Kasus serangan Cyber saat ini memang sedang naik daun, peretasan ini meliputi SQLi, DDoS, Snipe Snooping, XSS, Malware dan lainnya. Untuk mencegah itu semua pasti dibutuhkan sesuatu dari Developer untuk menangkalnya, jika tidak server mereka akan mudah diretas. Lalu bagaimana cara untuk menangkalnya? simak lebih lanjut
1. DDoS
DDoS atau Denial Device of Server adalah serangan dengan cara membanjiri Lalu lintas internet pada suatu system agar down. DDoS akan lebih worth it jika dilakukan bersama sama. Lalu bagaimana cara mengatasi nya? Cara mengatasinya adalah dengan memasang CloudFlare (Awan Menyala) pada website anda. Anda bisa berlangganan Cloud Flare dari website resminya disini. Lalu jika ada Cloud FLare apa bisa di DDoS? setau Demon sih ga bisa soalnya serangan DDoS akan diserap oleh Cloud Flare jadi tidak ada 1 pun trafic yang mengarah ke server kecuali masuk nya manual (tanpa tools)
2. SQL Injection
SQL Injection (Structured Query Language) adalah teknik peretasan dengan memanfaatkan celah keamanan karena input user tidak disaring secara benar oleh server. Serangan ini dilakukan dengan menambahkan string ( ' ) dibelakang part vulnerability. jika website tersebut vuln, maka akan terjadi error saat di enter. Misal demon menggunakan website:
caranya adalah dengan menambahkan string ( ' ) dibelakangnya maka akan seperti ini:
Jika error seperti itu bisa dipastikan vulnerability dan bisa diretas.
Lalu bagaimana cara mengatasinya?
A. Menggunakan parameterized Query
Menggunakan parameterized query adalah cara yang paling gampang dan sederhana. Parameterized akan mendefinisikan seluruh kode SQL sebelum mengirimkannya ke result query. Hal tersebut dilakukan hingga database mampu mengenali input yang dimasukkan oleh pengguna apakah inputan tersebut adalah kode SQL atau data pengguna
B. Melakukan validasi Input pengguna
Bagaimana kah caranya? Meskipun cara ini agak rumit karena anda harus memfilter (Menyaring) semua input yang dilakukan pengguna seperti lenght, labels (jenis) dan lainnya
C. Hide Error Message
Cara ini sangat berguna bagi developer, karena jika pesan error disembunyikan, otomatis hacker kebingungan. misal kita tambahkan string ( ' ) dibelakang dan tidak ada pesan error, namun kembali ke index. maka saya jamin kebanyakan hacker sekarang akan menyerah dan mencari target lainnya
3. XSS
<
XSS (Cross Site Scripting) adalah bug website yang dampaknya cukup parah. Bug ini terletak pada codingan Java Script nya dimana data cookie bisa saja bocor dan ini sangat fatal. Google saja sampai berani bayar mahal untuk mengatasi bug ini. Cara mencoba web tersebut vuln atau tidak adalah dengan memasukkan salah 1 code dibawah ini pada kolom pencarian. Sebagai contohnya demon mencoba pentest disalah satu website sekolah di Depok
saat Demon memasukkan code <script>alert(123)</script> maka akan muncul popup
Lalu saat Demon memasukkan code <script>alert(document.cookie)</script>
Bug XSS tidak hanya di pencarian index, bisa juga di kolom komentar atau hubungi.php.
Jika Cookie sudah tercuri ya tinggal menunggu peretas proffesional membobol saja :v dah lah Demon ga mau lanjutin XSS nya nanti Demon yang kena xixixi.
Namun bagaimana caranya untuk menangani bug XSS tersebut?
Caranya adalah dengan memasukkan codingan ini:
<html>
<head>
<title>Patch Bug XSS</title>
</head>
<body>
<h1>mengatasi celah XSS. </h1>
<form action="" method="post">
<input type="text" name="q" value="" />
<input type="submit" value="Search" />
</form>
<?php
if (isset($_POST['q'])) echo 'Anda mencari : '. $_POST['q'];
?>
</body>
</html>
Ok sekian dulu tutor Demon hari ini, next demon share cara mengatasi bug celah keamanan yang lainnya ya
jika ada yang mau ditanyakan silahkan hubungi Demon disini
Tidak ada komentar:
Posting Komentar