Category: Internet

Test Keamanan Web CMS dengan cms-explorer

Posted on by Ade Ismail Isnan

Bagi para pengguna web berbasis CMS (Content Management System) seperti Joomla, Drupal, WordPress harus semakin waspada. Karena tools untuk meretas website berbasis CMS sudah ada. Ya itu dia.. ‘cms-explorer‘. Cara kerjanya sebenarnya simple saja. Program ini akan melakukan pencocokan dengan URL yang ada di file tertentu. Jika halaman pada target exist, berarti ada fitur tertentu yang diinstall olehnya. Kemudian tinggal mencocokkan (query) ke OSVDB.org (Open Source Vulnerability Data Base) terkait fitur CMS tersebut di OSVDB.org. Nanti akan kita praktekkan contohnya..

Continue reading “Test Keamanan Web CMS dengan cms-explorer”

Cara Registrasi Baru SmartFren Untuk Modem MOBI Lama (Fren)

Posted on by Ade Ismail Isnan

Halo MOBIers kolot sepuh senior.. hahaha.. sengaja saya posting ini, karena ternyata sudah 4 orang teman saya (MOBIers tentu saja) yang bingung bagaimana cara registrasi baru modem MOBI kita tercinta. Padahal jujur saja, bagi saya MOBI sangat mengesankan (kalau lagi cepet2 nya). Ya seperti yang kita ketahui, Fren sudah bergabung dan ganti nama jadi SmartFren. Apa akibatnya? Sesuai dengan yang saya bayangkan, pasti berpengaruh ke sistemnya juga. Yah beginilah cara registrasi baru dari info-info yang saya temukan. Jujur saja, hasil yang saya temukan bukan dari google (sungguh sebuah manajemen informasi yang kurang baik untuk SmartFren menurut saya). Di websitenya juga kurang informatif. Tidak disebutkan bagaimana cara pelanggan lama untuk berlanganan kembali (mungkin ada, tapi “spanduknya” kok gak ada di homepage =P). Langsung saja ke caranya tidak pake basa-basi lagi…

Continue reading “Cara Registrasi Baru SmartFren Untuk Modem MOBI Lama (Fren)”

Basic ARP Spoofing, Dasar dari Segala Lelucon LAN

Posted on by Ade Ismail Isnan

Iseng-iseng nonton video di youtube tentang mencuri password, mencetuskan ide saya memposting ini. Bahwa sebenarnya cara pertama yang dilakukan sebelum sniff packet IP orang lain pada jaringan “switched” pasti menggunakan teknik ini. Mari kita bongkar cara mencuri packet IP tahap pertama ini. Karena inti dari segala kegiatan hacking LAN-nya ada di tahap ini. Packet IP orang lain itu akan dialihkan menuju komputer anda, bukan ke tujuan mestinya.

Continue reading “Basic ARP Spoofing, Dasar dari Segala Lelucon LAN”

Metasploit Framework: ‘msfvenom’

Posted on by Ade Ismail Isnan

Akhirnya bisa nulis blog lagi.. Beberapa hari yang lalu Metasploit Framework memperkenalkan ‘msfvenom’. Msfvenom adalah fitur baru metasploit yang menggabungkan dua fungsi lama pada Metasploit, yaitu ‘msfpayload’ untuk menggenerate payload dan ‘msfencode’ yang akan meng-encode bytes pada payload sehingga bisa lolos dari signature anti-virus.
Continue reading “Metasploit Framework: ‘msfvenom’”

miniSIEM, Sistem Informasi Keamanan Komputer Pribadi

Posted on by Ade Ismail Isnan

Biasanya kalau Slackware baru nongol dan diinstal di laptop, saya langsung banyak bahan oprekan hehe. Rilis-rilis Slackware sebelumnya juga, selalu saja ada yang harus di oprek agar Slackware berjalan sesuai keinginan di laptop ini. Cerita tentang instalasi dan konfigurasi Slackware dari masa ke masa ada di postingan lama saya di blog-blog usang tercecer di situs gak jelas, haha.

Continue reading “miniSIEM, Sistem Informasi Keamanan Komputer Pribadi”

Hallo Mailserver DPR!

Posted on by Ade Ismail Isnan

Kemarin saya dapat mention twit dari rekan kerja, katanya ada postingan di kompas tentang mail server DPR yang sudah aman. Judul postingnya seperti ini: Siapa Bilang Akun “@dpr.go.id” Tak Aman?. Oke cukup latar belakangnya. Setelah itu saya iseng-iseng aja coba say hello ke mailservernya. Ini lah hasilnya…

Continue reading “Hallo Mailserver DPR!”

Bahaya Cross Site Scripting

Posted on by Ade Ismail Isnan

Cross Site Scripting (XSS) sering dianggap ancaman yang tidak terlalu berbahaya karena tidak secara langsung berdampak pada server. Semua yang dilakukan akan berdampak di sisi klien saja. Memang benar, tetapi dengan XSS kita bisa mendapatkan keuntungan dari kelalaian seseorang.

Continue reading “Bahaya Cross Site Scripting”

Eksploitasi WebDAV

Posted on by Ade Ismail Isnan

WebDAV (Web Distributed Authoring and Versioning) adalah fitur webserver yang memungkinkan pengguna saling berkolaborasi memanage konten sebuah website. Terkadang demi alasan kenyamanan dan praktis (ga mau ribet) bagi pengguna fitur DAV, konfigurasi yang diberikan oleh sysadmin terlalu radikal sehingga permission yang di set terlalu berlebihan (misalnya selain bisa read juga write dan bahkan execute, dsb). Kali ini akan saya perlihatkan contoh eksploitasi webDAV akibat konfigurasi permission yang terlalu ‘bebas’ di direktori bernama ‘webdav’ pada webserver. Akibat terburuk adalah keseluruhan webserver bisa dikuasai.

Continue reading “Eksploitasi WebDAV”

Proof of Concept: Remote File Inclusion

Posted on by Ade Ismail Isnan

Remote file inclusion (RFI) adalah metode yang sering dimanfaatkan hacker untuk mengeksploitasi sistem. RFI sangat populer digunakan untuk penetrasi ke dalam website target selain metode injeksi SQL. Inti dari remote file inclusion adalah memanfaatkan file yang terdapat di target atau internet.

Sebagai contoh terdapat sebuah website sederhana. Halamannya cuma satu. Tetapi satu halaman itu dapat menginclude halaman lain. Jika ingin menampilkan halaman profil.php ada pada alamat http://[target]/?page=profil. Untuk menampilkan halaman berita http://[target]/?page=berita dsb. URL vulnerablenya yaitu http://[target]/?page=[RFI]. [RFI] bisa diganti dengan lokasi file apa saja pada server.. semuanya kreatifitas anda =P.

Continue reading “Proof of Concept: Remote File Inclusion”

SQL Injection Day

Posted on by Ade Ismail Isnan

Website yang baik adalah website yang sedikit ruang untuk pengunjung berkreatifitas (misal: sedikit input) dan yang sedikit ruang agar pengunjung mendapatkan petunjuk untuk berkreatifitas (misal: output pesan error). Hahahah keren juga kalimatnya prett. Kembali lagi ke cerita saya di postingan yang lalu bahwa pesan error adalah bagaikan lampu berpijar di kuburan eh di gang yang gelap. Dengan pesan error kita bisa mendapatkan petunjuk untuk terus bereksplorasi dan akhirnya sampailah mendapatkan yang kita inginkan. Kalau bisa dengan browser  jangan dulu pake tools macam2. Seperti kata pepatah: ngapain bunuh semut pake bazooka kalau pake tusuk gigi juga bisa.

Tundepuin saja hari ini kita ambil sebuah website untuk dijadikan korban serangan. Website ini adalah website berdomain [dot]de yang saya dapat dari googling (baca: dorking). Mulai lah dari melakukan browsing biasa2 saja di situs tersebut. Cuma pengen tau ini webshit apaan.. eh bahasa Jerman.. ga jadi dah.. langsung aja di coba suntik.. Yuk mari..

Continue reading “SQL Injection Day”