi tersebut dapat ditarik kesimpulan,
Sumber :
Inj3ct0r : http://1337db.com
Exploit-DB : http://www.exploit-db.com