Nge-Blog ala Kang Yunan

Icon

Kehidupan, IT, Teknologi Informasi, Gosip, Film, Artis, Budi Anduk, Sosial, Komunitas, Pemerintahan, Rumah Tangga, Masyarakat, Kuliner, Makanan, New Idea, Sport, Olahraga, Liputan, Ulasan, Renungan, Agama, Islam

Teknik Hacking dengan Script Injection untuk Web Deface

Hati-hati dan waspada bagi anda yang punya website untuk memeriksa sekali lagi tingkat keamanan website dari tangan – tangan yang tidak bertanggung jawab. Sebuah teknik, yang mungkin ini sudah kadaluarsa, tapi patut diperhatikan oleh semua.

Teknik ini berupa memasukkan script buatan sendiri di dalam sebuah website. Segampangkah itu kita memasukkan script itu di website, iya gampang banget. Kenapa gampang banget, ok sabar dong, dijelasin satu satu ya.

1. Sebuah website hampir semua memiliki guest book (buku tamu), cari website2 yang punya feature ini, kebanyakan itu website pemerintahan, instansi, lembaga tertentu dll.

2. Test dulu, apakah dia secure atau ada hole. Caranya?
Coba anda masukkan tag – tag HTML, misal <table> di dalam salah satu field isian guest book itu.

3. Liat hasil testing,
Jika guest book ada sistem approval, bakalan sulit ngelihat.
Tapi kalau nggak ada sistem approval, kita bisa liat hasil testing kita ini.
Testing sukses jika :
tag <table> kita hilang, dan dia run menjadi tag HTML yang berjalan di pages buku tamu.
Tandanya apa, tampilan Interface web (HTML) menjadi rusak, karena script yang kita injeksi tadi.
Gagal :
Tag string <table>
ditampilkan di guest book, dan tampilan normal saja. Karena <table> ditampilkan menjadi &lt;table&gt;

4. Untuk testing yang sukses, kita bisa ngapain aja ?
a. Insert tag HTML lengkap, terserah diisi apa, yang bagus bisa yang jelek bisa
b. Insert tag Javascript, anda bisa main2 disini

5. Website mana saja yang bisa di script injection ?
Ya cari sendiri mas. Selamat mencoba.

Tidak adil dong ngasih teknik ngerusaknya, tidak ngasih teknik preventifnya.
Yang perlu dimaki di kasus ini adalah programmernya, kenapa dia membiarkan hole/lubang ini bisa terbuka untuk diserang. Programmer dibayar mahal bukan buat duduk2 doang.

Yang peru disiapkan :
1. List mana2 saja pages dimana pengguna internet bisa memasukkan data ke website kita, dan data itu disimpen ke database.

2. Buka file program , cari blok program yang menghandle data dari form (misal buku tamu) sebelum data dimasukkan di database.

3. Lakukan converter pada variable data dari form dengan mengganti tanda < menjadi &lt; dan > menjadi &gt; . Di PHP ada fungsi khusus untuk ini.

4. Cukup dengan ini saja? Iya cukup dan simple khan.

Monggo sharing2 dan cerita2nya ya……

Filed under: Opinion, Security, Web Application

2 Responses

  1. joko says:

    Terima kasih untuk warningnya. Sebelumnya saya juga pernah dengar dan katanya yang banyak diserang dengan teknik ini adalah blog/web yang pakai wordpress.


    Terima kasih kunjungannya mas joko
    Sharingnya juga, semoga admin2 website sekarang semakin cerdas,
    Saya sering ngingetin admin2 website untuk memperbaiki security sistemnya
    Terakhir dari website sebuah BUMN besar.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: