Jaminan keamanan terhadap pelayanan adalah hal penting dalam bisnis. Ketika seorang nasabah ingin menabung, tentu ia perlu menimang apakah ada jaminan keamanan di sana. Sebab, tidak sedikit penyedia layanan yang sering kali kebobolan untuk pengamanan sistem. Maka dari itu, isu tersebut menjadi penting karena termasuk bagian dari cyber security. Lalu, apa yang dimaksud dengan cyber security? Mari kita simak bersama di artikel berikut ini! Apa Itu Cyber Security? Cyber Security (Keamanan Siber) adalah perlindungan sistem yang terhubung ke internet seperti perangkat keras, perangkat lunak, dan data dari Cyber Threat dan Cyber Crime. Praktik ini digunakan oleh individu dan perusahaan untuk melindungi dari akses tidak sah ke pusat data dan sistem komputerisasi lainnya. Strategi keamanan siber yang kuat dapat memberikan postur keamanan yang baik terhadap serangan jahat yang dirancang untuk mengakses, mengubah, menghapus, menghancurkan, atau memeras sistem dan data sensitif organisasi atau pe
Situs web di seluruh dunia diprogram menggunakan berbagai bahasa pemrograman. Meskipun ada kerentanan khusus di setiap bahasa pemrograman yang harus diperhatikan oleh pengembang, ada masalah mendasar di internet yang dapat muncul terlepas dari bahasa atau kerangka kerja yang dipilih.
Situs web tidak lagi hanya tentang memiliki "kehadiran Internet" hari ini, tetapi juga digunakan untuk transaksi komersial dan untuk mentransfer data sensitif. Penggunaan yang luas seperti itu membantu cracker mendapatkan lebih banyak pengetahuan tentang kerentanan dan teknik eksploitasi daripada sebelumnya. Berbagai studi keamanan menunjukkan bahwa menyerang situs web untuk mendapatkan ketenaran atau uang pasti meningkat.
Kerentanan ini sering muncul di CTFs sebagai tantangan keamanan web di mana pengguna perlu mengeksploitasi bug untuk mendapatkan semacam privilege tingkat yang lebih tinggi.
Apa Itu Web Exploitation?
Web Exploitation atau eksploitasi web adalah stream penyerangan pada suatu web dengan memanfaatkan celah keamanan dari web. Web yang memiliki tingkat keamanan yang rendah atau bahkan memiliki bug yang terekspos dapat dieksploitasi oleh para hacker dan cracker. Baik itu dari celah network, request & response ataupun source codenya langsung.
Di bidang CTF Cyber Security, Web Exploitation menjadi salah satu dari berbagai stream CTF Attack & Defense. Web Exploitation dapat dilakukan dengan berbagai teknik hacking. Yang paling umum adalah SQL Injection. Namun, masih ada lagi beberapa teknik hack untuk mencari celah keamanan suatu web. Semua itu tentunya memanfaatkan celah-celah keamanan yang dapat ditembus.
Macam-Macam Teknik Untuk Melakukan Web Exploitation
Berikut adalah macam-macam teknik untuk melakukan web exploitation, diantaranya:
1. SQL Injection
SQL Injection adalah kerentanan di mana aplikasi mengambil input dari pengguna dan tidak memvalidasi bahwa input pengguna tidak mengandung SQL tambahan.
2. Command Injection
Command Injection adalah kerentanan yang memungkinkan penyerang mengirimkan perintah sistem ke komputer yang menjalankan situs web. Ini terjadi ketika aplikasi gagal mengkodekan input pengguna yang masuk ke shell sistem. Sangat umum untuk melihat kerentanan ini ketika pengembang menggunakan perintah system() atau yang setara dalam bahasa pemrograman aplikasi.
3. Directory Traversal/Listing
Directory Traversal adalah kerentanan di mana aplikasi mengambil input pengguna dan menggunakannya di jalur direktori. Jalur apa pun yang dikendalikan oleh input pengguna yang tidak disanitasi dengan benar atau di-sandbox dengan benar dapat rentan terhadap Directory Traversal.
4. CSRF (Cross Site Request Forgery)
Cross Site Request Forgery atau Serangan CSRF, diucapkan see surf, adalah serangan terhadap pengguna yang diautentikasi yang menggunakan sesi status untuk melakukan serangan perubahan status seperti pembelian, transfer dana, atau perubahan alamat email.
Seluruh premis CSRF didasarkan pada pembajakan sesi, biasanya dengan menyuntikkan elemen berbahaya ke dalam halaman web melalui tag <img> atau <iframe> di mana referensi ke sumber daya eksternal tidak diverifikasi.
5. XSS (Cross Site Scripting)
Cross Site Scripting atau XSS adalah kerentanan di mana pengguna aplikasi dapat mengirim JavaScript yang dieksekusi oleh browser pengguna lain dari aplikasi yang sama. Ini adalah kerentanan karena JavaScript memiliki tingkat kontrol yang tinggi atas browser web pengguna.
6. SSRF (Server Side Request Forgery)
Server Side Request Forgery atau SSRF adalah tempat penyerang dapat menyebabkan aplikasi web mengirim permintaan yang ditentukan penyerang.
Misalnya, ada situs web yang memungkinkan Anda mengambil tangkapan layar dari situs mana pun di internet.
Dalam penggunaan normal, pengguna mungkin memintanya untuk mengambil tangkapan layar halaman seperti Google, atau The New York Times. Tetapi bagaimana jika pengguna melakukan sesuatu yang lebih jahat? Bagaimana jika mereka meminta situs untuk mengambil gambar http://localhost? Atau mungkin mencoba mengakses sesuatu yang lebih berguna seperti http://localhost/server-status ?
Bergantung pada respons dari situs, penyerang mungkin dapat memperoleh informasi tambahan tentang apa yang berjalan di komputer itu sendiri. Selain itu, permintaan yang berasal dari server akan datang dari IP server bukan IP penyerang. Karena itu, penyerang mungkin dapat mengakses sumber daya internal yang biasanya tidak dapat diaksesnya.
Penggunaan lain untuk SSRF adalah membuat pemindai port sederhana untuk memindai jaringan internal mencari layanan internal.
image sources from getty
content sources from ctf101 and opensourceforu
Comments
Post a Comment