DASAR WEB HACKING

-

 DASAR WEB HACKING

Pengertian

Web hacking adalah aktivitas mengeksploitasi kelemahan dalam aplikasi web untuk mendapatkan akses tidak sah, memodifikasi data, atau merusak fungsi dari aplikasi tersebut. Pelaku web hacking bisa disebut sebagai hacker dan tujuan mereka bisa bervariasi, mulai dari iseng hingga ke tujuan yang lebih serius seperti mencuri informasi sensitif atau melakukan sabotase.

Tujuan

Tujuan web hacking bisa beragam, antara lain:

  • Mengakses Data Rahasia: Hacker bisa berusaha mendapatkan data sensitif seperti informasi pribadi pengguna, data keuangan, atau rahasia perusahaan.
  • Mendapatkan Keuntungan Finansial: Dengan mencuri data kartu kredit atau mengakses rekening bank.
  • Merusak atau Memodifikasi Data: Mengubah atau merusak data di server untuk menimbulkan kerugian pada target.
  • Mendapatkan Ketertarikan Media: Beberapa hacker mungkin melakukan hacking untuk mendapatkan perhatian media dan menunjukkan keahlian mereka.
  • Pengujian Keamanan (Ethical Hacking): Melakukan hacking untuk mengidentifikasi dan memperbaiki kelemahan keamanan dalam sistem, biasanya dilakukan oleh pen-testers atau ethical hackers.

Motivasi

  • Financial Gain: Mencari keuntungan finansial melalui pencurian data atau pemerasan.
  • Political or Social Activism: Menggunakan hacking sebagai alat untuk menyuarakan pendapat politik atau sosial (hacktivism).
  • Personal Grudge: Menyerang target tertentu karena dendam pribadi.
  • Curiosity and Learning: Hacker sering kali termotivasi oleh rasa ingin tahu dan keinginan untuk belajar tentang sistem baru.
  • Revenge: Untuk membalas dendam terhadap individu atau organisasi.

Jenis dan Metode

Beberapa jenis dan metode umum dalam web hacking meliputi:

  • SQL Injection (SQLi): Mengeksploitasi kelemahan dalam query SQL untuk mengakses atau memanipulasi database.
  • Cross-Site Scripting (XSS): Menyisipkan skrip jahat ke dalam halaman web yang dilihat oleh pengguna lain.
  • Cross-Site Request Forgery (CSRF): Memaksa pengguna yang terautentikasi untuk melakukan tindakan yang tidak diinginkan.
  • Remote File Inclusion (RFI): Menyisipkan file eksternal ke dalam server untuk mendapatkan akses atau menjalankan kode berbahaya.
  • Local File Inclusion (LFI): Memasukkan file lokal dari server itu sendiri untuk mendapatkan informasi sensitif atau menjalankan skrip.
  • Directory Traversal: Mengeksploitasi kelemahan untuk mengakses direktori dan file di luar root web.
  • Brute Force Attack: Mencoba berbagai kombinasi username dan password hingga menemukan yang benar.
  • Session Hijacking: Mencuri sesi pengguna untuk mendapatkan akses yang tidak sah ke akun pengguna.

Teknik Dasar

Berikut adalah beberapa teknik dasar dalam web hacking:

  • Information Gathering (Reconnaissance): Mengumpulkan informasi tentang target menggunakan alat seperti WHOIS, DNS lookup, dan Google Dorking.
  • Scanning and Enumeration: Menggunakan alat seperti Nmap, Nikto, atau Burp Suite untuk memindai kelemahan dalam sistem target.
  • Exploitation: Mengeksploitasi kelemahan yang ditemukan untuk mendapatkan akses ke sistem atau data.
  • Post-Exploitation: Melakukan tindakan lebih lanjut setelah mendapatkan akses, seperti menginstal backdoor atau mencuri data.
  • Covering Tracks: Menghapus jejak agar aktivitas hacking tidak terdeteksi oleh pemilik sistem.
XSS
Cross-Site Scripting (XSS) adalah salah satu jenis serangan terhadap aplikasi web di mana penyerang menyisipkan skrip jahat ke dalam halaman web yang kemudian dieksekusi oleh browser pengguna lain. Skrip ini biasanya ditulis dalam bahasa JavaScript, namun bisa juga menggunakan HTML, VBScript, Flash, atau bentuk lain dari konten aktif.
Contoh dari XSS:
Pada contoh file disini terlihat scenario untuk mencoba XSS
Saat di input coding di atas akan mengasilkan seperti ini

Saat kita coba dengan memasukan <script>alert('Hacked!');</script> maka hasilnya akan seperti ini:
Tujuan kita, adalah membuat pop-up tersebut, agar tidak dapat di jalankan, maka kita perlu melakukan perubahan terhadap coding di atas, maka dapat di tambahkan seperti ini:
Maka hasilnya akan seperti ini:

Sudah tidak ada lagi pop-up yang muncul
Dengan menambahkan pada baris if sebuah script:
if (isset($_POST['nama']) && isset($_POST['pesan'])) {
            $name = htmlspecialchars($_POST['nama'], ENT_QUOTES, 'UTF-8');
            $pesan = htmlspecialchars($_POST['pesan'], ENT_QUOTES, 'UTF-8');
            echo "<p><strong>$name</strong>: $pesan</p>";
        }

Penjelasan:

  • Fungsi htmlspecialchars() mengubah karakter khusus seperti &, ", ', <, dan > menjadi entitas HTML yang aman, mencegah eksekusi kode berbahaya.
  • Parameter ENT_QUOTES memastikan bahwa baik tanda kutip tunggal (') maupun ganda (") dikonversi menjadi entitas HTML.
  • UTF-8 adalah pengkodean karakter yang direkomendasikan untuk menghindari masalah dengan berbagai set karakter.
Dampak dari serangan XSS
  • Pencurian Data Pengguna: Penyerang dapat mencuri informasi sensitif seperti cookie sesi, data login, atau informasi pribadi.
  • Pengambilalihan Akun: Penyerang dapat menggunakan cookie yang dicuri untuk mengambil alih akun pengguna.
  • Distribusi Malware: Penyerang dapat mengarahkan pengguna ke situs berbahaya yang menginstal malware.
  • Manipulasi Konten Web: Penyerang dapat mengubah konten halaman web untuk menipu pengguna, seperti menampilkan form login palsu (phishing).
  • Penurunan Kepercayaan Pengguna: Serangan XSS dapat mengurangi kepercayaan pengguna terhadap situs web yang terkena dampak.
  • Kerugian Finansial dan Reputasi: Serangan XSS dapat menyebabkan kerugian finansial dan merusak reputasi organisasi.
Pencegahan dari serangan XSS
  • Validasi dan Penyaringan Input: Memastikan semua input pengguna divalidasi dan disaring dengan benar sebelum diproses atau disimpan.
  • Enkode Output: Menggunakan enkode yang sesuai saat menampilkan data pengguna kembali ke halaman web untuk mencegah eksekusi skrip.
  • Content Security Policy (CSP): Menggunakan CSP untuk membatasi sumber daya mana yang dapat dimuat dan dijalankan oleh browser.
  • Sanitasi Data: Menggunakan library atau fungsi sanitasi untuk membersihkan input pengguna dari karakter atau skrip berbahaya.
Kesimpulan 
Serangan XSS memiliki dampak yang luas dan serius, mulai dari pencurian data pengguna hingga kerusakan reputasi perusahaan. Oleh karena itu, sangat penting bagi pengembang web untuk memahami dan mengimplementasikan langkah-langkah pencegahan yang efektif untuk melindungi aplikasi web mereka dari serangan XSS. Pencegahan yang tepat meliputi validasi dan penyaringan input, penggunaan mekanisme keamanan seperti Content Security Policy (CSP), dan edukasi pengguna tentang praktik keamanan yang baik.

Komentar

Posting Komentar

Postingan populer dari blog ini

OSINT

-
Gambar
Open Source Intelligence (OSINT) Open Source Intelligence (OSINT) adalah proses pengumpulan dan analisis informasi yang tersedia  untuk umum dari berbagai sumber terbuka untuk tujuan intelijen. OSINT menggunakan informasi  yang dapat diakses oleh publik dan secara sah, seperti situs web, media sosial, laporan publik, basis  data, dan publikasi lainnya. OSINT digunakan oleh berbagai pihak, termasuk perusahaan,  pemerintah, penegak hukum, dan profesional keamanan siber untuk mengumpulkan informasi yang  relevan dan berharga. Sumber-Sumber OSINT Sumber-sumber OSINT dapat dikategorikan menjadi beberapa jenis, antara lain: 1. Sumber Media:  - Situs berita, artikel, jurnal, dan laporan media. 2. Sumber Internet:  - Situs web perusahaan, blog, forum, dan komunitas online. 3. Media Sosial:  - Platform seperti Facebook, Twitter, LinkedIn, Instagram, dan lainnya. 4. Sumber Pemerintah:  - Laporan publik, data sensus, basis data paten, dan dokumen hukum....
Baca selengkapnya

LOCAL/REMOTE FILE INCLUSION

-
Gambar
LOCAL/REMOTE FILE INCLUSION Local File Inclusion (LFI) dan Remote File Inclusion (RFI) adalah dua jenis kerentanan keamanan web yang umum ditemui. Keduanya terjadi ketika aplikasi web secara tidak aman memasukkan file dari server lokal (LFI) atau dari server remote (RFI) ke dalam aplikasi tersebut. Ini dapat mengakibatkan pelanggaran keamanan serius, termasuk eksekusi kode berbahaya, pengungkapan informasi sensitif, dan lain-lain. Local File Inclusion (LFI) Definisi: LFI adalah kerentanan yang terjadi ketika sebuah aplikasi web memungkinkan pengguna untuk memasukkan file dari sistem file server lokal tanpa validasi yang tepat. Ini bisa dimanfaatkan untuk membaca file sistem yang sensitif atau bahkan menjalankan kode berbahaya. Cara Kerja: Inklusi File: Aplikasi web mengambil nama file dari input pengguna dan menggunakannya untuk menyertakan file dalam halaman web. Eksekusi: File tersebut kemudian dieksekusi atau ditampilkan sebagai bagian dari respon web. Dampak: Pengungkapan Inform...
Baca selengkapnya

OSINT UTS

-
Gambar
UTS OSINT Open-source intelligence (OSINT) adalah proses mengumpulkan dan menganalisis informasi yang tersedia secara publik untuk menilai ancaman, membuat keputusan, atau menjawab pertanyaan tertentu. Banyak organisasi menggunakan OSINT sebagai alat keamanan siber untuk mengukur risiko keamanan dan mengidentifikasi kerentanan dalam sistem IT mereka. OSINT juga digunakan oleh penjahat siber dan peretas untuk mengumpulkan informasi dari sumber-sumber gratis yang ada di internet12. Jadi, secara singkat, OSINT adalah pendekatan untuk mengumpulkan dan memanfaatkan informasi yang dapat diakses secara publik untuk keperluan analisis dan pengambilan keputusan. Kerjakan challenge pada file terlampir Challenge 1 - Lokasi dimana (alamat lengkap)? SMA Negeri 2 Cimahi Jl. KPAD Sriwijaya IX No.45A, RT.08/RW.16, Setiamanah, Kec. Cimahi Tengah, Kota Cimahi, Jawa Barat 40524 - Link Google Mapnya apa? https://maps.app.goo.gl/YvbMvqyq3FCZwaD76 Challenge 2 - Lokasi dimana (alamat lengkap)? Merupakan perh...
Baca selengkapnya