Port 80 web hacking berupa :
- deface
- sql injection
-mmnfaatkn klmahan scripting maupun html
defacd pd situs e commerce byk mnggunakn microsoft iis. Bug pd iis dikenal dgn unicode bug. Shg dgn bug ini dpt m'akses command line shell cmd.exe pd server kluarga windows nt
deface dpt dlakukn dgn :
- mmasukn input ilegal = agar user trlmpar kluar dr direktori file2 web.
- dgn TFTP (trivial file transfer protocol) = protokol brbasis UDP yg listen pd port 69
- dgn FTP web yg tlah diisi bhn deface.
Netcat = memungkinkn utk mbuat port filter sndiri yg mmungknkn FTP
mngamankn server IIS dr deface :
- mengupdate service pack n hotfix
- mlindungi dg firewall dan IDS (Intrusion detection system)
- mnghlangkn opi tulis pd protokol HTTP1.0 atau HTTP 1.1
Sql injection attack = utk mnggapai akses pd sistm dtabase brbasis ms sql server.
Cntoh : mmskkn karakter ' or " pd username dn password
javascript: client slide scripting = mrpkn scripting language yg dieksekusi di sisi client (kmptr pngguna)
contoh yg bkrja disisi client = javascript, client vb script.
Cntoh scripting lnguage d sisii server = ASP (active server page), JSP (Java server pages), PHP (Personal home page)
Klmahan HTML form :
- html = jndla tmpt mmaskkn username n password
- html form hrs mnggunkn slah stu metode get/post
- melalui get/post parameter d smpaikn k aplikasi di sisi server
- mnggunakn get, variabel akn trlhat d url
- mnggunakn post, lbh aman nmun msh dpt diambil dgn request form
tool utk mmeriksa vulnerabilities :
- happy browser = utk mmriksa kmputer srver yg securityny sgt lmah. Dciptakn pd thn 1999 o/ doc holiday and ganymed
- hacking tools : instan source, wget, websleuth, black widow, window bomb.
Tidak ada komentar:
Posting Komentar