06.19
KoNoHa Newbie
Jika Anda ingin mengamankan Anda, yang pertama Anda harus tahu tentang jenis umum serangan terhadap web dan Anda harus terlebih dahulu menyerang web Anda untuk memeriksa bahwa jika rentan atau tidak, untuk itu, kita akan berbicara tentang teknik serangan yang paling umum digunakan.
-= Cross Site Scripting =-
Cross Site Scripting atau sering disebut dengan XSS adalah salah satu metode untuk mengeksploitasi suatu sistem . Kebanyakan kesalahannya ada pada penulisan scripting pada halaman web tersebut yang mengijinkan beberapa karakter tertentu dijalankan pada situs tersebut.
Cross Site scripting memungkinkan seorang penyerang untuk melakukan berbagai kegiatan yang meliputi:- Memasukkan worm kedalam web site
- Penyerang dapat memasukkan kode / script mereka untuk melakukan tabnapping
- Penyerang dapat melakukan deface terhadap web site korban
- Dapat melakukan pembajakan
- Dll
-= Injection flaws =-
Injection flaws termasuk SQL, Hibernate Query Language (HQL), LDAP, XPath, XQuery, XSLT, HTML, XML, injeksi OS perintah dan banyak lagi, tapi jenis yang paling umum dari injeksi adalah SQL injection dan HTML. Kekurangan injeksi memungkinkan seorang penyerang untuk mengeksekusi perintah pada server. Injection Flaw terjadi karena inputnya gak kefilter dengan baik.
Ini adalah bagaimana serangan kerjanya:
Ini adalah bagaimana serangan kerjanya:
- Kode jahat yang dikirim dalam permintaan HTTP
- Kode berbahaya yang di ambil oleh sebuah web dan diteruskan ke interpreter
- Kode berbahaya di jalankan atas nama aplikasi web
-= Cross Site Request Forgery (CSRF) =-
Cross Site Request Forgery adalah salah satu vulnerability pada Web Application yang bekerja dengan cara mengeksploitasi suatu task dari sebuah Web dengan memanfaatkan Autentikasi yang dimiliki oleh korban. CSRF juga dikenal dengan sebutan "one link" attack , karena pada implementasinya, sang attacker hanya butuh meng-inject-kan suatu link yang berisi suatu
web task URL pada halaman tertentu untuk dibuka oleh calon korban , agar ketika si korban membuka halaman tersebut , secara otomatis si korban akan mengeksekusi link URL yang telah di-inject-kan sang attacker sebelumnya. Web Application yang vulnerable terhadap CSRF adalah Web Application yang memiliki suatu URL Request (baik dengan menggunakan method GET maupun POST) yang statis.
contoh : http://hackme.com/auth.php?logout=1
(URL diatas adalah salah satu contoh Web tasks yang memiliki URL untuk logout yang statis)
Contoh :
-BBCODE-
[img]http://hackme.com/auth.php?logout=1[/img]
-HTML-
Menggunakan image tag:
Menggunakan Script tag:
web task URL pada halaman tertentu untuk dibuka oleh calon korban , agar ketika si korban membuka halaman tersebut , secara otomatis si korban akan mengeksekusi link URL yang telah di-inject-kan sang attacker sebelumnya. Web Application yang vulnerable terhadap CSRF adalah Web Application yang memiliki suatu URL Request (baik dengan menggunakan method GET maupun POST) yang statis.
contoh : http://hackme.com/auth.php?logout=1
(URL diatas adalah salah satu contoh Web tasks yang memiliki URL untuk logout yang statis)
Contoh :
-BBCODE-
[img]http://hackme.com/auth.php?logout=1[/img]
-HTML-
Menggunakan image tag:
Menggunakan Script tag:
0 komentar:
Posting Komentar