__ ________ ____ ________ _____
____ _____ |__| ___________ ____ ____/ __ \/_ / __ \/ | |
/ _ \ / \| |/ ___\_ __ \/ _ \ / \____ / | \____ / | |_
( <_> ) Y Y \ \ \___| | \( <_> ) | \ / / | | / / ^ /
\____/|__|_| /__|\___ >__| \____/|___| //____/ |___| /____/\____ |
\/ \/ \/ |__|
|
[ html-protecting-attack ]
By omicron9194
[at] 2009-03-29
Hari ini omicron9194 menghadiri liqo Sh3lCr3w yg pertama. Materi yg dibahas pun sangat bagus.
Ini salah satu materinya
====================================================================
HTML Protecting Attack by _ server
Dasar – dasar Keamanan Web
Faktor-faktor timbulnya serangan
1. Scripting seperti Permasalahan di script html ataupun di query database dan para attacker biasa memanfaatkan pada sisi vulnerabilities web yang ada dalam aplikasi tersebut, kita bisa memanfaatkan software seperti Acunetix dan sejenisnya.
2. Lubang pada situs tetangga, hal ini juga sempat menggemparkan dunia persilatan internet di mana sang attacker mencoba masuk ke sistem orang laen melalui web yang sama dalam satu hosting.
3.Tempat Hosting yang bermasalah, seperti Cpanel yang tidak di update ataupun server yang kerap sekali tidak di kontrol
Macam-macam tindakan Hacking Web :
1. Memodifikasi Validasi Input
2. XSS ada dua direct action dan stored action
3. SQL Injection yaitu memanfaatkan sisi kelemahan query dalam sebuah aplikasi
4. PHP Injection memanfaatkan sisi kelamahan kode PHP biasanya para pengguna cms yang jarang mengupdate cmsnya.
Dasar – dasar Pengamanan secara Umum
1. Pemilihan Sistem Operasi (OS), Setting Server, dan Desain Aplikasi
2. Instalasi Patch
3. Kontrol Akses
4. Audit dan Log File
5. Menerapkan Kriptografi
Model Serangan Validasi Input
Memasukan kode HTML yang tidak di filter dalam validasi sehingga sang attacker mampu memberikan menanam gambar – gambar aneh dan juga bisa mendos attack lewat pengiriman file dalam kapasitas besar sehingga server aplikasi bisa down. Dan juga jika tidak adanya filtering kode html dalam setiap inputan akan timbul spammer
Solution
>>>> trim() digunakan untuk menghapus spasi di kanan dan kiri teks.
>>>> htmlentities() digunakan untuk mengkonversi karakter-karakter tertentu dalam tag HTML, emm..kok ribet ya, pokoknya hasil fungsi ini akan menerjemahkan tag-tag HTML sebagai teks biasa.
>>>> strip_tags digunakan untuk menghilangkan tag-tag HTML dan PHP dalam sebuah string.
Ketiga fungsi di atas bisa digunakan untuk memfilter input/masukan form pada website kita, misalnya pada form buku tamu, atau form-form yg lain.
====================================================================
Ok,mungkin segitu.Utk PoC,omicron9194 ga bisa menjelaskan di sini
your ip is 38.107.191.102
with CCBot/1.0 (+http://www.commoncrawl.org/bot.html)
omicron9194
send all submissions to omicron9194@yahoo.com
Copyright © 2010 omicron9194 | |
|