Web Deface dengan Script Injection

Bagi anda yang memiliki website harap berhati-hati dari serangan orang-orang yang tidak bertanggung jawab. Di bawah ini akan saya tunjukkan salah satu cara untuk mendeface website anda. Jadi periksalah sistem keamanan di website anda sekali lagi untuk memastikan sudah amankah website anda.

Teknik ini berupa memasukkan script buatan sendiri di dalam sebuah website. Segampangkah itu kita memasukkan script itu di website, iya gampang banget. Kenapa gampang banget, ok sabar dong, dijelasin satu satu ya.


1. Sebuah website hampir semua memiliki guest book (buku tamu), cari website2 yang punya feature ini, kebanyakan itu website pemerintahan, instansi, lembaga tertentu dll.

2. Test dulu, apakah dia secure atau ada hole. Caranya?
Coba anda masukkan tag - tag HTML, misal <table> di dalam salah satu field isian guest book itu.

3. Liat hasil testing,
Jika guest book ada sistem approval, bakalan sulit ngelihat.
Tapi kalau nggak ada sistem approval, kita bisa liat hasil testing kita ini.
Testing sukses jika :
tag <table> kita hilang, dan dia run menjadi tag HTML yang berjalan di pages buku tamu.
Tandanya apa, tampilan Interface web (HTML) menjadi rusak, karena script yang kita injeksi tadi.
Gagal :
Tag string <table>
ditampilkan di guest book, dan tampilan normal saja. Karena <table> ditampilkan menjadi <table>

4. Untuk testing yang sukses, kita bisa ngapain aja ?
a. Insert tag HTML lengkap, terserah diisi apa, yang bagus bisa yang jelek bisa
b. Insert tag Javascript, anda bisa main2 disini

5. Website mana saja yang bisa di script injection ?
Ya cari sendiri mas. Selamat mencoba.

Tidak adil dong ngasih teknik ngerusaknya, tidak ngasih teknik preventifnya.
Yang perlu dimaki di kasus ini adalah programmernya, kenapa dia membiarkan hole/lubang ini bisa terbuka untuk diserang. Programmer dibayar mahal bukan buat duduk2 doang.

Yang peru disiapkan :
1. List mana2 saja pages dimana pengguna internet bisa memasukkan data ke website kita, dan data itu disimpen ke database.

2. Buka file program , cari blok program yang menghandle data dari form (misal buku tamu) sebelum data dimasukkan di database.

3. Lakukan converter pada variable data dari form dengan mengganti tanda < menjadi &lt; dan > menjadi &gt; . Di PHP ada fungsi khusus untuk ini.

Posted on 16.26 by Gus Putra Ismaulana and filed under , | 0 Comments »

0 komentar:

Poskan Komentar