Cross Site Scripting (XSS) sering dianggap ancaman yang tidak terlalu berbahaya karena tidak secara langsung berdampak pada server. Semua yang dilakukan akan berdampak di sisi klien saja. Memang benar, tetapi dengan XSS kita bisa mendapatkan keuntungan dari kelalaian seseorang.
Category: Pemrograman
SQL Injection Day
Website yang baik adalah website yang sedikit ruang untuk pengunjung berkreatifitas (misal: sedikit input) dan yang sedikit ruang agar pengunjung mendapatkan petunjuk untuk berkreatifitas (misal: output pesan error). Hahahah keren juga kalimatnya prett. Kembali lagi ke cerita saya di postingan yang lalu bahwa pesan error adalah bagaikan lampu berpijar di kuburan eh di gang yang gelap. Dengan pesan error kita bisa mendapatkan petunjuk untuk terus bereksplorasi dan akhirnya sampailah mendapatkan yang kita inginkan. Kalau bisa dengan browserย jangan dulu pake tools macam2. Seperti kata pepatah: ngapain bunuh semut pake bazooka kalau pake tusuk gigi juga bisa.
Tundepuin saja hari ini kita ambil sebuah website untuk dijadikan korban serangan. Website ini adalah website berdomain [dot]de yang saya dapat dari googling (baca: dorking). Mulai lah dari melakukan browsing biasa2 saja di situs tersebut. Cuma pengen tau ini webshit apaan.. eh bahasa Jerman.. ga jadi dah.. langsung aja di coba suntik.. Yuk mari..
PHP Reverse Shell, Sebuah Cerita Hacking…
Lagi-lagi berusaha menyempatkan waktu luang untuk mencurahkan ide dan pikiran kedalam sebuah tulisan. Kali ini saya ingin bercerita sebuah skenario perampokan sistem pada host. Walaupun server telah dilapis firewall dan sensor deteksi intrusi, tetap saja bisa bypass karena kita akan melakukan kejahatan via request HTTP biasa a.k.a legacy traffic menurut webserver ini (halah). Tidak ada tindakan yang butuh tools destruktif yang bisa membangkitkan firewall atau pendeteksi intrusi =P.ย Server ini hanya membuka beberapa port saja, dan aplikasi servicenya pun up to date. Jadi ketika dicoba cari celah pake vulnerability scanner tidak mendapatkan petunjuk, dan dicoba pake metasploit pun tidak membuahkan hasil… hmmmย tetapi hanya karena kesalahan kecil sebuah fitur pada suatu aplikasi web kita bisa menguasai sistem target! Supaya enak, dibuat beralur seperti cerita sajah ๐
Pertama-tama, disuatu masa terdapatlah sebuah aplikasi web yang cukup interaktif. Terdapat form upload disana. Semua user bisa meng-upload file yang mereka inginkan ke server web tersebut. Jadi jika seorang user meng-upload file bernama asdf.jpg dari komputernya ke website ini, maka file asdf.jpg akan di upload ke server web tersebut.
Continue reading “PHP Reverse Shell, Sebuah Cerita Hacking…”
Cara export import database oracle
terinspirasi dari teman sy yang biasanya menangani database, akan tetapi hari ini dia cuti. sehingga yang harus menangani database ya saya..hehe..oke langsung saja berhubung ada yang harus dikerjakan di server lokal, akan tetapi data nya ada di server production, maka saya melakukan proses export import tsb melalui cmd.
Continue reading “Cara export import database oracle”
Belajar XML HTTP Request Dari Dasar
Pada kesempatan kali ini, saya ingin sekedar sharing tentang penggunaan XML HTTP Request dari dasar. Tidak usah malu belajar dari dasar, karena sebenernya XML HTTP Request di web yang sudah kompleks pun asalnya dari dasar ini. Jadi diharapkan ketika mengerti dasarnya ini, semoga bisa dimengerti saja dulu. Pengembangan kode untuk sesuai kebutuhan anda itu terserah pada anda hahah…
Dengan XML HTTP Request kita dapat menghemat bandwidth, karena metode ini merequest konten pada URL tertentu dan ditampilkan di bagian tertentu pada halaman website tanpa harus me-load lagi seluruh halaman. Oh iya, walaupun untuk bisa mencoba XML HTTP Request hanya perlu minimal halaman HTML, tetapi dibutuhkan peran webserver juga untuk merespon request. Jadi XML HTTP Request harus berjalan di lingkungan webserver, ga bisa asal taro di lokasi tertentu, double klik dan liat hasilnya ๐ Langsung saja ke percobaan…
Hacking Windows Vista, Windows 7, atau Windows Server 2008
Pada suatu hari Joni ingin masuk rumah Pak Doni. Pak Doni punya satpam di depan rumahnya. Joni bingung, bagaimana bisa masuk ke rumah Pak Doni tanpa sepengetahuan satpam. Ah.. ternyata susah juga.. Tapi Joni punya ide untuk ngajak satpam ngobrol-ngobrol aja di depan gerbang. Sambil makan kacang, tak lupa 3 botol bir. Joni ikut-ikut aja minum, tapi cuma sedikit. Satpamnya aji mumpung di traktir, malah hampir 3 botol itu abis sama dia.. Yah, pada akhirnya tau lah.. si satpam mabok sampe tertidur. Joni bisa masuk deh ke rumah Pak Doni. Inilah yang disebut ‘eksploitasi’ si satpam.
Prinsip hacking yang kali ini akan saya share ini secara garis besar adalah memanfaatkan vulnerability pada service SMB2 Windows Vista/7/Server 2008 di port 445 yang selalu dibuka secara default/bawaan Windows. Vulnerability itu yang akan di eksploitasi oleh program yang namanya eksploit. Eksploit yang akan kita gunakan ditulis dalam bahasa ruby (ekstensi *.rb). Jika ingin melihat script eksploitnya bisa berkunjung ke sini. Setelah SMB2 target telah di eksploitasi, akan dibuat sebuah shell sehingga kita berada di ‘cmd prompt’ korban. Kalo sudah di area ‘cmd prompt’ korban, dengan sedikit pengetahuan tentang command dasar cmd, kita udah bisa iseng di komputer korban hehehe. Misal, membuat folder di desktopnya dengan judul ‘kenalan_duonkzz’ (hahaha). Sudah ngerti kira-kira apa yang akan kita lakukan? Oke.. Mari kita lanjut…
Continue reading “Hacking Windows Vista, Windows 7, atau Windows Server 2008”
instalasi modul Pmw pada python
tulisan ini sebenarnya berawal dari kebingungan saya mengenai import modul yang tidak berjalan pada script python yang saya kerjakan..heuheu,,usut punya usut ternyata memang modul nya belum ada dan harus diinstall,,hehe ๐
oke kita mulai saja, disini saya akan menjelaskan cara import modul Pmw tersebut..oh iya sebelumnya saya jelaskan dulu Pmw itu apa (bukan Program Mahasiswa Wirausaha) :)..Pmw adalah Python MegaWidgets yaitu suatu modul toolkit untuk keperluan pemrograman GUI pada python..selengkapnya dapat dilihat disini
Continue reading “instalasi modul Pmw pada python”
Membuat Browser Detection Pada Website dengan PHP
Membuat browser detection pada prinsipnya adalah mengambil informasi user agent browser (client) dari value $_SERVER[‘HTTP_USER_AGENT’] kemudian memberikan ‘perlakuan’ lanjut terhadap informasi user agent tersebut. Yap sudah deh.. Hah.. semudah itukah? Yak betul. Hanya dibutuhkan sedikit dasar scripting PHP untuk membuat browser detection pada website.
Continue reading “Membuat Browser Detection Pada Website dengan PHP”
Setup yiic pada WAMP (XP/Vista/7)
Postingan ini diawali dari keingin tahuan saya tentang framework yii..udah pada tau blm?? sama saya jg baru tau kemaren
setelah chatting sama salah satu ketua suhu programming,, hehe ๐ ..oke kita lanjut saja, bagi yang belum pernah denger yii framework sebenarnya wajar aja karena framework yang satu ini emang kalah populer dibanding CI, Zend ataupun framework php yang lainnya..untuk tau lebih mendalam silakan kunjungi http://www.yiiframework.com ๐ dan kenapa saya pake wamp? karena emang dulu nginstall nya wamp, sebenernya sama aja sih mau pake xampp jg..heehe, yang penting kita simpen file nya di webroots nya..jgn lupa,, XD
Continue reading “Setup yiic pada WAMP (XP/Vista/7)”
GAE – Cloud Computing From Google
Saat posting ini saya teringat saat-saat perkuliahan pemrograman internet dengan dosen Yudi Wibisono :)..tak menyangka pula skripsi saya akhirnya berhubungan dengan teknologi ini. dibawah ini sedikit saya ceritakan pengalaman menggunakan salah satu layanan Cloud Computing tersebut tak lain dan tak bukan Google App Engine..cekidot ๐
“Sekarang mah zamannya cloud computing, setelah dulu ada AWS (Amazon Web Server) kini hadir GAE (Google App Engine) dan katanya Microsoft jg ngeluarin layanan cloud computing ini (tp ga tau apa nama layanan nya,,hehe..piss)”
Continue reading “GAE – Cloud Computing From Google”