.:: Blackc0de Forum ::.
Would you like to react to this message? Create an account in a few clicks or log in to continue.

-=Explore The World From Our Binary=-
 
HomeIndeksLatest imagesPendaftaranLogin

 

 Protecting Website From Common Attacks

Go down 
2 posters
PengirimMessage
Jiban
Corporal
Corporal
Jiban


Jumlah posting : 159
Points : 390
Reputation : 7
Join date : 09.07.11

Protecting Website From Common Attacks Empty
PostSubyek: Protecting Website From Common Attacks   Protecting Website From Common Attacks Icon_minitimeSun Jul 15, 2012 9:38 pm

[1] Pendahuluan
Artikel ini akan berisi tentang empat jenis serangan web umum dan pencegahannya, yang digunakan

di sebagian besar jenis defacement. Lima eksploitasi umum yang saya cantumkan di bawah ini
adalah XSS, SQL injection, RFI dan LFI. Sebagian besar kesalahan terjadi pada pemrograman
yang memungkinkan attacker untuk dapat menyusup ke dalam website.

[2] Cross Site Scripting
Cross Site Scripting adalah jenis celah yang digunakan oleh attacker untuk menyuntikkan kode ke halaman

web yang rentan terhadap serangan ini. Jika sebuah situs rentan terhadap cross site scripting, attacker

kemungkinan besar akan mencoba untuk menyuntikkan situs dengan javascript berbahaya atau mencoba scam pengguna
dengan menciptakan bentuk halaman web yang hampir sama untuk mendapatkan informasi.

Example:
[You must be registered and logged in to see this link.]
*Solusi (javascript) :
function RemoveBad(strTemp) {
strTemp = strTemp.replace(/\|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"");
return strTemp;
}

[3] SQL Injection
*\_ Login Form Bypassing
Berikut adalah contoh kode yang dapat kita bisa bypass:
index.html file:

Password:
login.php file:
Kita dapat bypass dengan menggunakan ‘ or ’1=1′, dan menjalankan “password = ”or ’1=1”;”.
Atau attacker dapat juga dapat menghapus database dengan menjalankan “‘ drop table database; –”.
*Solusi :
Menggunakan mysql_real_escape_string

Contoh:
*\_ Union SQL Injection
Union SQL injection adalah ketika pengguna menggunakan perintah UNION. Memeriksa celah dengan menambahkannya
di akhir url “sebuah php?.id=”. Jika terdapat error MySQL, situs tersebut kemungkinan besar
besar rentan terhadap UNION SQL Injection. Attacker melanjutkan menggunakan ORDER BY untuk menemukan kolom,

dan pada akhirnya, mereka menggunakan perintah UNION ALL SELECT.

Contoh :
[You must be registered and logged in to see this link.]
salah satu contoh pesan error:
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in…..
Setelah muncul pesan error,maka attacker melanjutkan aksinya )
[You must be registered and logged in to see this link.] ORDER BY 1– <– No error.
[You must be registered and logged in to see this link.] ORDER BY 2– <– Muncul pesan error. Ini berarti hanya ada satu kolom
[You must be registered and logged in to see this link.] UNION SELECT ALL version()– <– Memilih semua kolom dan menjalankan
perintah version().

*Solusi :
Tambahkan sesuatu seperti di bawah ini untuk mencegah SQL injection Union:
$bug = "(delete)|(update)|(union)|(insert)|(drop)|(http)|(--)|(/*)|(select)";
$patch = eregi_replace($bug, "", $patch);

[4] File Inclusion
\_ Remote File Inclusion dan Local File Inclusion
Remote File Inclusion adalah sebuah celah dimana situs mengizinkan attacker meng-includ file dari luar server.

Local File Inclusion adalah sebuah celah dalam situs dimana attacker dapat mengakses semua file di dalam server

dengan hanya melalui URL.
Contoh kode yang vulnerable :
Beberapa contoh serangan :
[You must be registered and logged in to see this link.] etc/passwd < contoh LFI
[You must be registered and logged in to see this link.] < contoh RFI
*Solusi :

Validate the input.
$page = $_GET['page'];
$allowed = array('index.php', 'games.php' 'ip.php');
$iplogger = ('ip.php');
if (in_array $page, $pages)) {
include $page {
else
{
include $iplogger
die("IP logged.");
}
Kembali Ke Atas Go down
gemuruh_jiwa6
NuuBiiTooL
NuuBiiTooL
gemuruh_jiwa6


Jumlah posting : 18
Points : 22
Reputation : 2
Join date : 23.06.12

Protecting Website From Common Attacks Empty
PostSubyek: Re: Protecting Website From Common Attacks   Protecting Website From Common Attacks Icon_minitimeMon Jul 16, 2012 8:15 am

Nice Share kaka...... :jempol
Kembali Ke Atas Go down
 
Protecting Website From Common Attacks
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Website-website untuk belajar programming contest:
» free download ebook | XSS Attacks
» Stop DDOS attacks on a cisco router
» CRLF Injection attacks and HTTP Response Splitting
» Website Flash

Permissions in this forum:Anda tidak dapat menjawab topik
.:: Blackc0de Forum ::. :: Information Technology :: Security-
Navigasi: