Baru-baru ini berlaku serangan pengodam yang menggelarkan diri mereka ‘anonymous’ dimana mereka telah menyerang beberapa laman web milik kerajaan Malaysia. Persoalannya disini, bagaimana mereka melakukannya? Doktor komputer akan berkongsi serba sedikit berkenaan cara-cara menggodam dan lebih penting bagaimana untuk mengurangkan risiko diserang. Doktor bukan ingin mengajar anda menjadi pengodam,sekadar menjawab persoalan bagaimana melindungi dari pengodam(Hacker),
Cara/Teknik
Bukan semua laman web kerajaan berjaya digodam oleh anonymous,ada beberapa yang berjaya ditepis serangan.anonymous juga menggunakan teknik lain yang hanya dapat menganggu kelancaran laman web yang diserang. Berikut adalah cara-cara mengodam, ia bukanlah contoh teknik serangan anonymous,sekadar perkongsian umum:
1. SQL injection:Teknik sql injection adalah teknik memanipulasi input mahupun output dari pangkalan data yang terlibat dengan laman web. Secara umumnya, penggodam akan membuat scanning bagi mencari lubang-lubang kelemahan dalam sesuatu sistem atau laman web sebelum menggunakan teknik SQL injection. Lihat contoh laman web yang vulnerable(terdedah) untuk digodam(hack). http://www.artslivres.com/ShowCat.php?SFF=1&SFCtFrm=’. Masalah laman ini adalah mereka tidak mengubah setting di php.ini dimana dibawah setting show display_errors di set kepada off. Anda boleh memanipulasi command SQL hingga dapat memperolehi maklumat user name dan password admin dari table akaun admin.
2. XSS(Cross Scripting Site): Teknik ini adalah memanipulasi ruang-ruang kelemahan dalam strukutur laman web sehingga boleh diganti dengan code penggodam. Walaupun kesan teknik ini tidak sehebat dengan yang lain,namun masih boleh memberi implikasi kepada pengguna yang melihatnya jika mereka tidak tahu bahawa laman tersebut telah pun ditukar code oleh pengodam. Contoh laman web yang vulnerable untuk XSS attack:http://www.iskamrabota.bg/view_ad.php?lang=en&id=sutrudnik-ofis-prodajbi-7476%22%3E%3Ch1%3ETerdedah%20Untuk%20Di%20Godam%3C/h1%3E. Seharusnya pembina laman web tidak perlu bergantung dengan kaedah GET untuk menghantar data dari satu page ke page yang lain. Lebih elok jika tidak menggunakan teknik GET kerana terdedah pada risiko XSS dan SQL Injection. Untuk info mengelak dari teknik serangan XSS pergi ke https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet.
3. Brute force: Ini adalah teknik yang klasik namun antara yang berkesan namun tidak terlalu effisien kerana anda terpaksa menunggu lama untuk mendapatkan kombinasi username dan password yang sesuai dengan padanan dalam library anda. Kebiasaannya form login adalah paling banyak diserang dengan menggunakan teknik ini. Pembina laman web boleh menggunakan captcha didalam form login bagi menambahkan kebolehan menagkis serangan ini. muatturun captcha di http://www.phpcaptcha.org/download/ untuk meningkatkan keselamatan laman web anda.
Ada banyak lagi teknik-teknik yang digunakan oleh pengodam namun tidak perlu doktor komputer menyenaraikan semuanya. Cukup sebagai seorang pembina laman web, anda seharusnya lebih peka keselamatan laman web yang anda bina. Gunakan OWASP sebagai rujukan dalam menentukan keselamatan laman web anda.
p/s: Artikel diatas sekadar penulisan peribadi, segala ketepatan maklumat bukanlah tanggungjawab doktor komputer.Sekian, Terima Kasih.
Sumber: http://doktorkomputer.wordpress.com
Sumber: http://doktorkomputer.wordpress.com
0 comments:
Post a Comment