Lalu, bagaimana mencegah sang hacker mengekploitasi, bahkan merusak website anda, bagaimana mencegah secara pasti dan mengetahui script yang telah dibuat memiliki bug yang fatal, bagaimana menangani itu semua ??
Sebelum kita beralih maju ke langkah selanjutnya ada baiknya untuk mengenali bug popular yang paling sering diexploitasi.
saya akan mencoba untuk memberikan sedikit penjelasan, bug yang sering dijumpai dalam aplikasi berbasis web khususnya Content Management system maupun yang lainnya. Di antaranya : – XSS ( Cross Site Scripting )
- SQL Injection
- RFI ( Remote File Inclusion ) Cross Site Scriping
Lebih dikenal dengan sebutan XSS. Kesalahan ini terjadi karena tidak adanya filtering pada html maupun java script.
Tetapi pada dasarnya defacing ( perubahan kontent ) hanya terjadi disisi client saja. Yang paling fatal dari bug ini adalah anda dapat mencuri cookie kemudian menggunakannya untuk berbuat sesuatu yang …
Contohnya :
SQL Injection
SQL Injection sebenarnya terjadi karena seorang attacker yang mencoba melakukan inject query sql melalui form ataupun via address bar pada browser internet. Sebagai contohnya ketika saya mencoba login sebagai admin pada situs pemerintah Sumatra Selatan ( http://www.sumsel.go.id ). Dengan menggunakan query ‘ or 1=1– saya pun berhasil login. Pada dasarnya ‘ atau single quote dan or 1=1– itu berfungsi untuk membingungkan si server sql, sehingga yang dilakukan oleh server sql adalah menjalankan query ” select * “. Yang terjadi adalah saya diloloskan untuk login sebagai admin.
Berikut adalah gambar ketika saya berhasil login sebagai admin pada situs http://www.sumsel.go.id
RFI ( Remote File Inclusion )
Sebelumnya silahkan membaca artikel fungsi require, require_once, include, dan include_one RFI sendiri terjadi karena kesalahan programmer ketika melakukan coding, yakni menggunakan variable dalam fungsi-fungsi tersebut. Apabila user memasukkan url evil script miliknya pada variable yang digunakan dalam fungsi require ataupun include, yang terjadi adalah evil script tersebut dapat dieksekusi secara remote, dengan kata lain, attacker dapat menjalan command di server milik anda untuk merubah konten situs atau bahkan merusaknya.
Untuk contohnya silahkan anda cari di www.milw0rm.com
Keywordnya Remote File Inclusion.
Pengecekan BUGPengecekan bug sendiri bisa dilakukan secara manual. Hmmm … tentunya ini akan memakan banyak waktu. Terbentuklah tools yang dapat secara cepat dan otomatis menemukan bug-bug yang terselip di php script secara tidak sengaja maupun sengaja. ^_^
Pada dasarnya untuk mengecek bug dapat dilakukan secara online maupun offline. saya sarankan pengecekan bug ini dilakukan di localhost anda ( offline ) saja.Cek Bug XSS
Tools untuk mengecek XSS pada script php milik anda adalah sebuah addons mozilla firefox yang disediakan secara gratis. Penginstallannya pun tergolong mudah.
Download toolsnya disini :
http://www.securitycompass.com/exploit_me/xssme/xssme-0.2.1.xpi Cek Bug SQL Injection
www.duniaaskep.com