The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack

Akibat dari dipublikasikannya konsep serangan “Padding Oracle On Downgraded Legacy Encryption” (PODDLE) yang mengeksploitasi kelemahan pada SSLv3, saya melakukan mitigasi di server Slackware saya biar tetap “hardened” heheheh…. Secara mekanisme kerja, memang client (browser) tentu saja pada saat melakukan koneksi HTTPS ke server, akan memilih protokol yang terbaik yang disupport oleh kedua pihak (client a.k.a browser dan juga server). Tetapi dengan “force downgrade”, client atau server bisa dipaksa untuk terkoneksi menggunakan SSLv3 yang rentan ini. Walaupun server sudah support protokol suksesor SSLv3 seperti TLS v1.0 ke atas, yaa tetap masih bisa di-“force downgrade”. Dengan kata lain, seluruh client (browser) dan webserver yang masih support SSLv3 tentu saja rentan terhadap serangan POODLE.

Continue reading “The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack”

Setup Secure Apache HTTPS Server

Pada kesempatan kali ini saya ingin memposting tentang cara mengkonfigurasi web server agar support dengan HTTPS (data yang ditransmisi terenkripsi), pada server Linux Slackware64. Ini hanyalah kegiatan iseng-iseng setelah saya menyadari ternyata aplikasi miniSIEM saya mengirimkan data login user dan password ke webserver dengan koneksi HTTP yang -semua sudah tau- rentan terhadap serangan man-in-the-middle hehehe. Untuk melakukan setup ini, terdapat 2 phase, pertama: karena laptop saya gak modal beli signed certificate dari Certificate Authority (CA), kita akan membuat self-signed certificate saja. Sedangkan langkah kedua: mengkonfigurasi file konfigurasi apache. That’s it? Yes, that’s it. Tapi pada post ini saya juga ingin menambahkan tentang securing HTTPS itu sendiri. Karena walaupun data telah dienkripsi, ada beberapa konfig yang perlu dioptimasi, seperti salah pemilihan algoritma enkripsi yang lemah misalnya, sehingga data yang dienkrip ada kemungkinan lebih mudah untuk di dekripsi.

Continue reading “Setup Secure Apache HTTPS Server”

Security by Obscurity

Terkadang ketika tidak ada lagi jalan lain agar kita bisa mengamankan server, digunakanlah teknik "security by obscurity". Teknik ini adalah dengan cara mensamarkan informasi yang ada pada server itu sendiri. Informasi bisa berupa apa saja. Mulai dari tipe server, versi, dan sebagainya. Kenapa informasi tentang server bisa jadi berbahaya? Tipe server dan versi adalah informasi yang bisa dimanfaatkan hacker pada tahap reconaissance dan dengan informasi tersebut bisa dengan mudah dicari exploitnya jika tipe server dan versi tersebut memiliki 0 day bug misalnya. Apalagi sekarang ini sudah banyak website yang menyediakan ribuan exploit siap pakai. Sang hacker nantinya tinggal search ‘matching exploit’-nya saja. Untuk itu cara terakhir mengamankan sistem adalah dengan teknik "security by obscurity" dengan harapan moga-moga si penyerang setidaknya menjadi bingung dan mengurungkan niatnya karena menjadi tidak yakin akan kebenaran informasi atau kekurangan informasi, dll hehe. Langsung saja ke prakteknya yu mari…

Continue reading “Security by Obscurity”

Belajar XML HTTP Request Dari Dasar

Pada kesempatan kali ini, saya ingin sekedar sharing tentang penggunaan XML HTTP Request dari dasar. Tidak usah malu belajar dari dasar, karena sebenernya XML HTTP Request di web yang sudah kompleks pun asalnya dari dasar ini. Jadi diharapkan ketika mengerti dasarnya ini, semoga bisa dimengerti saja dulu. Pengembangan kode untuk sesuai kebutuhan anda itu terserah pada anda hahah…

Dengan XML HTTP Request kita dapat menghemat bandwidth, karena metode ini merequest konten pada URL tertentu dan ditampilkan di bagian tertentu pada halaman website tanpa harus me-load lagi seluruh halaman. Oh iya, walaupun untuk bisa mencoba XML HTTP Request hanya perlu minimal halaman HTML, tetapi dibutuhkan peran webserver juga untuk merespon request. Jadi XML HTTP Request harus berjalan di lingkungan webserver, ga bisa asal taro di lokasi tertentu, double klik dan liat hasilnya 😛 Langsung saja ke percobaan…

Continue reading “Belajar XML HTTP Request Dari Dasar”

Troubleshooting HTTP ERROR

Baru beberapa saat yang lalu, saya melakukan modifikasi pada website tibandung.com, saya mendownload file index.php dari ftp server, mengedit di komputer lokal, kemudian mengupload kembali ke server. File yang lama saya timpa dengan index.php yang baru. Awalnya semua berjalan lancar… Tetapi ketika proses testing index.php yang baru dari browser, server tiBandung sempat tidak bisa menampilkan halaman homepagenya selama beberapa waktu karena ada error. Kode error HTTPnya yaitu 500.

Continue reading “Troubleshooting HTTP ERROR”

Mengendus (Sniffing) Data pada Koneksi HTTP

Dalam postingan ini, mari kita lihat bahayanya mengirim DATA PENTING dengan koneksi yang menggunakan HTTP. Pengiriman (POST) data kalo menggunakan koneksi HTTP, tidak dienkripsi. Jadi data yang dikirimkan lalu lalang di jaringan dalam bentuk plain text. Tapi sekali lagi, selama data itu tidaklah penting, seperti obrolan ringan di email, isi pesan ke “wall” facebook teman anda, dsb, tidak apa-apa menggunakan koneksi HTTP. Karena mungkin dampak/resiko yang terjadi jika pun ada yang mengintipnya, tidak akan berpengaruh terhadap Anda. Tapi bagaimana jika data yang anda kirimkan adalah password email, obrolan rahasia bisnis di email, dsb? Kalo masih belum percaya, mari kita praktekkan. Untuk percobaan kali ini, saya menggunakan tools sniffer yang sudah sangat terkenal. Namanya Wireshark (a.k.a Ethereal).

Continue reading “Mengendus (Sniffing) Data pada Koneksi HTTP”

Hikayat Sang Protokol Menuju http://www.google.com

 

Ini tulisan yang sekedar mengingatkan kepada anda semua, terutama saya (hehe), bagaimana cara komunikasi antar node bisa terjadi. Bagaimana kita bisa internet-an dan melihat web situs-situs tertentu dari browser yang tampaknya gak ribet-ribet amat… Karena pada umumnya setiap browser hanya ada inputan URL web, tombol “Go”, dan tempat display webnya tentu saja… Ternyata dibalik kesederhanaan tampilan itu, kerja para “kru-kru” dibelakang layarnya lumayan banyak loh.. Hehehe.. Mari kita jalan-jalan kebelakang panggung… Jangan di depan panggung terus dong. Ntar ga tau, ternyata jadi protokol komunikasi (saya ambil contoh TCP/IP based) itu ribet juga kerjaanya… Wongeh dwechh… 😀

Continue reading “Hikayat Sang Protokol Menuju http://www.google.com”