Assalamualaikum teman-teman, salah sejahtera bagi kita semua.
Pada artikel kali ini, saya akan membagikan sedikit pengetahuan mengenai kelemahan-kelemahan pada sistem, namun tidak semua sistem. Hanya pada website saja. Jadi ada baik nya kita mengerti apa itu kelemahan atau Vulnerability merupakan kesalahan pada program atau miskonfigurasi pada saat penyusunan dan bisa menjadi sebuah celah yang bisa di manfaat kan oleh pihak yang tidak berwenang.
Di bawah ini beberapa celah beserta case nya yang bisa saya bagikan kepada teman-teman :
1. Server side template injection - Intel
Pada celah server side template injection pada intel yang di temukan oleh researcher bernama suleman malik. Pada kesempatan itu, dirinya menemukan celah kerentanan pada bagian user_name dan laat_name. Pada percobaan yang dilakukan dia menggunakan payload berisi sul{{9*9}} pada bagian first_name, dan bagian last_name berisi malik{{9*9}}. Sesuai dengan teori SSTI jika bagian yang di sisipi payload itu rentan, maka akan muncul nilai sul{{81}} malik{{81}}. dari hasil yang ada suleman mencoba melakukan reset password dengan tujuan untuk melihat hasil terkait first name dan last name yang telah dinjeksi. dari hasil percobaan ini suleman menfapati bahwa aplikasi merespon dengan melakukan eksekusi aritmatika yang ada. eksekusi yang dimaksud digunakan untuk mengambil file yang terdapat pada server. hal ini dibuktikan dengan berhasilnya suleman mengambil nilai /etc/password. suleman menggunakan payload pada bagian firtsname {php}$s=file_get_content('/etc/password');var_dump($s);{/php.
2. Host Header Injection
Pada dasarnya suatu request yang dikirimkan dari suatu aplikasi menuju server selalu terdiri dari masukan dari pengguna mengenai suatu tautan di assress bar milik browser yang kemudian dilanjutkan dengan pengiriman beberapa parameter utama seperti nilai host, content lenght (jika berupa POST/PUT/Method), User-agent (Penanda penggunaan jenis browser tertentu) path yang dituju misalnya dari suatu host (contoh /login, /delete, atau yang lain), kemudian beberapa hal lain seperti origin dan referrer.
3. Kind of host header injection
Beberapa jenis eksekusi host header injection yang umum dilakukan para peneliti yaitu berkisar pada :
3. Kind of host header injection
Beberapa jenis eksekusi host header injection yang umum dilakukan para peneliti yaitu berkisar pada :
- Memungkinkannya seorang pentest untuk melakukan redirect permintaan dari seorang korban menuju tautan lain. dalam hal ini parameter dari suatu host header dimanpulasi untuk membelokan pengguna ke tautan lain yang pada dasarnya tidak ingin dikunjungi
- Kemudian model kedua adalah ekseskusi yang memungkinkan seorang pentest untuk manipulasi suatu tautan yang dikirimkan server via email. secara spesifik hal ini memiliki tingkat resiko yang lebih tinggi karena kemungkinan terjadinya pengambilan alih akun seorang pengguna
Host header terdiri dari beberapa macam, yang terdiri dari :
- Host header injection - redirection
- Host header injection - Account takeover
- Host header injection - Account takeover - Mavenlink case
4. SQL Injection
SQL injection adalah salah satu jenis serangan yang bertujuan untuk mendapatkan akses pada sistem database. Menurut laporan state of the internet security report dari akamai Q4 2017, SQL injection menempati peringkat pertama dengan perolehan presentase sebanyak 50%.
SQL injection memiliki beberapa macam yaitu terdiri dari :
- Kind of SQL injection
- Error based SQL injection
- Blind SQL injection
- Union Based SQL injection
- Basic concept of SQL injection
5. Cross site scripting
Cross site scripting atau di kenal dengan XSS merupakan salah satu kerentanan yang banyak di temukan, XSS dilakukan dengan cara memasukkan kode html ke suatu situs dengan seolah olah datang dari situs itu sendiri, akibat dari serangan ini tidak lain mendapat kan informasi miliki klien dan lain-lain.
baik lah teman-teman mungkin hanya itu yang bisa saya bagikan mengenai celah-celah keamanan atau jenis - jenis serangan, sebenarnya masih sangat banyak sekali celah keamanan entah itu yang berbasis website atau berbasis pada mobile.
silahkan teman-teman eksplore lagi pengetahuan teman-teman.
Cross site scripting atau di kenal dengan XSS merupakan salah satu kerentanan yang banyak di temukan, XSS dilakukan dengan cara memasukkan kode html ke suatu situs dengan seolah olah datang dari situs itu sendiri, akibat dari serangan ini tidak lain mendapat kan informasi miliki klien dan lain-lain.
baik lah teman-teman mungkin hanya itu yang bisa saya bagikan mengenai celah-celah keamanan atau jenis - jenis serangan, sebenarnya masih sangat banyak sekali celah keamanan entah itu yang berbasis website atau berbasis pada mobile.
silahkan teman-teman eksplore lagi pengetahuan teman-teman.
loading...
0 Komentar