10 cara hack website dan contoh penerapannya

Hacker dapat menyerang dengan berbagai cara, tapi inilah sepuluh cara paling populer yang dapat mengancam keamanan situs Anda, dan bisnis Anda:

10. SERANGAN SQL INJEKSI

Injection Attacking terjadi bila ada kekurangan pada Database SQL, SQL libraries, atau bahkan sistem operasi itu sendiri. Karyawan membuka file yang tampaknya kredibel dengan perintah tersembunyi, atau "suntikan", tanpa sadar.

Dengan melakukannya, mereka telah mengizinkan peretas mendapatkan akses tidak sah ke data pribadi seperti nomor jaminan sosial, nomor kartu kredit atau data keuangan lainnya.

TEKNIK INJEKSI ATURAN CONTOH:

Si hacker memodifikasi parameter id di browser mereka untuk mengirim: "atau" 1 "=" 1. Ini mengubah makna kueri untuk mengembalikan semua catatan dari basis data akun ke peretas, bukan hanya pelanggan yang dimaksud.

9. PENYELESAIAN SIKLUS CROSS SITE

Cross Site Scripting, juga dikenal sebagai serangan XSS, terjadi saat sebuah aplikasi, url "get request", atau paket file dikirim ke jendela browser web dan melewati proses validasi. Setelah skrip XSS dipicu, properti yang menipu membuat pengguna yakin bahwa laman yang dikompromikan dari situs web tertentu adalah sah.

Misalnya, jika www.example.com/abcd.html memiliki skrip XSS di dalamnya, pengguna mungkin melihat jendela munculan yang meminta info kartu kredit dan info sensitif lainnya.

Hal ini menyebabkan ID sesi pengguna dikirim ke situs web penyerang, yang memungkinkan si hacker membajak sesi pengguna saat ini. Itu berarti hacker memiliki akses ke kredensial admin situs web dan dapat mengambil kendali penuh atas hal itu. Dengan kata lain, hack itu.

8. SERANGAN OTENTIKASI OTAKSI DAN SESI ROKOK

Jika sistem otentikasi pengguna situs Anda lemah, peretas bisa memanfaatkan sepenuhnya.

Sistem otentikasi melibatkan kata sandi, manajemen kunci, ID sesi, dan cookie yang memungkinkan hacker mengakses akun Anda dari komputer mana pun (selama validasinya).

Jika seorang hacker memanfaatkan sistem manajemen otentikasi dan sesi, mereka dapat menganggap identitas pengguna.

Menakutkan memang.

Tanyakan pada diri Anda pertanyaan-pertanyaan ini untuk mengetahui apakah situs Anda rentan terhadap serangan otentikasi dan sesi manajemen yang rusak:

Apakah kredensial pengguna lemah (misalnya disimpan menggunakan hashing atau enkripsi)?

Dapatkah kredensial dapat ditebak atau ditimpa oleh fungsi pengelolaan akun yang lemah (misalnya pembuatan akun, ganti kata sandi, pemulihan kata sandi, ID sesi lemah)?

• Apakah ID sesi terpapar di URL (misalnya penulisan ulang URL)?
• Apakah ID sesi rentan terhadap serangan fiksasi sesi?
• Apakah sesi sesi timeout dan bisa pengguna log out?
• Jika Anda menjawab "ya" untuk pertanyaan-pertanyaan ini, situs Anda bisa rentan terhadap hacker.

7. KLIK SERANGAN

Clickjacking, juga disebut UI Redress Attack, adalah ketika seorang hacker menggunakan beberapa lapisan buram untuk mengelabui pengguna agar mengklik lapisan paling atas tanpa mereka sadari.

Dengan demikian penyerang adalah "pembajakan" klik yang tidak dimaksudkan untuk halaman yang sebenarnya, tapi untuk halaman dimana penyerang menginginkannya.

Misalnya, dengan menggunakan kombinasi stylesheet, iframe, dan kotak teks yang dibuat dengan hati-hati, pengguna dapat dipercaya untuk mengetik kata sandi untuk rekening bank mereka, namun sebenarnya mengetik ke dalam bingkai tak terlihat yang dikendalikan oleh penyerang.

CONTOH KLIK JACKING:

Inilah contoh hidup, tapi aman tentang bagaimana kerja clickjacking:

http://attacker.kotowicz.net/alphabet-hero/game.html

Dan inilah video yang menunjukkan bagaimana kami membantu Twitter bertahan melawan serangan Clickjacking:

6. DNS CACHE POISONING

Keracunan Cache DNS melibatkan data cache lama yang menurut Anda tidak lagi ada di komputer Anda, namun sebenarnya "beracun".

Juga dikenal sebagai DNS Spoofing, hacker dapat mengidentifikasi kerentanan dalam sistem nama domain, yang memungkinkan mereka mengalihkan lalu lintas dari server legit ke situs web palsu dan / atau server.

Bentuk serangan ini bisa menyebar dan mereplikasi dirinya dari satu server DNS ke DNS lain, "meracuni segala sesuatu di jalan itu.

Sebenarnya, pada tahun 2010, serangan keracunan DNS benar-benar membahayakan Great Firewall of China (GFC) untuk sementara dan menyensor konten tertentu di Amerika Serikat sampai masalahnya terpecahkan.

5. SERANGAN TEKNIK SOSIAL

Serangan rekayasa sosial secara teknis bukanlah "hack".

Ini terjadi ketika Anda membocorkan informasi pribadi dengan itikad baik, seperti nomor kartu kredit, melalui interaksi online yang umum seperti email, obrolan, situs media sosial, atau hampir situs web apa pun.

Masalahnya, tentu saja, adalah Anda tidak mengerti apa yang Anda pikirkan.

Contoh klasik dari serangan rekayasa sosial adalah penipuan "dukungan teknologi Microsoft".

Ini terjadi ketika seseorang dari call center berpura-pura menjadi anggota dukungan teknis MS yang mengatakan bahwa komputer Anda lamban dan / atau terinfeksi, dan dapat diperbaiki dengan mudah - dengan biaya, tentu saja.

Berikut adalah artikel dari Wired.com tentang bagaimana seorang pakar keamanan bermain bersama dengan apa yang disebut orang dukungan teknis Microsoft.

4. SYMLINKING - SERANGAN INSIDER

Sebuah symlink pada dasarnya adalah file khusus yang "menunjuk ke" sebuah hard link pada sistem file yang terpasang. Serangan symlink terjadi ketika seorang hacker memposisikan symlink sedemikian rupa sehingga pengguna atau aplikasi yang mengakses titik akhir berpikir bahwa mereka mengakses file yang benar padahal sebenarnya tidak.

Jika file endpoint adalah output, konsekuensi dari serangan symlink adalah bahwa hal itu dapat dimodifikasi alih-alih file di lokasi yang diinginkan. Modifikasi pada file endpoint bisa mencakup menambahkan, menimpa, merusak, atau bahkan mengubah perizinan.

Dalam variasi yang berbeda dari serangan symlink, hacker mungkin dapat mengendalikan perubahan pada sebuah file, memberikan akses lanjutan, memasukkan informasi palsu, mengungkapkan informasi sensitif atau merusak atau menghancurkan file sistem atau aplikasi penting.

3. CROSS SITE REQUEST FORGERY ATTACKS

Permintaan Permintaan Lapang Forgery Attack terjadi saat pengguna masuk ke sesi (atau akun) dan peretas menggunakan kesempatan ini untuk mengirimkan permintaan HTTP palsu untuk mengumpulkan informasi cookie mereka.

Dalam kebanyakan kasus, cookie tetap berlaku selama pengguna atau penyerang tetap masuk ke akun. Inilah sebabnya mengapa situs web meminta Anda untuk keluar dari akun Anda saat selesai - segera akan segera berakhir sesi.

Dalam kasus lain, saat sesi peramban pengguna disusupi, peretas dapat mengajukan permintaan ke aplikasi yang tidak dapat membedakan pengguna yang valid dan peretas.

Dalam kasus ini, hacker membuat permintaan yang akan mentransfer uang dari akun pengguna, dan kemudian menyematkan serangan ini dalam permintaan gambar atau iframe yang tersimpan di berbagai situs di bawah kendali penyerang.

2. REMOTE CODE EXECUTION ATTACKS

Serangan Eksekusi Kode Jarak Jauh adalah hasil dari kelemahan sisi server atau sisi klien.

Komponen yang rentan dapat mencakup perpustakaan, direktori jarak jauh di server yang belum dipantau, kerangka kerja, dan modul perangkat lunak lainnya yang dijalankan berdasarkan akses pengguna yang terotentikasi. Aplikasi yang menggunakan komponen ini selalu diserang melalui hal-hal seperti script, malware, dan command line kecil yang mengekstrak informasi.

Komponen rentan berikut diunduh 22 juta kali di tahun 2011:

Apache CXF Authentication Bypass (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3451)

Dengan gagal memberikan tanda identitas, penyerang dapat meminta layanan web dengan izin penuh.

1. SERANGAN DDOS - DISTRIBUSI PENYELESAIAN LAYANAN

DDoS, atau Distributed Denial of Services, adalah tempat server atau layanan mesin dibuat tidak tersedia bagi penggunanya.

Dan saat sistem offline, peretas melanjutkan kompromi keseluruhan situs web atau fungsi spesifik situs web untuk keuntungan mereka sendiri.

Ini seperti memiliki mobil Anda dicuri saat Anda benar-benar perlu pergi ke suatu tempat dengan cepat.

Agenda kampanye DDoS yang biasa adalah untuk sementara mengganggu atau benar-benar mencatat sistem yang berhasil berjalan.

Contoh serangan DDoS yang paling umum bisa mengirim banyak permintaan URL ke situs web atau halaman web dalam jumlah yang sangat kecil. Hal ini menyebabkan bottlenecking di sisi server karena CPU hanya kehabisan sumber daya.

Serangan denial-of-service dianggap sebagai pelanggaran terhadap kebijakan penggunaan Internet Architecture Board yang benar, dan juga melanggar kebijakan penggunaan yang dapat diterima dari hampir semua penyedia layanan Internet.

Versi cetak

---