Walaupun dari dulu saya (pernah) menggunakan Windows, tapi baru pertama kali ini saya melakukan hardening server berbasis Windows hahaha. Tetapi fundamental hardening mestinya sama saja, yaitu patch system, dan allow port komunikasi mana saja yang diijinkan… sisanya, DENY (default deny policy). Kenapa? Analoginya, lebih aman mana ruang brankas dengan banyak jendelanya VS ruang brankas tanpa jendela dengan hanya satu pintu untuk masuk? Hahaha.. Nah, pada kesempatan kali ini, saya ingin berbagi tulisan ringan ini sambil menunggu waktu tidur eh.. Berikut ini beberapa vector serangan pada Windows konfigurasi standar dan jarang di update (untuk pembelajaran yee), yuk mari..
Mencuri Gambar/Foto Terproteksi Watermark yang Menggunakan PHP Auto-watermark
Sekarang ini kayaknya lagi musim photoblog apalagi dengan hadirnya instagram. Everyone is photographer these days, hahaha. Nah, suatu hari saya sedang mencari foto-foto bertema “langit malam dan bintang” di internet. Saya mendapatkan satu foto bagus tetapi sudah dipasang watermark. Wah apes nih, tau aja ni foto bagus, jadi di-watermark-in sama yang mpunya. Dari browser, saya mencoba klik kanan, “Copy Image URL” dan paste di tab baru. Ternyata gambarnya bukan di watermark secara “fisik” yang sudah nempel di gambar gitu, tapi melainkan hanya rekayasa file PHP dan bisa dibypass dan ambil gambar aslinya. Karena alesan saya kasihan, mungkin saja foto-foto doi emang diproteksi watermark biar gak dicuri hasil jerih payah jepretnya itu, saya rahasiaken website doi dan menggantinya dengan simulasi ini. Kira-kira seperti ini jika saya simulasikan…
Continue reading “Mencuri Gambar/Foto Terproteksi Watermark yang Menggunakan PHP Auto-watermark”
Solusi Praktis Hardening Captcha
Setelah saya ngepost tentang cracking captcha, pada post ini akan dibahas bagaimana cara agar captcha milik kita sedikit lebih kuat dari ancaman bot/script yang memiliki kemampuan membaca karakter pada image dengan teknik OCR. Pada post sebelumnya sudah disinggung bagaimana membuat captcha yang susah dibaca dengan menambah noise pada image captcha. Yang akan kita lakukan adalah membuat captcha yang memiliki cukup noise sehingga sulit dibaca dengan teknik OCR tersebut.
Captcha Cracking
Anda pasti sudah tau captcha. Yaa minimal pernah ketemu makhluk ini waktu register email atau waktu ngisi guestbook blog teman. Captcha merupakan metode security untuk memfilter botnet/scripting sehingga melindungi website dari tujuan tidak baik. Katakanlah ada botnet spesialis “nyampah komen 1000x dalam satu kali eksekusi” di form guestbook anda. Tinggal tambahkan captcha, jadi deh si scirpt tidak segampang itu nyampah di guestbook anda.
Cara kerja captcha dengan challenge-response, yaitu memberikan challenge berupa tebak gambar yang selalu berubah (ini contoh captcha yang umum), beberapa ditemui juga captcha soal hitungan, dsb. Kita sebagai manusia kemudian memberi input (response)-nya. Captcha merupakan cara yang sangat ampuh mengeliminasi robot yang tentu bakal kesusahan menebak huruf (ataupun mengenal angka kemudian menghitungnya). Sehingga efektifitas captcha menurut saya seharusnya ada 2 saja dan tidak neko-neko.. yaitu hanya:
- Menyulitkan robot
- Tidak menyulitkan manusia.
Facebook Session Hijacking?
Ahh.. hari ini sungguh menentramkan jiwa dan raga sehingga saya bisa punya waktu menulis blog dan berencana melakukan perbuatan iseng kecil-kecilan haha. Ya, saya kepikiran untuk mencoba membajak sesi login facebook temen sebelah hahaha. Dulu di percobaan pertama saya melakukan percobaan session hijack di “posting berita” buatan saya sekitar 4 tahun lalu dan design aplikasi facebook jaman dulu, jadi modal PeDe mencoba iseng bajak sesi login facebook ini. Sebelum bahas mbajak login facebook ini, intro teknik membajaknya saya ilustrasikan di cerita membajak sesi login website “posting berita” sederhana yang simple dan udah jadul dulu yaa..
Mencari Arah Kiblat dengan Google Latitude dan Kompas Digital
Bagi maniak android muslim yang suka ngoprek, tentu tau kalau ada aplikasi sederhana bernama “Qibla Compass” (kalo gak salah) yang bisa menentukan arah kiblat untuk sholat. Kemarin saat saya sedang jalan-jalan di Papua dan udh disorientasi gak tau mana utara,selatan,timur,barat dan mau sholat bingung deh dimana arah kiblat.. Nah berhubung saya gak nginstall tu app Qibla Compass dan saat nyari posisi kiblat lagi dalam keadaan darurat dan gak ada orang yang bisa ditanya, saya kepikiran untuk menggunakan Google Latitude. Bagaimana caranya?
Continue reading “Mencari Arah Kiblat dengan Google Latitude dan Kompas Digital”
Membuat Peta dengan Google Map: Indonesia Airport Scenery Compilation Project
Bagi penggemar game Microsoft Flight Simulator, tentu sudah tau untuk wilayah “gak jelas” seperti asia tenggara termasuk Indonesia, bangunan terminal airportnya “gak banget” karena cuma “kotak” biasa sampai jetway (garbarata)nya standar polos ga ada teksturnya. Agar bangunan terminal itu terlihat seperti aslinya, dibutuhkan instalasi addon scenery yang dibuat oleh para developer game scenery untuk airport-airport di Indonesia. Scenery yang mereka design dibuat sangat mirip model sampai texturnya, sehingga semakin terasa lebih real ketika bermain. Beberapa bulan lalu saya melakukan kompilasi scenery-scenery tersebut sehingga mudah bagi para “scenery hunter” untuk mencari scenery airport tertentu yang mereka belum punya. Syukurlah, dengan adanya portal informasi addon airport Indonesia ini, mempermudah banyak flightsimmers tanpa harus bingung download airport XX Indonesia dimana, semua informasinya ada di web kompilasi tersebut. Tetapi ada yang beda dari web kompilasi ini, karena saya ingin semua disajikan berbasis map peta Indonesia menggunakan Google Map, bukan hanya list download addon biasa. Pada kesempatan kali ini saya ingin mendokumentasikan proses pembuatan halaman web berbasis Google Map tsb.
Continue reading “Membuat Peta dengan Google Map: Indonesia Airport Scenery Compilation Project”
Mendapatkan Password WiFi
Bagaimana cara mendapatkan password WiFi agar bisa internetan? Selain dengan cara jahat crack password WiFi (WEP/WPA/WPA2), tentu ada cara yang baik dan sopan.. haha.. yaitu mengambil informasi password yang telah tersimpan di host yang sebelumnya sudah pernah terasosiasi/terkoneksi dengan akses point wifi-nya. Karena seluruh informasi untuk berasosiasi dengan wifi sebenarnya disimpan untuk kebutuhan yang akan datang. Ini lebih karena alasan kenyamanan, seluruh credentials untuk bisa wifi-an sudah disimpan di komputer sehingga user tidak perlu menginputkannya lagi jika sebelumnya sudah terkoneksi.
Fix Aircrack-ng Interface Channel Problem Untuk WPA/WPA2 WiFi Cracking di Linux
Dulu saya pernah membuat salah satu laptop milik saya yang terinstall Linux Slackware ini menjadi “armored Linux” baik secara offense dan defense. Laptop yang sudah lama gak disentuh ini akhirnya saya coba install (lagi) well-known tools untuk cracking WEP, WPA-PSK, WPA2-PSK, apalagi kalau bukan Aircrack-ng. Tools ini saya install menggunakan SlackBuild script hingga akhirnya terinstall di laptop saya. Proses penginstallan sebenarnya berjalan normal dan baik-baik saja. Permasalahan baru terjadi ketika saya ingin melakukan injeksi ke AP (Access Point) target dengan salah satu tool dalam bundel Aircrack-ng yaitu “aireplay-ng”. Terdapat pesan seperti di bawah ini:
airodump-ng: Fixed channel to -1 = fixed channel mon0: -1
aireplay-ng: Wouldn’t false authenticate OR deauth = mon0 is on channel -1, but the AP uses channel 1
Continue reading “Fix Aircrack-ng Interface Channel Problem Untuk WPA/WPA2 WiFi Cracking di Linux”
Stock ROM vs Custom ROM (Android)
Apakah ada diantara anda yang bingung dan bertanya pada diri sendiri: “apa saya mending pake Stock (original) ROM Android atau lebih baik pake Custom ROM aja ya?”. Nah, berarti ini posting yang tepat untuk anda baca lebih lanjut hehe. Saya adalah salah satu orang yang pernah bertanya seperti itu dan sudah menjawab pertanyaan ini untuk saya sendiri. Pada intinya adalah pilihlah ROM yang sesuai kebutuhan sendiri. Jadi di posting ini bukan masalah penilaian yang mana lebih baik dari siapa dan sebaliknya. Hanya analisis kecil saya sehingga saya bisa menjawab pertanyaan di atas itu untuk saya. Yuk maree lanjut…