DASAR WEB HACKING

-

Web hacking

adalah kegiatan yang melibatkan eksploitasi kerentanan atau kelemahan dalam aplikasi web untuk mendapatkan akses tidak sah atau mengendalikan elemen-elemen dari aplikasi tersebut. Para peretas menggunakan berbagai teknik dan alat untuk menemukan dan mengeksploitasi celah keamanan dalam aplikasi web, dengan tujuan yang bisa bervariasi dari pencurian data hingga merusak sistem.

Tujuannya bisa beragam, mulai dari mencuri data, merusak sistem, atau sekadar membuktikan keberadaan kerentanan tersebut. Web hacking mencakup berbagai teknik dan metode yang digunakan oleh penyerang untuk mencapai tujuan mereka.


Motivasi Hacking :

- Keuntungan Finansial: Mencuri informasi kartu kredit atau data finansial lainnya. 

- Espionase: Mengumpulkan informasi sensitif dari organisasi atau individu. 

- Aktivisme (Hacktivism): Menyampaikan pesan politik atau sosial.

- Keseruan atau Tantangan: Melakukan hacking sebagai bentuk tantangan atau pameran keterampilan.

- Kepentingan Pribadi: Membalas dendam atau merusak reputasi seseorang atau organisasi.


Jenis Web Hacking Berdasarkan Target :

- Website Hacking: Menargetkan situs web publik. 

- Application Hacking: Menargetkan aplikasi web. 

- Client-Side Hacking: Menargetkan perangkat klien (browser, komputer). 

- Server-Side Hacking: Menargetkan server web.


Beberapa Teknik yang Umum Digunakan dalam Web Hacking:

1. SQL Injection (SQLi):

Teknik di mana peretas menyisipkan kode SQL berbahaya ke dalam input aplikasi web untuk mengakses atau memodifikasi basis data secara tidak sah.

2. Cross-Site Scripting (XSS):

Teknik di mana peretas menyuntikkan skrip berbahaya ke dalam halaman web yang dilihat oleh pengguna lain, memungkinkan pencurian cookie, pengambilan alih sesi, dan serangan phishing.

3. Cross-Site Request Forgery (CSRF):

Serangan yang memaksa pengguna yang sudah terautentikasi di sebuah situs web untuk melakukan tindakan yang tidak mereka kehendaki.

4. Remote Code Execution (RCE):

Teknik di mana peretas dapat menjalankan kode berbahaya di server atau perangkat korban dari jarak jauh.

5. File Inclusion (LFI/RFI):

Local File Inclusion (LFI) dan Remote File Inclusion (RFI) adalah teknik yang mengeksploitasi kerentanan dalam aplikasi web untuk menyertakan file lokal atau jarak jauh yang berbahaya.


Teknik Dasar Web Hacking :

- Reconnaissance: Mengumpulkan informasi awal tentang target seperti alamat IP, subdomain, dan layanan yang berjalan. 

- Scanning: Memindai target untuk menemukan kerentanan yang dapat dieksploitasi.

- Exploitation: Memanfaatkan kerentanan yang ditemukan untuk mendapatkan akses atau mengendalikan sistem. 

- Post-Exploitation: Mengamankan posisi di sistem target, mencuri data, atau melancarkan serangan lebih lanjut.


Langkah-Langkah Mengatasi Web Hacking:

1. Validasi dan Sanitasi Input:

Selalu memvalidasi dan membersihkan input yang diterima dari pengguna untuk mencegah injeksi kode berbahaya.

2. Gunakan Parameterized Queries:

Menggunakan query berparameter untuk menghindari SQL injection.

3. Implementasi Content Security Policy (CSP):

Menggunakan CSP untuk mencegah serangan XSS dengan membatasi sumber daya yang dapat dimuat oleh halaman web.

4. Penggunaan Token CSRF:

Menggunakan token CSRF untuk mencegah serangan CSRF dengan memastikan setiap permintaan yang sensitif diverifikasi.

5. Perbarui dan Patch Secara Berkala:

Selalu memperbarui dan menambal perangkat lunak dan sistem untuk mengatasi kerentanan yang diketahui.

6. Audit Keamanan Reguler:

Melakukan audit keamanan secara rutin untuk mengidentifikasi dan memperbaiki kerentanan.


PRAKTEK SERANGAN XSS


1. Buat file xss.php dan letakkan di document root (missal c:\xampp\htdocs)

2. Isikan file dengan kode berikut

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Teknik Serangan XSS</title>
</head>
<body>
    <h1>Teknik Serangan XSS</h1>
    <form action="xss.php" method="post">
        Nama: <input type="text" name="nama"><br>
        Pesan: <textarea name="pesan"></textarea><br>
        <input type="submit" value="Submit">
    </form>
    <h2>Pesan:</h2>
    <div id="pesan">
        <?php
        if (isset($_POST['nama']) && isset($_POST['pesan'])) {
            $name = $_POST['nama'];
            $pesan = $_POST['pesan'];
            echo "<p><strong>$name</strong>: $pesan</p>";
        }
        ?>
    </div>
</body>
</html>

3. Buka browser dan akses file tersebut



4. Masukkan pada input nama script berikut:

<script>alert('Hacked!');</script>

5. Refresh  (http://localhost/xss.php)

muncl pop up seperti berikut : 


6. Script pada file tersebut agar terhindar dari serangan XSS :

 if (isset($_POST['nama']) && isset($_POST['pesan'])) {
            $name = htmlspecialchars($_POST['nama'], ENT_QUOTES, 'UTF-8');
            $pesan = htmlspecialchars($_POST['pesan'], ENT_QUOTES, 'UTF-8');
            echo "<p><strong>$name</strong>: $pesan</p>";
        }

7. Dampak dari serangan XSS adalah :

  1. Kerugian Reputasi: Serangan XSS yang berhasil dapat merusak reputasi situs web dan mengurangi kepercayaan pengguna terhadap keamanan situs tersebut.

  2. Kerugian Finansial: Akibat dari pengambilalihan akun pengguna, pencurian informasi sensitif, atau manipulasi transaksi dapat menyebabkan kerugian finansial bagi perusahaan.

  3. Tanggung Jawab Hukum: Jika data pengguna dicuri atau disalahgunakan akibat serangan XSS, pemilik situs web dapat menghadapi tuntutan hukum dan denda dari otoritas perlindungan data.

  4. Gangguan Operasional: Pemulihan dari serangan XSS dapat memerlukan waktu dan sumber daya yang signifikan, mengganggu operasi bisnis normal.

  5. Peningkatan Biaya Keamanan: Setelah serangan, pemilik situs web mungkin perlu menginvestasikan lebih banyak sumber daya dalam memperkuat keamanan aplikasi web mereka, termasuk audit keamanan, pembaruan perangkat lunak, dan pelatihan keamanan bagi pengembang.

Komentar

Posting Komentar

Postingan populer dari blog ini

Open Source Intelligence (OSINT)

-
Gambar
OSINT  ( Open Source Intelligence ) Adalah pada proses pengumpulan dan analisis informasi yang tersedia untuk umum dari berbagai sumber terbuka untuk tujuan intelijen. Ini termasuk penggunaan informasi yang dapat diakses oleh publik secara legal, seperti situs web, media sosial, laporan publik, basis data, dan publikasi lainnya. OSINT digunakan oleh berbagai pihak, termasuk perusahaan, pemerintah, penegak hukum, dan profesional keamanan siber untuk mengumpulkan informasi yang relevan dan berharga. Sumber-sumber OSINT mencakup media, internet, media sosial, pemerintah, akademik, dan komersial. Proses OSINT melibatkan definisi tujuan, pengumpulan data, pengolahan data, analisis, dan penyajian laporan. Manfaat OSINT meliputi deteksi ancaman dan keamanan, pemantauan media sosial, investigasi dan penegakan hukum, intelijen bisnis, pengumpulan informasi di medan perang, penilaian risiko, dan dukungan untuk keputusan pemerintah. Beberapa alat dan teknik umum yang digunakan dalam OSINT ter...
Baca selengkapnya

Mengenal MongoDB For VSCode

-
Gambar
  Memaksimalkan Pengembangan Database dengan Visual Studio Code MongoDB adalah salah satu database NoSQL yang paling populer di dunia, digunakan oleh ribuan pengembang untuk menyimpan dan mengelola data mereka. MongoDB menawarkan fleksibilitas, skalabilitas, dan kinerja tinggi, menjadikannya pilihan utama untuk banyak aplikasi modern. Dalam upaya untuk memudahkan pengembangan dan administrasi database MongoDB, tim MongoDB merilis ekstensi MongoDB for Visual Studio Code. Visual Studio Code (VSCode) adalah salah satu editor kode sumber terpopuler yang tersedia secara gratis. MongoDB for VSCode adalah ekstensi yang memungkinkan pengembang untuk terhubung ke database MongoDB, menjelajahi data, mengeksekusi query, dan mengelola koleksi data, semuanya tanpa perlu meninggalkan VSCode. Dalam artikel ini, kita akan menjelajahi bagaimana MongoDB for VSCode dapat memaksimalkan produktivitas Anda dalam pengembangan dan administrasi database MongoDB. Instalasi MongoDB for VSCode Langkah pertama...
Baca selengkapnya

GETTING STARTED WITH MATPLOTLIB & SEABORN

-
Gambar
    Getting Started with Matplotlib and Seaborn 1. Pertama tama silahakan load data train.csv sehingga seperti dibawah ini  2. Coba tampilkan basic info dari data tersebut seperti di bawah ini  Lets Have some questions to asnwer 1. Siapakah para penumpang titanic? (Umur, Jenis kelamin, Kelas dll) - Mari kita visualisasikan!, silahkan coba untuk membuat visualisasi seperti gambar di bawah ini  - Hint untuk membuat seaborn seperti gambar di atas dan di bawah ini
Baca selengkapnya