Web Hacking Tutorial & Lab (Do It Yourself!)

Di kesempatan lalu, saya pernah posting di blog ini tentang tutorial Hacking Anatomy (Plus Real Hacking Example). Untuk kesempatan kali ini saya akan posting studi kasus security hole di layer aplikasi yang dapat berimplikasi terhadap keamanan OS server nya. Sudah berapa lama ingin posting di blog tentang lanjutan cerita exploitasi, tapi selalu saja tidak sempat hahaha. Jadi, jika posting tutorial sebelumnya lebih ke exploitasi bug pada server, sekarang saatnya explorasi di layer aplikasi hehehe.

Continue reading “Web Hacking Tutorial & Lab (Do It Yourself!)”

Indonesia Tanpa Google?

Saya semalam browsing-browsing ringan buka situs detik, dan kaget membaca sebuah headline berita terkait keinginan suatu organisasi untuk push Indonesia mengeluarkan kebijakan memblokir layanan Google dan Youtube karena banyak mengandung konten pornografi, katanya… Spontan saya tertawa dan jadi “hiboeran rakjat” malem-malem. Mungkin ini baru wacana tetapi ide “gila” ini tentu saja bakal outstanding bagi kalangan IT enthusiast seperti saya.

Continue reading “Indonesia Tanpa Google?”

The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack

Akibat dari dipublikasikannya konsep serangan “Padding Oracle On Downgraded Legacy Encryption” (PODDLE) yang mengeksploitasi kelemahan pada SSLv3, saya melakukan mitigasi di server Slackware saya biar tetap “hardened” heheheh…. Secara mekanisme kerja, memang client (browser) tentu saja pada saat melakukan koneksi HTTPS ke server, akan memilih protokol yang terbaik yang disupport oleh kedua pihak (client a.k.a browser dan juga server). Tetapi dengan “force downgrade”, client atau server bisa dipaksa untuk terkoneksi menggunakan SSLv3 yang rentan ini. Walaupun server sudah support protokol suksesor SSLv3 seperti TLS v1.0 ke atas, yaa tetap masih bisa di-“force downgrade”. Dengan kata lain, seluruh client (browser) dan webserver yang masih support SSLv3 tentu saja rentan terhadap serangan POODLE.

Continue reading “The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack”

Solusi Praktis Hardening Captcha

Setelah saya ngepost tentang cracking captcha, pada post ini akan dibahas bagaimana cara agar captcha milik kita sedikit lebih kuat dari ancaman bot/script yang memiliki kemampuan membaca karakter pada image dengan teknik OCR. Pada post sebelumnya sudah disinggung bagaimana membuat captcha yang susah dibaca dengan menambah noise pada image captcha. Yang akan kita lakukan adalah membuat captcha yang memiliki cukup noise sehingga sulit dibaca dengan teknik OCR tersebut.

Continue reading “Solusi Praktis Hardening Captcha”

Belajar XML HTTP Request Dari Dasar

Pada kesempatan kali ini, saya ingin sekedar sharing tentang penggunaan XML HTTP Request dari dasar. Tidak usah malu belajar dari dasar, karena sebenernya XML HTTP Request di web yang sudah kompleks pun asalnya dari dasar ini. Jadi diharapkan ketika mengerti dasarnya ini, semoga bisa dimengerti saja dulu. Pengembangan kode untuk sesuai kebutuhan anda itu terserah pada anda hahah…

Dengan XML HTTP Request kita dapat menghemat bandwidth, karena metode ini merequest konten pada URL tertentu dan ditampilkan di bagian tertentu pada halaman website tanpa harus me-load lagi seluruh halaman. Oh iya, walaupun untuk bisa mencoba XML HTTP Request hanya perlu minimal halaman HTML, tetapi dibutuhkan peran webserver juga untuk merespon request. Jadi XML HTTP Request harus berjalan di lingkungan webserver, ga bisa asal taro di lokasi tertentu, double klik dan liat hasilnya 😛 Langsung saja ke percobaan…

Continue reading “Belajar XML HTTP Request Dari Dasar”

Halaman Survey Untuk Aplikasi Pencari Rute/Jalur Angkutan Kota (Angkot)

Hari ini, softlaunching halaman survey untuk aplikasi web pencari rute angkot Kota Bandung. Aplikasi web itu sendiri sudah di launching kemaren-kemaren. Kalo belum tau, bisa dilihat di postingan saya sebelumnya. Halaman survey bertujuan untuk menampung feedback dari pengunjung yang memanfaatkan jasa aplikasi ini. Dengan adanya feedback bisa menjadi semangat tersendiri bagi kami selaku developer aplikasi gratis ini. Hehe… Jangan lupa diisi dengan jujur ya surveynya! Eh, sebelumnya coba dulu aplikasinya 🙂

By-pass Login Admin

Setelah sebelumnya saya bercerita tentang Cara Paling Gampang Nge-Hack: Pesan Error, sekarang saatnya pembuktian. Mari kita coba di sebuah aplikasi web berikut:

Tampilan Halaman Awal Aplikasi Web

Kemudian saya mencoba login dengan meng-klik link login di kanan atas..
Setelah itu mencoba memasukkan pada field username: isengajah dengan password ') HAVING 1='1

Continue reading “By-pass Login Admin”

Tempat Praktek Belajar Hacking Website (dari tingkat Newbie Sampai Ellite Hacker)

Ini ada website keren yang bisa menambah wawasan tentang keamanan aplikasi web:

Hack This Site!

Selain menambah wawasan juga jadi tempat menghabiskan waktu luang, karena semuanya dikemas secara rapi (ada level-levelnya) dan seperti memecahkan teka-teki saja… Tapi dengan praktek belajar hacking ini, kita jadi tau bahwa sebenarnya hacking website itu memiliki proses… Bugs dan rahasia kelemahan didapatkan selama proses hacking. Maka dari itu ber-logikalah dan hargailah proses belajar. Sukses atau tidak nge-hack-nya, itu hanya efek samping dari proses hihihih 😛

Selain itu, kita jadi belajar bahwa orang yang sangat pinter teori hacking sekalipun tetapi sifat ‘keisengan’-nya rendah akan susah memecahkan misi-misinya.

Pesan terakhir, kata pembuatnya situs ini sangat HALAL untuk di hack. Tetapi situs lain dari domain ini jangan coba-coba ya… 😉

Aplikasi Online Pencari Rute/Jalur Angkutan Kota (Angkot)

Di hari ulang tahun Bandung yang ke-200 di tahun 2010 ini, cuma kado sepesial ini yang bisa saya berikan untuk Bandung sebagai rakyat jelata…

http://angkot.tibandung.com
bisa diakses dari browser desktop ataupun mobile/handphone

Selamat ulang tahun Bandung! Semoga bisa menjadi Kota yang indah dan nyaman dihuni. Itu saja.

*Buat pengguna aplikasi, sangat dimohon masukannya jika terdapat kesalahan-kesalahan rekomendasi dari aplikasi ini…
Bisa kirim email ke adeismail [A] tibandung [.] com atau ke rifkisusetyo [A] tibandung [.] com

Ga usah malu-malu. Ditunggu pujian sampe caciannya. Karena komentar anda sangat berguna untuk pembenaran aplikasi ini loh!
Tapi jangan lupa dishare juga linknya ke temen-temen anda yang lain ya! Semoga bermanfaat 😉