Kamis, 25 Agustus 2011

Teknik Hacking : File inclusion

Kamis, Agustus 25, 2011  alkaaf  1 comment

Akhirnya saya mengerti juga teknik teknik yang digunakan oleh pala hacker untuk menemukan sebuah bug dalam suatu server. ada banyak teknik yang dapat dilakukan seperti brute force, XSS, File inclusion, atau yang lain lagi.

yang akan saya bahas kali ini adalah teknik file inclusion. tepatnya  local file inclusion (LFI).

local file inclusion merupakan teknik membaca file apa saja yang terdapat dalam server tersebut. hal ini tentunya sangat beresiko. kesalahan yang menyebabkan hal ini terjadi adalah kesalahan dalam pemrograman web yang mana berfungsi sebagai reader.

setelah mengetahiu apa itu file inclusion, masi kita simak struktur url sebagai berikut.

http://www.example.com/index.php?page=about.php


Saya jelaskan satu persatu.
1. bagian yang di warnai merah merupakan protokol HTTP yang digunakan untuk halaman web (port default : 80)
2. hijau : merupakan alamat server yang akan di buka
3. biru : merupakan sebuah file utama (home) sekaligus sebagai reader.
4. kuning : tulisan "page" merupakan sebuah variabel yang nantinya di isi string "about.php" agar "index.php" membaca file tersebut.

nah... disinilah letak kecacatannya. seorang kakak kelas saya menemukan sebuah hole yang cokup sangat besar pada website sebuah universitas di surabaya yang mengakibatkan dia dapat mengganti susunan rangking penerimaan mahasiswa baru. darimanakan hoe tersebut berada? ya di url nya lah yang mengandung hole yang cukup besar.

beginilah isi file index.php yang biasanya dan sangat rawan terhadap file inclusion:
skrip di atas akan menginclude kan halaman yang berada di variabel page. kelemahan tersebut bukan hanya pada bahasa php saja, melainkan hampir semua pemrograman web seperti perl yang dibungkus oleh cgi, asp, dan lain lain.

nah yang menjadi masalah adalah, file tersebut dapat mengakses file apapun yang terletak di server anda. termasuk "index.php?page=/../../../../etc/passwd"

atau minimal CMS seperti jooml* dengan mengetikkan "index.php?page=configuration.php"

gawatlah akun admin kita. hehe... bagaimana lagi kalo si anonim tersebut mengupload webshell, haha... kalo si White Hat pasti melaporkannya ke admin. kalo si Black Hat?. entahlah nasibmu...

Widget for blogger by Way2Blogging

Posted in: ,

+ komentar + 1 komentar

Reply
JAV INDO DWONLOAD
25 Agustus 2011 pukul 21.15

waw pancen onok onok ae koncoku iki............... ni info bro,,,,,,,,,,,,,,,

Terimakasih JAV INDO DWONLOAD atas Komentarnya di Teknik Hacking : File inclusion

Posting Komentar

Give Ur eXPerience about this eXPerience...

Ads