Hacking merupakan salah satu ancaman tersendiri yang saat ini mulai sangat berkembang untuk setiap bisnis, baik besar maupun kecil. Kegiatan ha4cking ini sendiri, bisa berupa pencurian data pribadi, mengendalikan komputer kalian, atau bahkan mematikan situs yang kalian miliki, peretas dapat secara serius mempengaruhi bisnis apa pun, kapan saja dengan berbagai cara.
Hacking situs / website adalah salah satu teknik yang paling umum digunakan oleh BlackHats dan juga Hacktivists. Namun yang jadi pertanyaan, apakah hanya dengan DDOSing atau Remote File Inclusion, situs bisa diretas secara menyeluruh?. Perlu kalian ketahui, bahwa ada banyak cara untuk mengendalikan atau menurunkan situs web. Di bawah ini saya akan membahas sepuluh cara paling populer yang dapat mengancam keamanan sebuah situs, dan bisnis kalian. Teknik h4cking ini sendiri mencakup lebih dari 90% semua Teknik aacking Situs Web.
1. Injection Attack
Serangan injeksi bisa terjadi bila ada kekurangan atau kesalah tertentu pada Database SQL yang kalian buat, perpustakaan, atau bahkan sistem operasi itu sendiri. Jika hal tersebut tidak kalian perhitungkan dengan benar, katakanlah apakah pengecekan kata sandi tidak cukup ketat, maka dalam hal ini Peretas dapat menggunakan celah tersebut untuk mendapatkan akses untuk menuju ke suatu informasi rahasia dengan melakukan serangan pada sistem.
Mereka mungkin mendapatkan suatu akses yang tidak sah ke data pribadi seperti nomor jaminan sosial, nomor kartu kredit atau data keuangan lainnya. Serangan penyangkalan seperti injeksi SQL (SQL Injection) bisa membuat suatu perintah dan metode untuk mengakses database yang sangat vital. SQL menggunakan query yang sangat sederhana untuk mendapatkan informasi yang diminta oleh pengguna, yang membuat proses h4cking bisa berjalan dengan relatif mudah.
2. Cross Site Scriptting Attack
Teknik Cross Site Scripting juga dikenal sebagai serangan XSS, teknik ini terjadi disaat sebuah aplikasi, URL "get request", atau paket file yang dikirim ke jendela browser web yang melewati proses validasi. Setelah skrip XSS dipicu, properti yang menipu tersebut, akan membuat pengguna internet yakin bahwa laman yang direkomendasikan dari situs web tertentu, merupakan jalan atyau cara yang sah meskipun telah disusupi oleh para peretas.
Misalnya, katakanlah sebuah situs web memiliki skrip XSS di dalamnya, pengguna mungkin melihat jendela munculan yang meminta informasi kontak dan data sensitif lainnya, walaupun sebenarnya situs web mungkin tidak ada hubungannya dengan hal itu.
Dalam contoh lain, si h4cker bisa menjalankan perintah karena ID sesi pengguna akan dikirim ke situs penyerang, sehingga dalam hal ini h4cker bisa membajak sesi pengguna yang saat itu sedang berjalan.
Artinya, dia mungkin bisa menggunakan cookies ini untuk membuat peramban akan berpikir bahwa dia sebenarnya adalah korbannya dan mendapatkan akses yang lengkap dan tidak terbatas ke akunnya (bentuk pencurian identitas).
3. Broken Authentication And Session Management Attack
Jika sistem otentikasi pengguna situs kalian lemah, peretas mungkin bisa memanfaatkan sepenuhnya. Sistem otentikasi melibatkan kata sandi, manajemen kunci, ID sessi, dan cookies yang memungkinkan si h4cker dapat melakukan pengaksesan akun kalian dari komputer manapun (selama validasinya).
Jika seorang hacker memanfaatkan sistem manajemen otentikasi dan sesi, mereka dapat menganggap identitas pengguna, hal ini sangat mirip dengan teknik nomor 2. Sebelum kalian membuat situs, ada baiknya kalian harus memperhatikan pertimbangan dan pertanyaan berikut ini :
- Apakah kredensial pengguna lemah (misalnya disimpan menggunakan hashing atau enkripsi)?
- Kebijakan kredensial dapat ditebak atau ditimpa oleh fungsi pengelolaan akun yang lemah (misalnya pembuatan akun, ganti kata sandi, pemulihan kata sandi, ID sesi lemah)?
- Akses sessi terbuka di URL (misalnya penulisan ulang URL)?
- Apakah ID sesi rentan terhadap serangan fiksasi sesi?
- Do session ID timeout dan bisakah pengguna log out?
4. ClickJacking Attack
Clickjacking juga bisa disebut dengan UI Redress Attack, Teknik ini adalah ketika seorang h4cker menggunakan beberapa lapisan buram untuk mengelabui pengguna agar mengklik lapisan paling atas tanpa mereka sadari. Yang saya maksud dengan hal ini adalah, si h4cker mampu menampilkan kontennya sendiri di situs web "naif". Mungkin seperti link adf.ly, social media, atau bahkan website dengan konten video. Dengan demikian penyerang adalah "pembajakan" klik yang tidak dimaksudkan untuk halaman yang sebenarnya, tapi untuk halaman dimana penyerang menginginkannya.
Contoh lain, dengan menggunakan kombinasi stylesheet, iframe, dan kotak teks yang dibuat dengan hati-hati, pelaku dapat menyebabkan pengguna merasa yakin bahwa mereka mengetikkan kata kunci untuk rekening bank mereka, namun sebenarnya mengetik ke dalam bingkai tak terlihat yang dikendalikan oleh penyerang. Situs web ini mungkin berfungsi normal bagi pengguna yang tidak menaruh curiga, namun di balik layar informasi penting mereka akan berada di tangan penyerang.
5. DNS Cache Poisoning
DNS Cache Poisoning, biasanya melibatkan data cache lama yang menurut kalian tidak lagi ada di komputer yang kalian gunakan, namun sebenarnya hal ini merupakan file yang sangat "beracun". Teknik ini juga, biasanya dikenal sebagai DNS Spoofing, h4cker dapat mengidentifikasi kerentanan dalam sistem nama domain, yang memungkinkan mereka mengalihkan lalu lintas dari server legit ke situs web palsu atau server lainnya yang telah diatur si penyerang. Bentuk serangan ini dapat diprogram untuk menyebar dan mereplikasi dirinya dari satu server DNS ke DNS lain, "meracuni" semua yang ada di jalurnya.
Sebenarnya, pada tahun 2010, serangan DNS Cache Poisoning benar-benar membahayakan Great Firewall of China (GFC - Ya, itu adalah sesuatu) untuk sementara dan menyensor konten tertentu di Amerika Serikat sampai masalahnya terpecahkan.
6. Social Engineering Attack
Social Engineering Attack atau Serangan rekayasa sosial secara teknis bukanlah merupakan suatu teknik "h4cking". Hal ini bisa dijelaskan, ketika seseorang pertama kali tahu apa sebenarnya teknik ini, dan mencoba mengaplikasikannya kedunia h4cking, merekapun terkejut bahwa itu benar-benar bekerja. Begitu juga dengan saya pribadi, tapi bisa dikatakan bahwa teknik ini memang bisa dikatakan cukup berhasil.
Serangan ini terjadi ketika kalian membocorkan informasi pribadi dengan itikad baik, seperti nomor kartu kredit, melalui interaksi online yang umum seperti email, obrolan, situs media sosial, atau hampir situs web apa pun. Masalahnya, tentu saja, adalah kalian tidak mengerti apa yang kalian pikirkan dan apa yang kalian kerjakan saat itu (Scam Site).
Contoh klasik dari serangan rekayasa sosial adalah tipuan Microsoft tech support dan fake login facebook. Penipuan Microsoft tech support terjadi ketika seseorang dari call center berpura-pura menjadi anggota dukungan teknis MS yang mengatakan bahwa komputer kalian lamban dan / atau terinfeksi, dan dapat diperbaiki dengan mudah serta dengan biaya yang free, tentu saja. Mengingat kebanyakan komputer memang sangat lambat dan terkadang hang, scam ini cukup bagus untuk dilakukan para pelaku penyerangan. Tentu saja, itu tidak perlu tentang uang semata, namun para pelaku secara "long time" akan mengobrak abrik isi komputer kalian .
7. Symlinking An Insider Attack
Sebuah symlink (Symbolic Link) pada dasarnya adalah file khusus yang "menunjuk ke" sebuah hard link pada sistem file yang terpasang. Serangan symlink terjadi ketika seorang h4cker memposisikan symlink sedemikian rupa sehingga pengguna atau aplikasi yang mengakses endpoint berpikir bahwa mereka mengakses file yang benar saat mereka benar-benar tidak. (Baca lagi)
Jika file endpoint adalah output, konsekuensi dari serangan symlink adalah bahwa hal itu dapat dimodifikasi alih-alih file di lokasi yang diinginkan. Modifikasi pada file endpoint bisa mencakup menambahkan, menimpa, merusak, atau bahkan mengubah perizinan.
Artinya, pengguna mungkin melakukan satu hal, tapi sesuatu hal yang lain yang tidak diinginkan akan benar-benar terjadi. Dalam variasi yang berbeda dari serangan symlinking, seorang h4cker mungkin dapat mengendalikan perubahan pada sebuah file, memberikan akses lanjutan, memasukkan informasi palsu, mengungkapkan informasi sensitif atau merusak file dan merusak database sistem yang bersifat vital.
8. Cross Site Request Forgery Attack
Cross Site Request Forgery Attack terjadi disaat pengguna masuk ke sesi (atau akun) dan dalam kesempatan ini peretas akan melakukan suatu aktivitas, untuk dapat mengirimkan permintaan HTTP palsu, guna untuk mengumpulkan informasi cookie yang menjadi korbannya.
Dalam kebanyakan kasus, cookie tetap berlaku selama pengguna atau penyerang tetap masuk ke akun. Inilah sebabnya mengapa situs meminta kalian untuk keluar dari akun saat kalian telah selesai dan menutup jendela aktif dan hal ini sering dikenal dengan pengakhiran sessi
Dalam kasus lain, saat sesi peramban pengguna disusupi, peretas dapat mengajukan permintaan ke aplikasi yang tidak dapat membedakan antara pengguna yang valid dengan seorang peretas. Pencurian identitas lain, si hacker akan membingungkan server seperti siapa dirinya sebenarnya.
9. Remote Code Execution Attack
Yang paling menghancurkan dalam keseluruhan daftar diatas adalah Remote Code Execution Attack. Serangan ini merupakan serangan yang memanfaatan situasi dari hasil kelemahan sisi server atau sisi klien.
Komponen yang rentan dapat mencakup perpustakaan, direktori jarak jauh di server yang belum dipantau, kerangka kerja, dan modul perangkat lunak lainnya yang dijalankan berdasarkan akses pengguna yang terotentikasi. Aplikasi yang menggunakan komponen ini selalu diserang melalui hal-hal seperti skrip, malware, dan command line kecil yang mengekstrak informasi.
Dalam serangan ini, h4cker pada dasarnya bisa mendapatkan akses lengkap ke server website itu sendiri. Bagaimana hal ini bisa dikatakan sangat menghancurkan? Teknik ini, biasanya akan memberinya akses ke setiap bit dan byte informasi yang tersimpan dalam database (Jika permintaan itu berasal dari server itu sendiri, mengapa ditolak? Itulah yang dibuatnya).
Dia mungkin juga mendapatkan akses ke kode aktual situs web sehingga browser kemudian menunjukkan pengguna tersebut dan si h4cker akan benar-benar dapat menghapus situs web tersebut, mengacaukan tautan dan segenap isinya.
10. DDoS Attack
Teknik yang paling populer dan paling banyak digunakan sampai saat ini, tidak lain adalah serangan DDoS (Distributed Denial of Services), teknik ini merupakan teknik di mana server atau layanan mesin dibuat tidak tersedia bagi penggunanya / tidak dapat diakses.
Agenda kampanye DDoS yang biasa adalah untuk sementara hanya mengganggu atau benar-benar mencatat sistem yang berhasil berjalan.
Contoh paling umum dari serangan DDoS bisa mengirimkan banyak permintaan URL ke situs web atau halaman web dalam jumlah yang sangat besar. Hal ini tentunya akan menyebabkan bottlenecking di sisi server karena CPU akan kehabisan sumber daya.
Serangan denial-of-service dianggap sebagai pelanggaran terhadap kebijakan penggunaan Internet Architecture Board, dan juga melanggar kebijakan penggunaan yang dapat diterima dari hampir semua penyedia layanan Internet.
Bagaimana Cara Mendalaminya gan?
ReplyDelete