Kesalahan coding yang dilakukan oleh seorang WebEr akan berakibat fatal, Yakinkah anda bahwa website anda benar-benar aman dari attacker??? Naikan level keamanan website anda sekarang juga. Enjoy this!!!
Monday, November 15, 2010
Wednesday, September 22, 2010
Auditing & hardening Local file Inclusion (LFI)
Setelah beberapa jam coding, akhirnya selesai juga. Yach, mungkin cara ini juga digunakan oleh WebEr lainnya, tapi mungkin saja beda penulisan code tapi memiliki tujuan yang sama.
Local File Inclusion terjadi karena penggunaan metode GET yang digunakan ntuk menginclude atau memanggil halaman web pada halaman index/utama.
Lebih jelasnya ini adalah contoh source code yang vulnerability LFI:
Untuk menutup celah ini, modifikasi codenya menjadi:
Semoga bermanfaat!^_^)
Local File Inclusion terjadi karena penggunaan metode GET yang digunakan ntuk menginclude atau memanggil halaman web pada halaman index/utama.
Lebih jelasnya ini adalah contoh source code yang vulnerability LFI:
echo("Home | ");
echo("Contact Us | ");
echo("Services");
if(empty($_GET[page])){
$page = "home.php";
}else{
$page = $_GET[page].".php";
}
include("$page");
Untuk menutup celah ini, modifikasi codenya menjadi:
echo("Home | ");
echo("Contact Us | ");
echo("Services");
$hal = array(
0 => "home",
1 => "contact",
2 => "services"
);
for($x=0;$x<=2;$x++){
if(empty($_GET[page])){
$page = "home.php";
include("$page");
exit;
}elseif ($_GET[page] == $hal[$x]){
$page = $_GET[page].".php";
include("$page");
exit;
}
}
Semoga bermanfaat!^_^)
Sunday, September 19, 2010
Meminimalis halaman web
Setelah melakukan share sama teman2 di basecamp, ternyata masih bisa diminimalkan lagi hingga gak terlalu ribet, alias banyak halaman yang harus dibuat. Contoh terdapat 3 halaman web dan akan digunakan metode GET untuk diinclude ke halaman index.
Filename: index.php
Tinggal ditambahkan halaman home.php dan profile.php aja.
Filename: index.php
$page = $_GET[page];
if(empty($page)){
$page="home.php";
}else{
$page=$_GET[page];
}
echo("Home | ");
echo("Profile | ");
echo("");
");
include("$page");
echo("
Tinggal ditambahkan halaman home.php dan profile.php aja.
Saturday, September 18, 2010
h4ck3r 1n51d3
Penggunaan array untuk menyeleksi inputan:
if($_POST[submit]){
$hacker = array(
0 => "d43ngcyb3r",
1 => "Expl01t3r",
2 => "4nt_bl4ck",
3 => "k1n9_cr0c0d1l3",
4 => "th3_c4v4l3r4"
);
for($x=0;$x<=30;$x++){
if($hacker[$x] == $_POST[nama]){
echo("Find them!");
}
}
echo("inCorrect");
}
Subscribe to:
Posts (Atom)
