Ahmad Muammar W. K.

Ukuran: px

Mulai penontonan dengan halaman:

Download "Ahmad Muammar W. K."

Suhendra Santoso
7 tahun lalu
Tontonan:

1 Ahmad Muammar W. K.

2 Details Web Hacking Threat Simulation Impact Discussion

3 Web Hacking Hacking melalui HTTP [ hacking over http ] Hacking terhadap Web Application Melalui port 80 ; port HTTP Memanfaatkan kelemahan dari web application Web browser attack Bypassing Firewall? Menggunakan HTTP rules (method) Get, Put, Post, Options, find, Delete, Trace

4 Hyper Text Transfer Protocol (HTTP) terletak pada bagian atas dari gambar Security level yaitu APLIKASI

5 http request (clear text/ ssl) Apache IIS Tomcat Netscape Plugins Perl PHP JSP E.t.c User Http reply (HTML, Javascript, VBscript) Firewall Web Server Web application MsSQL Postgre Mysql Oracle Database Server

6 Ahmad Muammar W. K.

7 Client side attack (xss, cookies stealing) Information Disclosure OS commanding (SQL, SSI, Ldap, Xpath ) Web Hacking Brute Force Denial Of Service Path travesal Remote command execution (php) Sumber: Etc

8 Client Side Attack Cross Site Scripting Suatu Jenis Serangan dengan cara memasukkan code/script HTML (javascript) kedalam suatu web site dan dijalankan melalui browser di client Contoh <script>alert(document.cookie)</script> Mendapatkan Cookies yang berisi info berharga milik client yang digunakan oleh server untuk proses authentikasi

9 Information Disclosure Predictable resource location Jenis serangan dengan menebak letak resource yang disembunyikan dan umum di gunakan oleh web aplikasi Contoh : /admin/ /backup/ /logs/ /PhpMyadmin/ admin.php login.php

10 SQL injection Suatu Cara untuk Mengexploitasi Web Application yang menggunakan suatu database, dan memasukan command sql,sehingga membentuk suatu query yang akan dieksekusi dan dijalankan oleh sql server. Contoh: yang menerima input user dan pass attacking input user = test OR 1 = 1 && input pass =test Syntax SQL : select * from users where pass= test and user = test or 1 = 1 Passing the login box!!!

12 Path Traversal Suatu jenis vulnerabilities yang mengakibatkan user dapat melihat secara lengkap path suatu direktori atau file dari suatu situs/website Contoh : Fatal error: Call to undefined function: is_admin() in /var/www/html/user/target/appx/sources/admin.php on line 32 Diketahui bahwa halaman web target.com terletak di /var/www/html/user/target Kegunaan bagi attacker Mempersingkat waktu untuk mencari letak web direktori target Informasi tambahan jika telah memiliki akses ke server. = pwd pada situs target

13 Ahmad Muammar W. K.

14 PHP under attack* Remote file inclusion Remote Command execution *2 jenis serangan terhadap web aplikasi yang berbasis php

15 PHP under attack Remote File inclusion Suatu jenis serangan yang dilakukan dengan meng-include-kan halaman web lain kepada suatu situs/web aplikasi. Contoh Situs yang vulnerable URL code :

16 victim

17 PHP under attack Shot! Modifikasi inclusion page <?php phpinfo();?> Change url >

18 Real site

19 PHP under attack Remote Command Execution Suatu jenis serangan yang dilakukan dengan meng-include-kan tag-tag bahasa pemrograman secara remote dan mengakibatkan web yang vulnerable akan mengeksekusi request yang di kirimkan. Contoh Situs yang vulnerable URL code: &a=id;pwd

21 Ahmad Muammar W. K.

22 Most Impact Defacing Data Stolen Etc

24 Defacing Kegiatan merubah/merusak tampilan suatu website baik halaman utama (index) ataupun halaman lain yang masih terkait dalam satu url dengan website tersebut (folder lain ; file lain)

25 Motives Dendam atau perasaan gak puas* Kenikmatan tersendiri, 'defacer' merasa tertantang Intrik politik, Sosial Penyampaian pesan Keuntungan Materill Prestice dalam kelompok

29 As a User Gunakan Firewall, Antivirus, Anti Trojan, Good Backup Facility dsb Penggunaan Password / pass phrase yang baik Berhati hati terhadap semua tawaran menggiurkan (attachment/program) Penggunaan fasilitas secara hati hati (warnet; public internet café) Penggunaan Secure login/secure connection (https ; ssh) Update Informasi

30 As a Developer Secure programming Gunakan Input Validation yang baik Gunakan Enkripsi untuk authentikasi dan proses lain yang di anggap perlu Matikan error_log ( kecuali saat development ) Sesuai Kebutuhan dan kemampuan! Update informasi secara general dan informasi specifik engine yang digunakan

As an Administrator Policy (strict restriction) Setting Optimal (Sesuai kebutuhan) pada environtment ; configurasi server Batasi Fungsi yang bisa berinteraksi

31 As an Administrator Policy (strict restriction) Setting Optimal (Sesuai kebutuhan) pada environtment ; configurasi server Batasi Fungsi yang bisa berinteraksi dengan system environtment Php (passthru, system, exec) ; mssql (xp_cmdshell, xp_regdeletekey, xp_msver) Update Patch terbaru untuk application Selalu Update Informasi

32 Ahmad Muammar W. K.

dokumen-dokumen yang mirip

Created by y3dips < >

Created by y3dips < > Created by y3dips < y3dips@gmail.com > Schedule Perkenalan Echo Hacking Hacker v.s Cracker Web-hacking Web application threat Dampak? Bertahan? Q & A E C H O Penjelasan dan perkenalan singkat tentang E