7 Cara Hacker Meretas Situs Website

aliyhafiz.com – halo sobat kembali dengan pembahasan cara meretas situs. Situs atau website merupakan sistem atau aplikasi yang memuat berbagai dokumen yang bisa diakses secara daring. Seperti halnya lemari dokumen, situs bisa disamakan dengan seperti itu. Oleh karena itu diperlukan kunci agar isi dokumen tidak bisa diambil oleh pihak yang tidak berhak.

Semakin berkembangnya pengguna internet tentu semain bertambah pula jumlah website atau situs yang daring. Setiap tahun jumlah situs yang diretas semakin bertambah jumlahnya. Karena celah keamanan website semakin kompleks dan mudah ditemukan dengan berbagai tool hacking yang ada. Pembahasan kali ini adalah tentang cara meretas situs. Apa yang dibahas di sini adalah untuk pembelajaran semata, pembaca diharapkan tidak mempraktikkan untuk tindakan tidak terpuji. Berikut ini adalah 7 cara meretas situs.

Cara Meretas Situs Part 1: SQL Injection

Cara pertama untuk meretas situs adalah dengan teknik hacking SQL Injection. Apa itu SQL Injection? Bagaimana hacker melakukannya?

Pengertian Serangan SQL Injection

Beberapa pengertian tentang SQL Injection;

  1. SQL Injeksi adalah teknik injeksi kode yang dapat merusak basis data Anda.
  2. SQL Injeksi adalah salah satu teknik peretasan web yang paling umum.
  3. SQL Injeksi adalah penempatan kode berbahaya dalam pernyataan SQL, melalui input halaman web.
  4. SQL Injeksi adalah kerentanan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke basis datanya. Ini umumnya memungkinkan penyerang untuk melihat data yang biasanya tidak dapat mereka ambil. Ini mungkin termasuk data milik pengguna lain, atau data lain yang dapat diakses oleh aplikasi itu sendiri. Dalam banyak kasus, penyerang dapat memodifikasi atau menghapus data ini, menyebabkan perubahan terus-menerus pada konten atau perilaku aplikasi.

Akibat Serangan SQL Injection

Serangan injeksi SQL yang berhasil dapat mengakibatkan akses tidak sah ke data sensitif, seperti kata sandi, detail kartu kredit, atau informasi pengguna pribadi. Banyak pelanggaran data profil tinggi dalam beberapa tahun terakhir telah menjadi hasil dari serangan injeksi SQL, yang menyebabkan kerusakan reputasi dan denda peraturan. Dalam beberapa kasus, seorang penyerang dapat memperoleh backdoor terus-menerus ke dalam sistem organisasi, yang mengarah ke kompromi jangka panjang yang bisa tanpa diketahui untuk waktu yang lama.

Contoh Serangan SQL Injection

Contoh pertama sangat sederhana. Ini menunjukkan, bagaimana seorang penyerang dapat menggunakan kerentanan SQL Injection untuk berkeliling keamanan aplikasi dan mengotentikasi sebagai administrator.

Skrip berikut adalah pseudocode yang dijalankan pada server web. Ini adalah contoh sederhana autentikasi dengan username dan password. Database contoh memiliki tabel yang bernama users dengan kolom berikut: username dan password.

meretas situs menggunakan SQL Injection

Bidang input ini rentan terhadap SQL Injection. Seorang penyerang bisa menggunakan perintah SQL dalam input dengan cara yang akan mengubah pernyataan SQL yang dijalankan oleh server database. Misalnya, mereka dapat menggunakan trik yang melibatkan kutipan tunggal dan mengatur bidang passwd ke:

Akibatnya, server database menjalankan kueri SQL berikut:

Karena pernyataan OR 1 = 1, klausa WHERE mengembalikan id pertama dari tabel users, apa pun nama username dan password. ID pengguna pertama dalam database sangat sering adalah administrator. Dengan cara ini, penyerang tidak hanya mem-bypass otentikasi tetapi juga mendapatkan hak administrator. Mereka juga dapat mengomentari sisa pernyataan SQL untuk mengontrol eksekusi query SQL lebih lanjut:

Baca Juga  14 Perangkat Keamanan Teknologi Informasi

Cara Meretas Situs Part 2 : Cross Site Scripting (XSS)

Cara kedua untuk meretas situs adalah dengan teknik hacking Cross Site Scripting (XSS). Apa itu SQL Injection? Bagaimana hacker melakukannya?

Pengertian XSS

Cross-site Scripting (XSS) adalah serangan injeksi kode sisi klien. Penyerang bertujuan untuk mengeksekusi skrip berbahaya di browser web korban dengan memasukkan kode berbahaya di halaman web atau aplikasi web yang sah. Serangan yang sebenarnya terjadi ketika korban mengunjungi halaman web atau aplikasi web yang mengeksekusi kode berbahaya. Halaman web atau aplikasi web menjadi wahana untuk mengirimkan skrip berbahaya ke browser pengguna. Kendaraan rentan yang biasa digunakan untuk serangan Script Lintas-situs adalah forum, papan pesan, dan halaman web yang memungkinkan komentar.

Cara Melakukan Serangan XSS

Ada dua tahap serangan XSS :

  1. Untuk menjalankan kode JavaScript berbahaya di peramban korban, penyerang harus terlebih dahulu menemukan cara untuk menyuntikkan kode jahat (payload) ke halaman web yang dikunjungi korban.
  2. Setelah itu, korban harus mengunjungi halaman web dengan kode berbahaya. Jika serangan diarahkan pada korban tertentu, penyerang dapat menggunakan rekayasa sosial dan / atau phishing untuk mengirim URL jahat ke korban.

Agar langkah pertama dimungkinkan, situs web yang rentan perlu memasukkan input pengguna secara langsung ke halaman-halamannya. Seorang penyerang kemudian dapat memasukkan string jahat yang akan digunakan dalam halaman web dan diperlakukan sebagai kode sumber oleh browser korban. Ada juga varian serangan XSS di mana penyerang memikat pengguna untuk mengunjungi URL menggunakan rekayasa sosial dan muatannya adalah bagian dari tautan yang diklik pengguna.

Berikut ini adalah potongan pseudocode sisi-server yang digunakan untuk menampilkan komentar terbaru pada halaman web:

meretas situs menggunakan XSS

Script di atas hanya mengambil komentar terbaru dari database dan memasukkannya ke halaman HTML. Diasumsikan bahwa komentar yang dicetak hanya terdiri dari teks dan tidak mengandung tag HTML atau kode lainnya. Ini rentan terhadap XSS, karena penyerang dapat mengirimkan komentar yang berisi muatan berbahaya, misalnya:

Server web menyediakan kode HTML berikut untuk pengguna yang mengunjungi halaman web ini:

Ketika halaman dimuat di browser korban, skrip berbahaya penyerang dieksekusi. Paling sering, korban tidak menyadarinya dan tidak dapat mencegah serangan seperti itu.

Cara Meretas Situs Part 3:Cookie Poisoning

Cara ketiga untuk meretas situs adalah dengan teknik hacking Cookie Poisoning. Apa itu Cookie Poisoning? Bagaimana bentuk serangannya?

Pengertian Cookie Poisoning

Cookie Poisoning adalah istilah yang diterapkan ketika penyerang memanipulasi atau “meracuni” cookie yang sah yang dikirim kembali ke server. Cookie yang diubah atau “diretas” dapat digunakan untuk mem-bypass mekanisme keamanan pengguna di server dan mengumpulkan informasi pribadi untuk tujuan seperti identitas atau pencurian perdagangan.

Contoh Cookie Poisoning

Contoh khas penggunaan cookie dimulai dengan pengguna memasukkan kredensial login mereka, yang diverifikasi oleh server. Server kemudian membuat sesi yang disimpan dalam database, dan cookie yang berisi ID sesi dikembalikan ke browser pengguna. Pada setiap permintaan berikutnya, browser mengembalikan data cookie, dan ID sesi diverifikasi oleh server terhadap database; jika valid, permintaan diproses. Ketika pengguna keluar dari situs, sesi biasanya dihancurkan pada sisi klien dan server, tetapi jika pengguna telah memeriksa opsi “Biarkan saya tetap masuk” atau “Ingat saya”, cookie akan tetap ada di komputer pengguna.

Cara Meretas Situs Part 4:Directory Traversal

Cara keempat untuk meretas situs adalah dengan teknik hacking Directory Traversal. Berikut ini penjelasa tentang Directory Traversal. Disimak ya..

Pengertian Directory Traversal

Directory Traversal atau Path Traversal adalah serangan HTTP yang memungkinkan penyerang mengakses direktori terbatas dan menjalankan perintah di luar direktori root server web. Direktori root adalah direktori khusus pada sistem file server di mana pengguna dibatasi. Pengguna tidak dapat mengakses apa pun di atas root ini.

Baca Juga  Brute Force : Pengertian, Pencegahan Dan Tool Yang Digunakan

Bagaimana Melakukan Directory Traversal

Dengan mengeksploitasi kerentanan Directory Traversal, penyerang keluar dari direktori root dan mengakses file di direktori lain. Akibatnya, penyerang mungkin melihat file yang dibatasi atau menjalankan perintah yang kuat di server Web, yang mengarah ke kompromi penuh dari server Web.

Kerentanan lintasan direktori dapat ada di server Web komersial itu sendiri atau dalam kode aplikasi Web yang dijalankan di server Web. Dalam hal kode aplikasi Web, halaman dinamis biasanya menerima input dari browser. Berikut adalah contoh permintaan HTTP seperti itu:

meretas situs menggunakan Directory Travelsal

Dalam contoh ini, halaman dinamis yang diminta oleh browser adalah;

Kemudian browser mengirimkan item parameter ke server Web dengan nama;

Ketika dijalankan oleh server Web

Mengambil file

Dari sistem file server Web, merendernya dan mengirimkannya kembali ke browser yang menyajikannya kepada pengguna. Seorang penyerang yang terampil akan segera mengidentifikasi potensi masalah dalam permintaan ini karena nilai parameter berakhir dengan ekstensi file, dalam hal ini “html”. Penyerang kemudian akan menganggap bahwa halaman dinamis mengambil file dari sistem file dan menggunakannya. Dengan mengirimkan URL berikut ke server Web:

Dan hasilnya akan menjadi seperti dibawah ini

Cara Meretas Situs Part 5: Denial of Service (DoS)

Cara kelima untuk meretas situs adalah dengan teknik hacking Denial of Service (DoS). Berikut ini penjelasa tentang serangan Denial of Service. Disimak ya..

Pengertian Denial of Service

Denial of Service atau DoS digunakan untuk menghabiskan sumber daya situs web sehingga pengguna yang perlu mengakses situs tidak dapat melakukannya. Serangan DoS mencegah pengguna mengakses layanan dengan membanjiri sumber daya fisik atau koneksi jaringannya. Serangan itu pada dasarnya membanjiri layanan dengan begitu banyak lalu lintas atau data sehingga tidak ada orang lain yang dapat menggunakannya sampai aliran jahat ditangani.

Bagaimana Melakukan Serangan DoS

Fokus utama serangan DoS adalah memperbesar kapasitas mesin yang ditargetkan, mengakibatkan penolakan layanan untuk permintaan tambahan. Beberapa vektor serangan serangan DoS dapat dikelompokkan berdasarkan kesamaannya.

Tidak seperti virus atau malware, serangan DoS tidak bergantung pada program khusus untuk dijalankan. Sebaliknya, ia mengambil keuntungan dari kerentanan yang melekat dalam cara jaringan komputer berkomunikasi. Misalkan;

Pengguna ingin mengunjungi situs e-commerce untuk berbelanja. Komputer pengguna mengirimkan paket kecil informasi ke situs web. Paket ini berfungsi sebagai “halo” – pada dasarnya, komputer Anda mengatakan, “Hai, saya ingin mengunjungi Anda, tolong izinkan saya masuk.”

Ketika server menerima pesan komputer pengguna, itu mengirim pesan singkat, mengatakan dalam arti, “Oke, apakah Anda nyata?” Komputer pengguna merespons – “Ya!” – dan komunikasi terjalin. Situs web situs web kemudian muncul di layar pengguna, dan pengguna dapat menjelajahi situs tersebut. Komputer dan server pengguna terus berkomunikasi ketika Anda mengklik tautan, memesan, dan menjalankan bisnis lainnya.

Dalam serangan DoS, komputer dicurangi untuk mengirim tidak hanya satu pesan ke server, tetapi ratusan atau ribuan. Server terus menerus mengirimkan kembali responsnya, kemudian server kehabisan sumber dayanya. Disanalah server akan menjadi down.

Cara Part 6:Cross Site Request Forgery (CSRF)

Cara keenam untuk meretas situs adalah dengan teknik hacking Cross Site Request Forgery

(CSRF). Berikut ini penjelasa tentang serangan Cross Site Request Forgery. Disimak ya..

Pengertian Cross Site Request Forgery (CSRF)

Pemalsuan permintaan lintas situs atau CSRF adalah kerentanan keamanan web yang memungkinkan penyerang membujuk pengguna untuk melakukan tindakan yang tidak ingin mereka lakukan. Ini memungkinkan penyerang untuk sebagian menghindari kebijakan asal yang sama, yang dirancang untuk mencegah situs web yang berbeda saling mengganggu.

Baca Juga  Ransomware Menyerang Ke Jaringan Kontraktor IT NASA

Dampak Serangan Cross Site Request Forgery

Dalam serangan CSRF yaitu penyerang dapat membuat pengguna melakukan suatu tindakan secara tidak sengaja. Misalnya, ini mungkin untuk mengubah alamat email pada akun mereka, untuk mengubah kata sandi mereka, atau untuk melakukan transfer dana. Bergantung pada sifat tindakan, penyerang mungkin bisa mendapatkan kontrol penuh atas akun pengguna. Jika pengguna yang dikompromikan memiliki peran istimewa dalam aplikasi, maka penyerang mungkin dapat mengambil kendali penuh atas semua data dan fungsionalitas aplikasi.

Cara Part 7: Buffer Overflow

Cara ketujuh untuk meretas situs adalah dengan teknik hacking Buffer Overflow. Apa itu Buffer Overflow? Bagaimana bentuk serangannya?

Pengertian Buffer Overflow

Buffer adalah bagian berurutan dari memori yang dialokasikan untuk memuat apa saja dari string karakter ke array bilangan bulat. Buffer overflow, atau buffer overrun, terjadi ketika lebih banyak data dimasukkan ke buffer dengan panjang tetap yang dapat ditangani oleh buffer.

Informasi tambahan, yang harus pergi ke suatu tempat, dapat meluap ke ruang memori yang berdekatan, merusak atau menimpa data yang disimpan di ruang itu. Overflow ini biasanya menghasilkan crash sistem, tetapi juga menciptakan peluang bagi penyerang untuk menjalankan kode arbitrer atau memanipulasi kesalahan pengkodean untuk meminta tindakan jahat.

Penyerang mengeksploitasi masalah buffer overflow dengan menimpa memori aplikasi. Ini mengubah jalur eksekusi program, memicu respons yang merusak file atau memaparkan informasi pribadi. Misalnya, penyerang dapat memperkenalkan kode tambahan, mengirim instruksi baru ke aplikasi untuk mendapatkan akses ke sistem TI.

Contoh Serangan Buffer Overflow

Dalam beberapa kasus, penyerang menginjeksi kode berbahaya ke dalam memori yang telah rusak oleh overflow. Dalam kasus lain, penyerang hanya mengambil keuntungan dari overflow dan kerusakan memori yang berdekatan. Misalnya, pertimbangkan program yang meminta kata sandi pengguna untuk memberikan akses kepada pengguna ke sistem. Dalam kode di bawah ini, kata sandi yang benar memberikan hak root pengguna. Jika kata sandi salah, program tidak akan memberikan hak kepada pengguna.

meretas situs menggunakan Buffer Overflow

Namun, ada kemungkinan buffer overflow dalam program ini karena fungsi gets () tidak memeriksa batas array. Berikut adalah contoh apa yang bisa dilakukan penyerang dengan kesalahan pengkodean ini:

Dengan memanfaatkan teknik hacking buffer overflow, hacker akan memperoleh hak akses sebagai admin atau root di dalam sistem.

Mengapa Situs Bisa Diretas

Peretasan atau hacking adalah proses menemukan kelemahan dalam suatu sistem, dan mengeksploitasinya untuk memintas kontrol keamanan. Peretas ical Etis ’menggunakan proses ini untuk mempelajari tentang suatu sistem dan menemukan kelemahannya. Namun, peretasan berbahaya atau ‘topi hitam’ juga umum. Ini sering digunakan untuk masuk ke situs web.

Setiap hari, ribuan situs web diretas. Banyak orang berpikir situs mereka aman dari serangan karena mereka tidak mengandung informasi bisnis yang berharga dan sensitif. Namun, ada banyak alasan lain mengapa situs diretas, seperti:

  1. Untuk menyebarkan malware,
  2. menambahkan bandwidth ke jaringan bot, yang sering digunakan untuk serangan Denial of Service (DDoS),
  3. Black-Hat Search Engine Optimization (SEO),
  4. Hacktivism,
  5. Hanya untuk latihan dan bersenang-senang.

Selain itu mengapa website bisa diretas, ada beberapa sebab atau alasan situs diretas seperti;

  1. Tidak menggunakan protokol keamanan seperti SSL
  2. Tidak menggunakan hosting yang aman
  3. Tidak menggunakan password yang aman
  4. Tidak menggunakan perangkat keamanan seperti firewall
  5. Tidak melakukan update secara berkala
  6. Tidak menggunakan sistem code yang aman
  7. Tidak melakukan penetration testing ke website
  8. Dan lain lain

Tool Meretas Situs Website

Berikut ini adalah software atau tool yang digunakan untuk meretas situs.

  1. Netsparker
  2. Watcher Web Security Tool
  3. Acunetix Web Vulnerability Scanner
  4. N־Stalker
  5. Skipfish
  6. Netbrute

Demikianlah pembahasan mengenai cara meretas situs. Semoga bermanfaat ya..

Share ke:

1 comment on “7 Cara Hacker Meretas Situs Website

Leave a Reply

Your email address will not be published. Required fields are marked *