Dasar Web Hacking dengan Proof Of Concept

Dasar Web Hacking dalam artikel ini akan saya bahas secara step by step sampai tuntas. Semua gambar dan informasi di dalam artikel ini diambil dari kejadian nyata (Proof Of Concept). Artikel ini merupakan sebuah “advisory” untuk salah satu Universitas ternama di Jawa Timur.

Universitas tersebut memiliki sebuah halaman website, dan beberapa sub domain untuk setiap jurusannya. Tanpa disadari, bahwa website Universitas sebesar itu memiliki celah. Celah ini saya temukan pada awal bulan Mei 2011, tepat saat gencar-gencarnya Penerimaan Mahasiswa Baru di seluruh PTN Indonesia.

Sesuai perjanjian saya dengan Beliau, bahwa Universitas tersebut memiliki peranan penting di Indonesia, dan juga nama baiknya sangat dijaga. Saya memutuskan untuk menyamarkan nama dan gambar yang ada di dalam “advisory” ini. Sebut saja UNZA (nama samaran) dan memiliki domain yang beralamatkan www.unza.ac.id (domain samaran).

Bukti Hasil Hacking

Berikut beberapa screen shoot bahwa saya telah berhasil memasuki server tsb,

Web Hacking Hasil dari Database Manipulation( Hasil dari Manipulasi Database )

Dasar Web Hacking Hasil dari Local XSRF ( Hasil dari Local XSRF )

Saya telah mengkonfirmasikan hal ini ke Bp. Ari Kurni***n selaku penanggung jawab dari website tsb. Dan Beliau menanggapinya dengan baik, Beliau berkata akan mengadakan pembenahan sesegera mungkin. Saya harap advisory ini akan menjadi pelajaran bagi semua Web Administrator agar lebih berhati-hati lagi. Mengingat tidak ada sistem yang aman 100%.

Dasar Web Hacking (Teknik)

1. Directory Trasversal / Local File Disclosure (LFD)

LFD adalah celah yang bisa mendownload file dari server local, baik file tersebut berekstensi non-PHP, atau PHP, tergantung dari bugs yang ada. Tidak hanya file, bahkan folder pun juga bisa di-download, dan jika dibukan dengan editor berisi informasi direktorinya.

2. Remote Cross Site Request Forgery (XSRF)

XSRF merupakan celah yang terjadi karena kurang adanya validasi (biasanya menggunakan fitur PHP_SESSION) sebelumnya. Sehingga server tidak membedakan apakah request berasal dari server local, atau dari luar server. Salah satu contohnya adalah file action pada attribute form HTML, jika file action tersebut tidak memeriksa terlebih dahulu sumber request, maka Hacker bisa membuat from HTML tersebut dari luar, dan mengarahkan attribute action ke server yang dituju.

3. Local File Inclusion (LFI)

Hampir sama dengan LFD, hanya saja untuk LFI, file tidak didownload, melainkan di-include oleh server, sehingga jika file tersebut berekstensi PHP, maka source code program di dalamnya akan dieksekusi. Istilah ‘local’ menandakan bahwa hanya file local saja yang bisa di-include.

4. Local Cross Site Request Forgery (XSRF)

Dasar web hacking ini sama dengan XSRF sebelumnya, bedanya terletak pada sistem yang dapat melakukan hal tersebut. Kata “LOCAL” menunjukan kalau teknik ini hanya bisa dilakukan melalui “LOCALHOST”, dalam arti sistem server itu sendiri.

Agar lebih mudah dalam memahaminya dasar web hacking ini, berikut saya telah mendokumentasikan Advisory ini ke dalam file eBook PDF.Ebook Web Hacking Proof of Concept

 Download Proof of Concept

Mengingat advisory ini hanya ditujukan untuk pembelajaran, tidak untuk merusak (cracking). Jadi, selamat belajar, tetap original dan jaya Indonesiaku. Lihat juga toko online jam tangan couple murah saya, siapa tahu anda berminat.

LINK BACKUP : https://lebaksono.files.wordpress.com/2011/07/teknik-web-hacking.pdf

Bukti Percakapan via E-Mail

Bukti Percakapan via YMessenger