Contenu connexe Similaire à 8 keamanan-web-server (20) 8 keamanan-web-server2. World Wide Web merupakanbagiandariInternet yang paling populer, sehinggaseranganpaling banyakterjadilewatport 80 atauyang dikenalsebagaiWeb hacking, berupa:
1. Deface situs
2. SQL injection
3. Memanfaatkankelemahanscripting maupunHTML form.
Andi Dwi Riyanto, M.Kom 4. Secaragarisbesarnyadeface inidapatdilakukandengan3 carayaitu:
1. Secaraumum, MemasukkanInput Illegal
Tujuanadalahagar user terlemparkeluardaridirektorifile-file web server danmasukkeroot directory untukkemudianmenjalankancmd.exe danmengamatistrukturdirektoripadaNT server sasaran.
2. DenganTFTP (Trivial File Transfer Protocol) adalahprotokolberbasisUDP yang listen padaport 69 dansangatrawankeamanannyadankebanyakanweb server menjalankanservisTFTP ini.
3. DenganFTP denganWeb yang telahdiisibahandeface. SetiapNT server memilikifile ftp.exe untukmelakukanFTP upload ataupunFTP download (daridankesever itu).
Andi Dwi Riyanto, M.Kom 5. NETCAT
Netcatmemungkinkanandamembentukport filter sendiriyang memungkinkanfile transfer tanpamenggunakanFTP. Lebihjauhlagi, Netcatdapatdigunakanuntukmenghindariport filter padakebanyakanfirewall, men-spoof IP address, sampaimelakukansession hijacking.
Andi Dwi Riyanto, M.Kom 6. Selalumengupdatedenganservice pack danhotfixterbaru.
Melindungidenganolehfirewall danIDS (intrusion detection system).
MenghilangkanOpsiTulispadaProtokolHTTP (HTTP 1.0 atauHTTP 1.1)
Perintah-perintahyang didukungHTTP 1.0 danHTTP 1.1
CONNECT*, DELETE*, GET, HEAD, OPTIONS, POST, PUT,TRACE
Andi Dwi Riyanto, M.Kom 7. SQL Injection attack merupakansalahsatuteknikdalammelakukanweb hacking untukmenggapaiaksespadasistemdatabase berbasisMicrosoft SQL Server.
Teknikinimemanfaatkankelemahandalambahasapemogramanscripting padaSQL dalammengolahsuatusistemdatabase yang memungkinkanseseorangtanpaaccount dapatmasukdanlolosverifikasidariMS SQL server.
Contoh: Memasukkankarakter‘ OR ‘ ‘= padausername danpassword padasuatusitus.
Andi Dwi Riyanto, M.Kom 9. JavaScript sendirimerupakansuatuscripting language
yang dieksekusidisisiclient (komputerpengguna),
sehinggasuatutransaksiyang menggunakanJavaScript sebagaiscripting language-nyadapatdipastikansangatrawanterhadapmanipulasidarisisipemakai.
Contoh scripting language yang bekerja di sisi client:
• JavaScript
• Client side VB Script
Adapun scripting language di sisi server:
• ASP (Active Server Pages)
• JSP (Java Server Pages)
• PHP (Personal Home Page)
Andi Dwi Riyanto, M.Kom 10. Formulirdalamformat HTML (HTML Form) adalahtampilanyang digunakanuntukmenampilkanjendelauntukmemasukkanusername danpassword.
SetiapHTML form harusmenggunakansalahsatumetodepengisianformulir, yaituGET atauPOST.
MelaluikeduametodeHTTP ini(GET atauPOST) parameter disampaikankeaplikasidisisiserver.
Andi Dwi Riyanto, M.Kom 11. MasalahnyadenganmenggunakanGET, variabel
yang digunakanakanterlihatpadakotakURL, yang memungkinkanpengunjunglangsungmemasukkan
karakterpadaform process, selainjugaperintahGET dibatasiolehstring sepanjang2047 karakter. VariabeljugadapatdiambildenganRequest.QueryString.
POST biasadigunakanuntukmengirimdata dalamjumlahbesarkeaplikasidisisiserver, sehinggatidakmenggunakanURL query string yang terbatas. POST jugalebihamansebabvariabeltidakterlihatolehpengunjung, sehinggalebihsulitdimainkanlewatperubahannamavariabel. NamunvariabeltetapdapatdiambildenganRequestForm.
Andi Dwi Riyanto, M.Kom 13. •Happy BrowseradalahSoftware yang digunakansebagaitool untukmemeriksa, mencari, ataumelacakkomputer-komputerserver yang security- nyasangatlemah(vulnerabilities). Di ciptakanpadaakhirtahun1999 olehDoc Holiday danGanymed. -www.computec.ch/software/webserver-www16.brinkster.com/erytricky/Software/thc.zip
•Hacking Tools: Instant Source, Wget, WebSleuth, Black Widow, Window Bomb Havij
Andi Dwi Riyanto, M.Kom