SQL Injection, DOS,Social Enginering,Deface

jelaskan secara detail tentang :

a. SQL Injection

Injeksi SQL atau SQL Injection memiliki makna dan arti yaitu sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain. (Wikipedia)

SQL injection adalah jenis aksi hacking pada keamanan komputer di mana seorang penyerang bisa mendapatkan akses ke basis data di dalam sistem. SQL injection yaitu serangan yang mirip dengan serangan XSS dalam bahwa penyerang memanfaatkan aplikasi vektor dan juga dengan Common dalam serangan XSS.

SQL injection exploits dan sejenisnya adalah hasil interfacing sebuah bahasa lewat informasi melalui bahasa lain . Dalam hal SQL injection, sebuah bahasa pemrograman seperti PHP atau Perl mengakses database melalui SQL query. Jika data yang diterima dari pengguna akhir yang dikirim langsung ke database dan tidak disaring dengan benar, maka yang penyerang dapat menyisipkan perintah SQL nya sebagai bagian dari input.

b. DOS

DOS adalah (merupakan) sistem operasi yang menggunakan interface command-line yang digunakan para pengguna komputer pada dekade tahun 1980-an. Untuk fasilitas booting komputer dan menjalankan beberapa aplikasi software, misalnya WS dan Lotus. Masih banyak fungsi DOS yang digunakan pada zaman sekarang, terutama dalam menyelesaikan beberapa troubleshooting pada hardware komputer. Walaupun bisa juga dilakukan pada sistem operasi berbasis GUI. Berikut ini fungsi-fungsi DOS.
• Mengorganisasikan atau mengendalikan kegiatan komputer
• Mengatur memori
• Mengatur proses input dan output data
• Management file
• Management directory
DOS tidak membedakan antara penulisan command dengan huruf kecil maupun kapital.

ANATOMI DOS
Terdiri dari 3 bagian utama :
1. DOS kernel
2. DOS BIOS
3. Command Processor

DOS KERNEL
Berfungsi sebagai penghubung antara programmer dengan DOS yang menyediakan sejumlah service, sehingga programmer dapat menggunakan service yang disediakan oleh DOS ini. Program-program aplikasi yang memanfaatkan DOS service ini biasanya ditulis dengan menggunakan bahasa mesin atau bahasa rakitan (assembly language).

DOSBIOS
Merupakan control program dari OS yang mempunyai tugas menangani operasi-operasi I/O (input/output) yang lainnya. Dibentuk dari file IBMBIO.COM ( untuk IBM PC-DOS ) atau file IO.SYS ( untuk MS-DOS ) dan rutin BIOS di ROM yang dibaca dan diletakkan di memori membentuk DOSBIOS. FIle IBMBIO.COM atau IO.SYS terdapt di diskette DOS dengan atribut hidden.

COMMAND PROCESSOR
Bila kita hidupkan komputer yang memiliki sistem operasi DOS, maka kita akan melihat di layar :
C:\>
Inilah yang disebut Command Prompt
Perintah-perintah (commands) pada PC-DOS atau MS-DOS dikelompokkan menjadi 2 :
o Internal Command
Yaitu perintah-perintah yang dapat dijalankan langsung dari prompt hanya dengan file command.com (bersama IO.SYS dan MSDOS.SYS tentunya).

SEJARAH PERKEMBANGAN MS-DOS

1. DOS versi 1.0
Paling awal dan sederhana dengan kemampuan yang terbatas. Perbaikannya versi 1.1 yang mampu mengakses disk drive dengan kapasitas 320 kilobyte.

2. DOS versi 2.0
Muncul dengan nama PC-DOS 2.0 pada bulan Maret 1983 untuk pemakaian IBM PC/XT. Dan telah ditambahkan perintah yang berfungsi untuk mengeset operasi tanggal dan waktu yang berlaku pada suatu negara.

3. DOS versi 3.0, versi 3.1, versi 3.2 dan versi 3.3

4. DOS versi 4.0 dan versi 4.01
Telah ditambahkan fasilitas DOS Shell, sehingga akan memberikan suatu tampilan shell yang lebih menarik. DOS versi 4.01 merupakan perbaikan dari versi 4.0 yang banyak terjadi kesalahan.

6. DOS versi 5.0
Muncul pada tahun 1991, dengan kemampuan yang makin bertambah. Misalnya UNDELLETE, UNFORMAT dan kemampuan dalam menangani memori.

7. DOS versi 6.0
Muncul pada bulan Maret 1993, dan merupakan versi terbaru dari MS_DOS

c. Social Enginering

Social engineering adalah pemerolehan informasiatau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineeringumumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Faktor utama

Di balik semua sistem keaman dan prosedur-prosedur pengamanan yang ada masih terdapat faktor lain yang sangat penting, yaitu : manusia.

Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistemkeamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan.

Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.

Metode

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx seorang penguasa hacker.

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

d. Deface

deface adalah Aktifitas yang mengotori, “menodai”, merubah inti dari isi halaman suatu website dengan tulisan, gambar, ataupun link yang membuat suatu link menjadi melenceng dari perintah yang kita buat. Sedangkan pengertian dari web deface adalah melakukan perubahan pada halaman web depan pada situs-situs tertentu, dilakukan oleh para hacker atau cracker untuk mengganggu informasi yang dimunculkan pada halaman situs yang dimaksud. Gampangnya web deface adalah menambahkan gambar, tulisan ke suatu web milik orang lain tanpa sepengetahuan adminnya.

Alasan terjadinya web deface antara lain :

  • Dendam atau perasaan tidak puas
  • Intrik politik, ekonomi, sosial
  • Penyampai pesan tertentu
  • Pengen eksis
  • Iseng
  • Prestige <gengsi> dalam golongan
  • Ada kenikmatan tersendiri <merasakan tertantang>

dan mungkin bagi kalian yang sering mendeface web punya alasan yang lain,

Jenis-jenis pen-Deface-an

  • full of page

Artinya mendeface satu halaman penuh tampilan depan alias file index atau file lainnya yang akan diubah (deface) secara utuh, artinya untuk melakukan ini biasanya  seorang ‘defacer’ umumnya harus berhubungan secara ‘langsung’ dengan box (mesin) atau usaha mendapatkan priveleged terhadap mesin, baik itu root account or sebagainya yang memungkinkan defacer dapat secara Interaktif mengendalikan file indek dan lainnya secara utuh.umumnya dengan memanfaatkan kelemahan kelemahan pada services services yang berjalan di mesin, sehingga dapat melakukan pengaksesan ke mesin.

  • Sebagian atau hanya menambahi

Artinya, defacer mendeface suatu situs tidak secara penuh, bisa hanya dengan menampilkan beberapa kata, gambar atau penambahan script script yang mengganggu, hal ini umumnya hanya akan memperlihatkan tampilan file yang di deface menjadi kacau dan umumnya cukup mengganggu, defacer biasanya mencari celah baik dari kelemahan scripting yang digunakan dengan XSS injection, bisa dengan SQL atau database injection

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s