Hacker, Scanner,SQL Injection,Cookie manipulation


Metode serangan favorit hacker
SQL Injection :
Penyerang akan menjalankan perintah SQL melalui website tersebut, ini bisa di lakukan dengan dua cara, yakni melalui pengeditan Form , atau pun melalui pengeditan link url.



Cross site scripting ( CSS attack ) : Dengan serangan ini, Input yang di masukan pengguna lainnya dalam website tersebut akan di transfer ke website nya si penyerang.




Directory traversal Attack : Juga di kenal dengan ../ ( dot dot slash ) attack. Dengan serangan ini, directory yang tadinya tidak bisa di lihat ( forbiden ) akan bisa di akses. Dengan cara melakukan penambahan  ../ di link target.


Parameter manipulation : Melakukan manipulasi terhadap data yang di transfer antara browser dengan aplikasi website tersebut. hal ini bisa di lakukan dengan beberapa cara :

- Cookie manipulation : Cookie yang menyimpan data login dalam suatu sesi, dengan adanya cookie, seorang user tidak perlu lagi melakukan login ke website tersebut, selama dia belum melakukan logout. karena cookie ini di simpan di dalam komputer klient, penyerang dengan mudah memanipulasi data cookie tersebut.

- HTTP Header Manipulation : HTTP headers yang mengontrol informasi dari jaringan klien ke server situs, di karenakan HTTP header ini berasal dari komputer client ( pelanggan ) . Penyerang dengan mudah mengubah dan memanipulasi data tersebut.

- HTLM Form Field manipulation : Sebuah form login, form pendaftaran, Form transfer, yang biasanya ada di suatu situs bisa di modifikasi dengan mudah, dan melancarkan serangan dengan memakai form yang sudah di ubah tersebut.

- URL manipulation : Sebuah situs yang menampilkan parameter perintah di bagian link situs tersebut di browser, akan dengan mudah di baca oleh penyerang tersebut untuk melakukan perubahan.
- Directory enumeration : Menganalisa directori dan struktur dari website tersebut, dan mencari directory tersembunyi, maupun mencari direktori yang memiliki write akses.

Beberapa kejadian akibat bisa di tembus nya aplikasi website suatu perusahaan.


- Pada tahun 2000, 
seorang remaja berumur 17 tahun yang berasal dari norwegia, menembus sebuah bank lokal terkenal di negaranya. Pada saat dia sedang melakukan transaksi online di bank tersebut, dia menyadari bahwa aplikasi website ini menggunakan nomor accountnya sebagai bagian parameter di link url. Kemudian dia mencoba memasukkan secara acak nomor account lainnya di link url tersebut, dan hasilnya data account bank yang dia tulis tersebut muncul di layar komputernya lengkap dengan informasi detail lainnya.

- Pada tanggal 31 oktober 2001, 
Website Acme Art Inc, berhasil di tembus dan informasi kartu kredit customer yang pernah melakukan order lewat website ini di ambil, dan di tampilkan di Usenet Groups. Informasi hacking ini pun di beritakan kembali oleh media secara gencar, yang membuat perusahaan tersebut mengalami kerugian ratusan ribuan dollar di karenakan kehilangan kepercayaan customernya, dan banyak yang membatalkan order pembeliannya. 
Perusahaan ini juga kehilangan pinjaman keduanya, yang di batalkan secara sepihak oleh Venture Capital Firm.

- Pada bulan juni 2003, 
Perusahaan Fashion dengan merk Guess, dan pet supply retailer PetCo. Keamanan website mereka di tembus dan sebagai hasilnya, hampir setengah juta data informasi kartu kredit customernya di curi.


- Di Indonesia sendiri, tentu kita masih ingat dengan situs KPU ( komisi pemilihan umum ), yang di serang dengan metode SQL injection. Yang mengakibatkan nama-nama partai yang ada di situs tersebut berubah.

- Choice Point inc, akibat tindakan hacking yang dilakukan seseorang, mengalami kerugian kurang lebih 15 Juta dollar
Acunetix Website Aplikasi Scanner, Solusi untuk meminimalisir kejadian hacking atas situs perusahaan Anda

Apa itu Acunetix website aplikasi scanner ?

Acunetix Website aplikasi scanner adalah sebuah software yang berfungsi untuk melakukan scanning atas kelemahan yang bisa terjadi di situs Anda. Dengan memakai software ini, anda akan mengetahui apa saja kelemahan yang terdapat di situs anda beserta dengan saran apa yang harus Anda lakukan atas kelemahan yang di temukan tersebut.

Fasilitas apa yang terdapat di Acunetix website aplikasi scanner ?
Software ini secara otomatis akan memeriksa situs Anda terhadap kelemahan, metode nya antara lain :
  • Version Check : Vulnerable Web Servers, Vulnerable Web Server Technologies – such as “PHP 4.3.0 file disclosure and possible code execution, CGI Tester, Checks for Web Servers Problems – Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE), Verify Web Server Technologies.
  • Parameter Manipulation : Cross-Site Scripting (XSS) – over 25 different XSS variations are tested, SQL Injection, Code Execution, Directory Traversal, File Inclusion, Script Source Code Disclosure, CRLF Injection, Cross Frame Scripting (XFS), PHP Code Injection, XPath Injection, Full Path Disclosure, LDAP Injection,  and Cookie Manipulation.
  •  MultiRequest Parameter Manipulation : Blind SQL/XPath Injection.
  • File Checks : Checks for Backup Files or Directories - Looks for common files (such as logs, application traces, CVS web repositories), Cross Site Scripting in URI, Checks for Script Errors.
  • Directory Checks : Looks for Common Files (such as logs, traces, CVS), Discover Sensitive Files/Directories, Discovers Directories with Weak Permissions, Cross Site Scripting in Path and PHPSESSID Session Fixation, Web Applications.
  • Text Search : Directory Listings, Source Code Disclosure, Check for Common Files, Check for Email Addresses, Microsoft Office Possible Sensitive Information, Local Path Disclosure, Error Messages.
  • GHDB Google Hacking Database : Over 1200 GHDB Search Entries in the Database.
  • Other vulnerability tests may also be preformed using the manual tools provided, including: Input Validation, Authentication attacks, Buffer overflows.

Siapa saja pengguna dan pemakai Acunetix aplikasi scanner ini ?

- US Goverment
- US Military
- IBM
- France Telecom
- Unisys, F.A. Premier League
- Bank of China
- Dae Woo
- Vtech
- dan 5000 Pengguna Individual di seluruh dunia pada tahun 2006.

Read more

0 komentar :