Beranda > Advisory, Hackingnology > Teknik Web Hacking beserta POC

Teknik Web Hacking beserta POC

Berikut dalam artikel ini akan saya bahas tentang Teknik-Teknik yang digunakan dalam Web Hacking. Semua gambar dan informasi di dalam artikel ini diambil dari kejadian nyata (Proof Of Concept Web Hacking). Sebenarnya, artikel ini adalah sebuah “advisory” untuk salah satu Universitas ternama di Jawa Timur.

Universitas tersebut memiliki sebuah halaman website, dan beberapa sub domain untuk setiap jurusannya. Tanpa kita sadari, bahwa website dari Universitas sebesar itu pun memiliki celah yang menunggu untuk kita eksploitasi. Celah ini saya temukan pada awal bulan Mei 2011, tepat pada saat gencar-gencarnya Penerimaan Mahasiswa Baru di seluruh PTN Indonesia.

Saya telah mengkonfirmasikan hal ini ke Web Administrator dari website tsb. Berikut bukti percakapan kami melalui E-Mail, yang saya simpan dalam format TXT (Plain Text).

Dan berikut percakapan kami yang lain melalui YMessenger, yang juga saya dokumentasikan.

Sesuai perjanjian saya dengan Beliau, bahwa Universitas tersebut memiliki peranan penting di Indonesia, dan juga nama baiknya sangat dijaga. Saya memutuskan untuk menyamarkan nama dan gambar yang ada di dalam “advisory” ini. Yang terpenting adalah ilmunya, benar apa kata Beliau. Sebut saja UNZA (nama samaran) dan memiliki domain yang beralamatkan http://www.unza.ac.id (domain samaran).

Berikut beberapa screen shoot bahwa saya telah berhasil memasuki server tsb,

( Hasil dari LFI )

( Hasil dari Database Manipulation )

( Hasil dari Local XSRF )

Beberapa hari yang lalu, saya telah mengkonfirmasikan hal ini ke Bp. Ari Kurni***n selaku penanggung jawab dari website tsb. Dan syukurlah Beliau menanggapinya dengan baik, dan Beliau berkata akan mengadakan pembenahan sesegera mungkin. Saya harap advisory ini akan menjadi pelajaran bagi semua Web Administrator agar lebih berhati-hati lagi. Mengingat tidak ada system yang aman 100%.

Berikut beberapa celah yang terdapat pada website tsb,

1. Directory Trasversal / Local File Disclosure (LFD)

LFD merupakan salah satu celah/hole yang dapat dimanfaatkan oleh Hacker untuk mengambil file apapun, dan yang terletak pada direktori manapun pada server tsb.

2. Remote Cross Site Request Forgery (XSRF)

XSRF merupakan salah satu celah/hole yang terdapat pada file web dalam suatu server. Hal ini terjadi sebab file web tersebut tidak difilter dengan baik (validasi session). Biasanya celah ini terletak pada file FORM yang akan diproses ke suatu file ACTION. Dalam hal ini, jika FORM tsb berfungsi untuk mengupload file ke dalam server, maka Hacker juga dapat mengupload file apapun ke server tsb. Kata “REMOTE” dalam teknik ini, berarti hal tsb dapat kita lakukan melalui luar server tsb.

3. Local File Inclusion (LFI)

LFI merupakan salah satu teknik hacking yang digunakan untuk meng-Include file apapun yang terletak di dalam server (local). Hal ini terjadi akibat kurangnya filtering pada file web peng-Include tsb.

4. Local Cross Site Request Forgery (XSRF)

Teknik ini sama dengan XSRF sebelumnya, namun kali ini bedanya terletak pada system yang dapat melakukan hal tsb. Kata “LOCAL” menunjukan kalau teknik ini hanya bisa dilakukan melalui “LOCALHOST”, dalam arti system server itu sendiri.

Sebenarnya masih banyak lagi yang mau saya bahas di sini, namun untuk mempermudah Anda dalam memahaminya, berikut saya telah mendokumentasikan Advisori ini ke dalam file PDF.

ย Download Proof of Concept Web Hacking

Mengingat advisory ini hanya ditujukan untuk edukasi semata, tidak untuk merusak (cracking). Jadi, selamat belajar, tetap asli dan jaya Indonesiaku. Lihat juga toko online jam tangan couple murah saya, siapa tahu anda berminat.

  1. 11 Juli 2011 pukul 3:24 PM

    mas, nanti di kelas 3 diajarain seluk beluknya web server juga? ky tu pemrograman php gitu?

    • 4 Agustus 2011 pukul 8:36 PM

      Sepengalaman ku sih enggak….
      Ya kita harus kreatif aja, cari-cari di internet…
      OKey…. selamat berjuang ni…

  2. 22 Agustus 2011 pukul 12:29 AM

    Kau jauh lebih rapi dari angan-angan yang kubayangkan. Banyak hal baru di sini yang belum pernah aku temukan di sumberku. Apa kau sendirian? Atau sudah buat komunitas? Bikin acara kolaborasi Nusantara, Sob. Kau bisa bikin perubahan besar.

    Iya, sih. Kasihan duit untuk mbikin situsnya kalau enggak aman. Tapi kalau aku ya takjarna wae๐Ÿ˜€ 1 gak ngerti 2 wedi ambek Sing Nggawe Urip. Biar Mitnik tetap Mitnik.

    Aku setuju kalau masalah kreativitas, Sob! Dirimu sangat kreatif. Akeh ya babah, aku jik pengen komentar nang kene๐Ÿ˜‰

    Mmm, awakmu gak kepengen nggawe situs sing isine “kekayaan alam indonesia”? Aku maeng nggolek iku gak ana blas situs sing mumpuni gawe rujukan utama wong sing kepengen eruh yaapa se Indonesia. Aku yakin awakmu sanggup lan luwih becus. Nggolek duwik mesisan. ya, wis. Aku kate turu, Sob. Matur suwun.

    • 23 Agustus 2011 pukul 8:35 PM

      Lhe arek iki, comment’e jan akeh tenan….
      Tapi matur tengkyu Gan udah mau mampir ke blog sederhana ane….

      Disini masih sendiri Gan, cari-cari temen buat komunitas dari dulu gak dapet2…. Udah coba buat forum tapi malah sekarang teledor…. Ini forum-nya, coba aja mampir FORUM TKJ.

      Lha, itu De, mengapa aku bilang “Baca dulu, baru beri komentar”. Kan tak ada salahnya, ada pepatah bilang “False To Be True”, benar kan. Cuma manfaatin ilmu aja buat hal yang positif.

      Em, situs kaya’ apa iku De, ttg “Alam Indonesia” tha? Kaya’ budaya dan lain2nya gitu? Bukan kamu malah ahline, buktinya website Tekno Plasma bisa ttp eksis gitu. Wah selamat yho…

      Oh ya satu lagi, ilmu saya msih jauh dari mu Gan, harus banyak belajar ni dari Ahlinya linux, tarik gan…

  3. 1 Oktober 2011 pukul 11:58 AM

    wah iky web e universitas q….. ijin kopas pak….hehehhe

  4. Fian
    27 Oktober 2011 pukul 6:48 PM

    pujaaa.. privat me please…๐Ÿ˜€

  5. nubii
    3 Desember 2011 pukul 7:43 AM

    gan, ane udah bisa get images, tapi pas mau masuk etc folder buat get passwd,profile malah masuk ke web page utama lagi toh. bijimane ini? –“.nuhun kang.

    • 3 Desember 2011 pukul 7:11 PM

      gini gan, ane anggep aja, itu maksud “get images” adalah “local file inclusion utk images”.
      Nah pertanyaanya, itu images berada pada direktory mana?? apa hanya di direktori web “vhosts” ? atau direktori di luar itu?

  6. nubii
    4 Desember 2011 pukul 2:15 PM

    minta email aja gan, biar mudah ane pm agan.
    email ane dotgztz@gmail.com
    nti biar mudah kasih screenshot ato nanya2 agan ini. nuhun pisan kang.๐Ÿ˜‰

  7. 12 April 2012 pukul 5:07 PM

    Salam kenal mas pudja, saya salut dengan ilmu dan sikap yang mas pudja miliki, terus kembangkan ilmu dan pertahankan sikap mas pudja. oh ya bisa nggak mas pudja coba explorasi cms lokomedia agar cms bikinan anak bangsa ini dapat berkembang dan tidak kalah dengan cms buatan luar negri. terima kasih

  8. 20 April 2012 pukul 4:17 AM

    kyk prnah liat bug eh di forum heheh tapi gud jop bos

  9. 8 Mei 2012 pukul 8:29 PM

    boleh tu ilmunya tapi bisa lebih jelas gak gimana prosesnya agan ngehacknya
    jadi saya lebih ngerti

  10. fatkhur tkj smkn1 pungging
    21 Mei 2012 pukul 9:45 AM

    mas pudja makasih banget atas blognya… banyak ilmu yg saya dapet dari blognya mas pudja ne… makasih banget…

  11. oon
    2 Juni 2012 pukul 5:14 PM

    mantap mas. dari log percakapan sampeyan.. baru lulus smk sudah bisa nemu celah.. arek ITS memang sangar mas.. suatu hal yg rasanya mustahil saya raih untuk bisa selevel sampeyan. ^_^

    salam wannabe hacker. anonymous from Univ Narotama sby. Ilmu Komputer.

  1. 29 Agustus 2014 pukul 12:01 AM
  2. 29 Agustus 2014 pukul 12:03 AM

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s