Hari ni kita akan telusuri beberapa kaedah umum yang biasa digunakan untuk menggodam sesebuah laman web. Mr.Hac tidak akan mengeluarkan tutorial untuk melakukannya buat masa ini, tetapi Mr.Hac akan terangkan secara umum maksud beberapa kaedah yang digunapakai. Antara kaedah-kaedah tersebut adalah:
1. Remote File Inclusion (RFI)
Lubang-lubang kelemahan (vulnerabilities) seperti ini adalah yang biasa dijumpai pada sesebuah laman web. Ia membenarkan seseorang penyerang untuk memasukkan atau memuatnaik ‘remote file’ (malicious file/code) yang diingini kebiasaannya melalui skrip pada pelayan (server) web tersebut atau laman web itu sendiri. Kelemahan itu berlaku disebabkan oleh penggunaan input pengguna yang dibekalkan tanpa pengesahan yang betul. Dengan kaedah ini anda juga boleh mengubah tampilan sesebuah laman web (deface), mendapatkan akses kepada server serta melakukan apa jua yang diingini. Anda boleh mencari kelemahan biasa ini dengan mengggunakan Google Dork seperti yang telah ditunjuk ajar oleh Janjang atau anda boleh rujuk 7 Kaedah Popular Menggunakan Google Untuk Menggodam.
Susah nak faham?
RUJUK:
2. imperva.com
2. Local File Inclusion (LFI)
Ia adalah sebuah proses memasukkan/memuatnaik fail ke dalam pelayan melalui pelayar web.
RUJUK:
1. Hakipedia
2. r00tsecurity
Video Tutorial -> LFI
3. Directory Traversal Attack
Kaedah ini adalah satu bentuk exploit HTTP yang membenarkan penyerang untuk mendapatkan akses kepada direktori terlarang. Biasanya serangan dilancarkan melalui pelayar web. Kaedah ini juga dikenali sebagai ../ atau .. (do not slash) attack. Matlamat serangan ini adalah untuk mendapatkan akses kepada fail sulit yang terletak pada pelayan web dengan cara keluar dari direktori ‘root’ menggunakan –do not slash-. Tak susah pun nak faham kan? err.. kan?
RUJUK -> Wikipedia
4. SQL Injection
Tutorial dan penerangan lengkap mengenai SQL Injection telah dikeluarkan oleh Janjang. Anda boleh rujuk beberapa siri mengenai SQL Injection dalam blog ini.
Rujuk Siri Pertama -> Asas SQLi – Tutorial S1
5. Cross Site Scripting (XSS)
Rujuk definisi Cross Site Scripting (XSS) di sini -> Apa Itu Cross Site Scripting (XSS)?
Diharap anda mendapat sedikit gambaran cara kerja bagaimana sesebuah laman web itu digodam. Kaedah-kaedah umum ini masih lagi relevan untuk digunakan sehingga hari ini dan pelbagai ‘automated tools’ telah dicipta untuk memudahkan ia untuk digunakan. Sebagai contoh Havij untuk SQL Injection dan Acunetix untuk kelengkapan pengimbas kelemahan pada laman web.