Kaedah Umum Untuk Menggodam Laman Web

Hari ni kita akan telusuri beberapa kaedah umum yang biasa digunakan untuk menggodam sesebuah laman web. Mr.Hac tidak akan mengeluarkan tutorial untuk melakukannya buat masa ini, tetapi Mr.Hac akan terangkan secara umum maksud beberapa kaedah yang digunapakai. Antara kaedah-kaedah tersebut adalah:

1. Remote File Inclusion (RFI)
Lubang-lubang kelemahan (vulnerabilities) seperti ini adalah yang biasa dijumpai pada sesebuah laman web. Ia membenarkan seseorang penyerang untuk memasukkan atau memuatnaik ‘remote file’ (malicious file/code) yang diingini kebiasaannya melalui skrip pada pelayan (server) web tersebut atau laman web itu sendiri. Kelemahan itu berlaku disebabkan oleh penggunaan input pengguna yang dibekalkan tanpa pengesahan yang betul. Dengan kaedah ini anda juga boleh mengubah tampilan sesebuah laman web (deface), mendapatkan akses kepada server serta melakukan apa jua yang diingini. Anda boleh mencari kelemahan biasa ini dengan mengggunakan Google Dork seperti yang telah ditunjuk ajar oleh Janjang atau anda boleh rujuk 7 Kaedah Popular Menggunakan Google Untuk Menggodam.

Susah nak faham?

RUJUK:

Iklan Google

1. freetechexams.com

2. imperva.com

2. Local File Inclusion (LFI)
Ia adalah sebuah proses memasukkan/memuatnaik fail ke dalam pelayan melalui pelayar web.
RUJUK:

1. Hakipedia

Iklan Google

2. r00tsecurity

Video Tutorial -> LFI

3. Directory Traversal Attack
Kaedah ini adalah satu bentuk exploit HTTP yang membenarkan penyerang untuk mendapatkan akses kepada direktori terlarang. Biasanya serangan dilancarkan melalui pelayar web. Kaedah ini juga dikenali sebagai ../ atau .. (do not slash) attack. Matlamat serangan ini adalah untuk mendapatkan akses kepada fail sulit yang terletak pada pelayan web dengan cara keluar dari direktori ‘root’ menggunakan –do not slash-. Tak susah pun nak faham kan? err.. kan?

RUJUK -> Wikipedia

Iklan Google

4. SQL Injection
Tutorial dan penerangan lengkap mengenai SQL Injection telah dikeluarkan oleh Janjang. Anda boleh rujuk beberapa siri mengenai SQL Injection dalam blog ini.
Rujuk Siri Pertama -> Asas SQLi – Tutorial S1

5. Cross Site Scripting (XSS)
Rujuk definisi Cross Site Scripting (XSS) di sini -> Apa Itu Cross Site Scripting (XSS)?

Diharap anda mendapat sedikit gambaran cara kerja bagaimana sesebuah laman web itu digodam. Kaedah-kaedah umum ini masih lagi relevan untuk digunakan sehingga hari ini dan pelbagai ‘automated tools’ telah dicipta untuk memudahkan ia untuk digunakan. Sebagai contoh Havij untuk SQL Injection dan Acunetix untuk kelengkapan pengimbas kelemahan pada laman web.

Iklan Google
Arya Putra
Arya Putrahttps://omghackers.com/
A regular tech blogger who have passions for cats. I will not put my trust on anybody who hated them, doesn't matter if they are my friends or family. I have a dream where I am the owner of a Cat Cafe. Help me achieve it by hiring me as your reviewer. For any review inquiries, you can contact me at arya@omghackers.com

Artikel Terkini

spot_imgspot_img

Artikel Berkaitan

spot_imgspot_img