Web Hacking
Yang dumaksud Web Hacking yaitu
• Hacking melalui HTTP
• Hacking terhadap Web Application
• Melalui port 80 : port HTTP
• Memanfaatkan kelemahan web application
• Web browser attack
• Menggunakan HTTP rules
Get, Put, Post, Options, Find, Delete, Trace
Url Mapping
http://server/path/applications?parameter
ex : http://localhost/web/index.php?com_option=home
Ada beberapa cara yang bisa digunakan untuk hacking over HTTP :
• Php Injection
Suatu cara yang memanfaatkan kesalahan Scripting php yang mengizinkan aplikkasi untuk menginclude dan mengeksekusi suatu file/page baik secara lokal atau remote.
a. Remote File Inclution (RFI)
Memasukan sebuah file yang berasal dari web lain ke dalam halaman sebuah web.
Ex : http://localhost/RFI/index.php?com_option=home
Lalu kita ganti menjadi :
http://localhost/RFI/index.php?com_option=http://localhost/RFI/RFI/.txt?
b. Local File Inclution
Memasukan sebuah file yang berasal dari server itu sendiri ke dalam halaman sebuah web.
Ex : http://localhost/LFI/index.php?com_option=home
Lalu kita ganti menjadi :
http://localhost/LFI/index.php?com_option=../../../../../../../etc/passwd
• Sql Injection
Suatu cara untuk mengexploitasi Web Application yang menggunakan suatudatabase dan memasukan command sql, sehingga membentuk suatu query yang akan dieksekusi dan dijalankan oleh sql server.
Ex : http://localhost/SQL_injection/index.php?com_option=detail_artikel&id=1
Memasukan Sql Command
http://localhost/SQL_injection/index.php?com_option=detail_artikel&id=1+AND+1=2+union+1,2,3,4,5,6,7,8-
Dampak Web Hacking
• Defacin
Kegitan merubah/merusak tampilan suatu website baik halaman utama ataupun halaman lain yang masih terkait dalam stu url denagn website tersebut.
• Data Stolen
• Etc
Penanganan Web Hacking
• Gunakan input validation yang baik
• Setting at PHP.INI
Matikan eror_log pada PHP
Disable fungsi passthru, exec dan system pada php
Allow_url_fopen=Off
Safe_mode=Off
Sesuaikan dengan kebutuhan
• Selalu Update Patch terbaru untuk web server
• Selalu update info
Motivasi Web hacking
Dendam atau perasaan gak puas
Kenikmatan tersendiri, ‘defacer’ merasa tertantang
Intrik politik, sosial
Penyampaian pesan
Keuntungan materil
Prestice dalam kelompok
Oleh : Franky Muchtar
• Hacking melalui HTTP
• Hacking terhadap Web Application
• Melalui port 80 : port HTTP
• Memanfaatkan kelemahan web application
• Web browser attack
• Menggunakan HTTP rules
Get, Put, Post, Options, Find, Delete, Trace
Url Mapping
http://server/path/applications?parameter
ex : http://localhost/web/index.php?com_option=home
Ada beberapa cara yang bisa digunakan untuk hacking over HTTP :
• Php Injection
Suatu cara yang memanfaatkan kesalahan Scripting php yang mengizinkan aplikkasi untuk menginclude dan mengeksekusi suatu file/page baik secara lokal atau remote.
a. Remote File Inclution (RFI)
Memasukan sebuah file yang berasal dari web lain ke dalam halaman sebuah web.
Ex : http://localhost/RFI/index.php?com_option=home
Lalu kita ganti menjadi :
http://localhost/RFI/index.php?com_option=http://localhost/RFI/RFI/.txt?
b. Local File Inclution
Memasukan sebuah file yang berasal dari server itu sendiri ke dalam halaman sebuah web.
Ex : http://localhost/LFI/index.php?com_option=home
Lalu kita ganti menjadi :
http://localhost/LFI/index.php?com_option=../../../../../../../etc/passwd
• Sql Injection
Suatu cara untuk mengexploitasi Web Application yang menggunakan suatudatabase dan memasukan command sql, sehingga membentuk suatu query yang akan dieksekusi dan dijalankan oleh sql server.
Ex : http://localhost/SQL_injection/index.php?com_option=detail_artikel&id=1
Memasukan Sql Command
http://localhost/SQL_injection/index.php?com_option=detail_artikel&id=1+AND+1=2+union+1,2,3,4,5,6,7,8-
Dampak Web Hacking
• Defacin
Kegitan merubah/merusak tampilan suatu website baik halaman utama ataupun halaman lain yang masih terkait dalam stu url denagn website tersebut.
• Data Stolen
• Etc
Penanganan Web Hacking
• Gunakan input validation yang baik
• Setting at PHP.INI
Matikan eror_log pada PHP
Disable fungsi passthru, exec dan system pada php
Allow_url_fopen=Off
Safe_mode=Off
Sesuaikan dengan kebutuhan
• Selalu Update Patch terbaru untuk web server
• Selalu update info
Motivasi Web hacking
Dendam atau perasaan gak puas
Kenikmatan tersendiri, ‘defacer’ merasa tertantang
Intrik politik, sosial
Penyampaian pesan
Keuntungan materil
Prestice dalam kelompok
Oleh : Franky Muchtar
Read User's Comments (0)
