• Beranda
  • Autosultan
  • Bitcoin
  • Dollar
  • Linux
  • LOKER
  • Printer
  • Sofware
  • sosial
  • TISniper
  • Virus
  • Windows

T.I Sniper

#Expert Advisor for MetaTrader 4 #Expert Advisor for MetaTrader 5 #youtube #google #free dollar business every day #Lowongan #Pekerjaan #Loker #forex #trading Autopilot #mining crypto #Update #Tutorial #Komputer Perbaikan, #Email #Facebook , #whatsapp ,#instagram #telegram ,#Internet ,#Motivasi , #Crypto , #AirDrop, #Bitcoin, #Ethereum, #Binance coin, #Cardano, #Degocoin, #Litecoin #Indodax, #Coinbase, #Nexo Dan Mata Uang Digital Lain , #Website, Perbaikan #Server #Domain , #Hosting, #Whm

    • Beranda
    • Contact Forum
    • Coffee JKs88
    • Tentang Kami
    • Parse Code Html
    • Text Terbalik
    • Privacy Policy

    Ikuti Kami!

    Follow Akun Instagram Kami Dapatkan Notifikasi Terbaru!
    Ikuti Kami di Facebok! Untuk mendapatkan notifikasi terbaru.

    Postingan Populer

    Backlink dengan Google Dork Seo

    Dork Seo
    Januari 01, 2016
    0

    Cara Dapat Backlink dengan Google Dork

    Dork Seo
    Februari 13, 2016
    0

    Cara Dapat Backlink Edu Gratis

    Seo
    Februari 13, 2016
    0

    Download File ISO Windows 11 Dan Bootable USB Rufus

    Sofware Windows
    Desember 02, 2021
    0

    FORUM 

    FORUM
    Desember 31, 2021
    0
    Author
    chmood
    Tautan disalin ke papan klip!
    Share Posts "Seni Web Hacking - Part 1: Serangan Langsung"
  • Salin link
  • Simpan Ke Daftar Bacaan
  • Bagikan ke Facebook
  • Bagikan ke Twitter
  • Bagikan ke Pinterest
  • Bagikan ke Telegram
  • Bagikan ke Whatsapp
  • Bagikan ke Tumblr
  • Bagikan ke Line
  • Bagikan ke Email
  • HomeExploitationsSeni Web Hacking - Part 1: Serangan Langsung
    Seni Web Hacking - Part 1: Serangan Langsung

    Seni Web Hacking - Part 1: Serangan Langsung

    Simpan Postingan


    Seni Web Hacking - Part 1: Serangan Langsung




    Menyerang sebuah website, gampang-gampang susah. Cukup mudah bila sudah berpengalaman, namun tetap tidak terlalu mudah, tetap butuh ketelitian, kejelian, dan kreativitas dari penyerang. 

    sebelumnya... 
    Dalam judul kali ini "Seni Hacking Website", saya akan membahas secara khusus seni / teknik penyerangan pada sebuah website. Setidaknya, saya akan menyampaikan apa yang menurut saya tepat, dan jurus yang selama ini saya pakai. Memang tidak bisa dikatakan jurus tingkat tinggi, namun setidaknya ini adalah yang saya terapkan selama ini, pada diri saya sendiri, dan mungkin pada kebanyakan underground people around. Memang tidak semuanya bisa saya tulis, karena akan sangat banyak sekali dan saya sendiri susah mengingatnya. 

    Seni yang akan saya bahas meliputi: teknik mencari celah (bug), teknik exploiting, teknik defacing, teknik backdooring. dan perlu diingat, saya hanya membahas penyerangan pada website, bukan pada sistem. jd pada artikel kali ini, saya hanya fokus membahas serangan pada aplikasi website (port 80), bukan pada sisi server, services, dll, hanya pada sisi website nya. 

    Saya tidak akan membahas teknik serangan dasar (sqlinjection, lfi, rfi, dll). Teknik2 dasar, silahkan dipelajari di postingan2 sebelumnya, di forum, forum sebelah, web sebelah, google, dll. 

    lho ada part 1, berarti ada part 2, 3, dst donk... yup bener banget. kalau membahas seni hacking website, gak akan cukup (lebih tepatnya gak akan muat di databasenya :P~ ) dalam satu pembahasan, bahkan part 1 saja sangat panjang sekali. selain itu, seperti biasa, saya akan menjelaskan konsep-konsep secara datail, sehingga pembahasan akan panjang. selain itu, pembagian "part" demi "part" juga untuk memisahkan pembahasan, agar lebih mudah dan jelas serta mudah di pahami. 

    oke, jadi siapkan segelas kopi sebelum membacanya. 
    #######[PART 1: Serangan Langsung]####### 

    what? 

    pada part 1, saya akan secara khusus membahas serangan-serangan langsung ke website sasaran, tanpa melalui weblain. mencari celah pada web sasaran, exploitasi celah pada web sasaran, dll. intinya, kita akan berkutat secara langsung menyerang ke web sasaran. misal sasaranya adalah www.arcahya.net, nah kita akan mengutak-atik website tersebut, mencari sesuatu untuk masuk. 

    [MENCARI CELAH/BUG] 

    tentu saja ini adalah hal pertama yang sangat penting sekali. 

    Langsung membuka site sasaran. Browsing-browsing. Buka-buka lah link-link yang ada pada web sasaran. Semua link. Gambar, url, file, download, artikel, berita, dan semuanya. Hanya browsing? iya. tapi tidak sekedar browsing.


    ----
    amati setiap url. bagaimanapun juga, url adalah salah satu pintu serangan. pada url, kita bisa mengamati adanya setiap kemungkinan celah SQL Injection, LFI, RFI, XSS, dll. amati pola kerja website. Mungkinkah ada parameter yang di include? parameter database query? parameter pesan? dll. dalam tahap ini, kita langsung mencoba teknik-teknik dasar serangan website.




    ----
    file path kadang juga bermasalah. lihat path image-image. ada image yang path nya dari sebuah file. misal file=demit.jpg. bisa jadi di exploitasi dengan LFI RFI ato LFD. biasanya sih LFD.



    ----
    ada fasilitas search...?
    coba sql injection pada post. dan coba injeksi XSS pada form ini. coba cookie stealing over xss (tutorial:
    injeksi xss, dan beritahukan kepada admin.



    lho kok di beritahukan..? iya, pancing sang admin untuk membuka url xss-ed yg telah di injeksi.



    kaka: hay min..
    admin: hay juga. kenalan donk...
    kaka: ogah, situ maho
    admin: :-P~~~
    kaka: ada bug tuh di site ente
    admin: ah masa' sih
    kaka: iya, coba deh login admin
    admin: hhhmmmm
    kaka: udah login?
    admin: udah. trus?
    kaka: nih coba lihat <paste url yang udah u injeksi xss>
    admin: menuju tekape...
    kaka: hehehe



    contoh percakapan sok akrab yg bertujuan nyerang si admin. kenapa nyuruh dia login dulu? karena kita butuh cookie dari loginnya dia. klo dia gak login, percuma deh :P



    xss bisa di temukan biasanya di form contack, buku tamu, dll. juga pada url.



    ----
    coba deh tilik langsung ke halaman admin. bisa /admin, /webadmin, dll lah. gunakan tool admin finder agar lebih mudah n cepet.
    eh blm dpt user + pass kok maen lgsg ke admin area..?
    coba langsung login dengan user standart admin:admin. sql injection login bypass 



    eh gagal semua? belom tentu. coba tilik informasi di cookienya. saya pernah lo login ke admin hanya dengan ngeset login=1 di cookie. wkkwkw



    strategi lain, login pastinya ada tekniknya. beda programmer, beda teknik. kesalahan teknik, bisa jadi malapetaka. dan lebih parah lagi, jika autentikasi dilakukan di javascript. what? terdengar bego dan imposible? ndak juga. saya ingat dulu saya pernah login ke admin area salah satu web universitas airlangga surabaya (unair) hanya dengan utak atik pada sistem loginya yang kebetulan pakai javascript. kok bisa? amati saja code-code nya. kalau javascript kan bisa di baca langsung, dan mungkin saja ada yang bisa di manfaatkan sistem login nya yang bermasalah. tentu saja kemampuan analisa code kita haruslah bagus.




    mengakses langsung halaman menu pada halaman admin. misal admin/menu.php. pembuatan file tanpa filter yang baik, bisa jadi file ini bisa di akses secara langsung. perhatikan setiap link. akses filenya secara langsung




    ----
    Menemukan bug LFD memberikan kita extra kemudahan dalam attacking. Selain yg sudah saya bahas sebelumnya, ada hal lain yang juga layak dicoba.
    Baca langsung file admin. analisa setiap link, telusuri setiap file. Cari tau apakah ada file yang tidak ada pengecekan user sama sekali, sehingga file bisa di akses secara langsung atau remote. Misal file penambahan user, tanpa recheck user, bisa jadi kita sebagai attacker mengirimkan POST data untuk membuat user baru dengan level dewa. atau mungkin upload file, dll.




    ----
    CSRF Exploiting
    hasil analisa admin page, setiap page ada pengecekan user dan password. Belum tentu gagal. Kita lihat saja apakah ada token, jika tidak, bs jd vuln csrf. Buatlah form sendiri secara offline, upload. dengan event javascript onload=submit(), maka forum akan di submit dengan mengirim command add user dewa. Berikan url tersebut kepada sang admin. Dengan soceng dulu tentunya, lihat cara soceng di bagian xss stealing diatas.




    ----
    Library path
    include, lib, libs, module, ddl bisa merupakan path sebuah library modul pada aplikasi website. Mencoba akses langsung ke direktori ini. Siapa tau tidak di protek. Librari apa yang ada, coba di klik satu-satu. Mungkin saja ada celah disitu.



    ----
    Google Hacking
    Seringkali google menemukan celah pada sasaran kita. kita tinggal meminta google untuk memberikan celah tersebut. Sekedar error, sangat membantu kita dalam menyerang.



    Contoh:
    "Warning:" site:www.sasaran.com
    "Error" site:www.sasaran.com
    "MySQL Error" site:www.sasaran.com
    "/home" site:www.sasaran.com



    Teknik ini cukup jitu untuk menemukan some-error pada sasaran. Selain itu, kita juga akan tau path dari aplikasi dan tentunya username cpanel nya.




    ----
    Bruteforcing Vulnerability
    Teknik ini gampang-gampang susah, namun cukup jitu. Perhatikan setiap form login, ada proteksi atau tidak. apa aja proteksinya? salah satunya captcha. form login tanpa captcha, rawan sekali pada serangan ini. Cobalah login beberapa kali, apakah muncul entry captcha, atau blocked ip. jika tidak, bisa jadi teknik ini boleh dicoba.



    Dalam bruteforce, kita harus coding sendiri, ya karena setiap form kan beda-beda. Sehingga kita harus menyamakan input2nya sebelum bruteforcing.




    ----
    CMS Vulnerability
    Sasaran menggunakan cms? yep, googling aja dengan kata kunci "nama-cms exploit". coba menuju site-site bug report, dan cari vendor dari cms sasaran.
    Untuk mengenali sasaran memakai cms atau tidak, cukup lihat source code nya, cukup jelas terlihat nama cms nya (biasanya)




    ----
    LIbrary Vulnerability
    Dengan menganalisa source code, kita akan mendapatkan nama-nama modul atau library yang dipakai di web tersebut. Jika library gratisan, kita bisa mendownloadnya dan menganalisa source code untuk mencari celah.
    Googling celah dari masing2 librari juga sangat bagus.




    ----
    Penggunaan hacking tool.
    hacking tool yang disarankan adalah analys tool, seperti acunetix, nikto, dll. dan tentu saja attacking tool.




    ----
    Server Disclosure
    Mengetahui jenis server juga sangatlah penting. Coba buka /apa-aja-yg-penting-not-found. maka akan ditampilkan pesan error. dan dibawahnya ada vendor web server yang dipakai. Beberapa vendor memiliki celah yang gak disadari user. Misal xampp yang menerapkan password null. kita caritau dimana path default dari vendor, misal xampp, kita tau path nya adalah /xampp. Buka path langsung, banyak yang akan kita dapat darisana.




    ----
    Trojan
    Penggunaan trojanhorse juga sangat efektif. Kirimkan trojan ke sang admin, tentu saja dengan jurus soceng kayak xss.




    ----



    Demikian sedikit yang bisa saya sampaikan. Teknik sangat banyak sekali, susah untuk mengingatnya, ketika berusaha mengingatnya untuk ditulis, susah mengingatnya.



    Pembahasan lebih lanjut langsung ke forum..



    Tunggu part 2, dst.



    Thanks




    ./ArRay
    Exploitations
    September 23, 2015 • 0 komentar
    Disclaimer: gambar, artikel ataupun video yang ada di web ini terkadang berasal dari berbagai sumber media lain. Hak Cipta sepenuhnya dipegang oleh sumber tersebut. Jika ada masalah terkait hal ini, Anda dapat menghubungi kami di halaman ini.
    Isi dari komentar adalah tanggung jawab dari pengirim. T.I Sniper mempunyai hak untuk tidak memperlihatkan komentar yang tidak etis atau kasar. Jika ada komentar yang melanggar aturan ini, tolong dilaporkan.

    T.I Sniper

    Your description here

    • Follow
    • Autosultan
    • Wa Admin Bisnis
    Copyright ©2010 - 2022 🔥 T.I Sniper.
    • Beranda
    • Cari
    • Posting
    • Trending
    • Tersimpan