Yahoo Session Cookie Generator

On January 27, 2009, in Web Security, by Rizki Wicaksono

Sebuah posting di milw0rm.com oleh gammarays menurut saya sangat menarik. Dalam video proof of conceptnya terlihat dia bisa membangkitkan authentication cookie untuk masuk ke yahoo sebagai username siapapun. Bagaimana dia melakukannya?

Saya telah membaca papernya dan berdiskusi dengannya via email. Karena sifatnya yang highly critical beberapa hal penting tidak dia disclose, dalam hal ini saya setuju  karena saya juga punya account yahoo, tentu saja saya tidak ingin orang lain membaca email saya :D

Continue reading »

Tagged with:
 

Injecting Code via Http Header

On January 21, 2009, in Web Security, by Rizki Wicaksono

Klien sebagai pengirim request memiliki kontrol penuh atas apa saja data yang dikirimkan ke server. Bila server lalai melakukan validasi input maka akibatnya bisa berbahaya. Umumnya attacker melakukan injeksi  melalui parameter pada GET atau form data pada POST. Padahal banyak jalan masuk lain yang bisa dicoba untuk menyerang server. Kali ini saya akan jelaskan bagaimana melakukan serangan XSS dan SQL injection dengan mengirimkan malicious tag/sql lewat header http.

Continue reading »

Tagged with:
 

Membedah Sign-in Seal Yahoo!

On January 19, 2009, in Web Security, by Rizki Wicaksono
not sealed

not sealed

Dengan maksud untuk mencegah Phising attack, Yahoo membuat fitur segel di halaman loginnya. Segel di sini maksudnya adalah gambar unik yang muncul di halaman login. Gambar ini hanya unik untuk PC/komputer tertentu saja, bukan melekat pada yahoo id kita. Jadi kalau kita pindah komputer, segelnya tentu tidak ikut pindah.

Continue reading »

Tagged with:
 

MD5 itu Berbahaya, Titik!

On January 16, 2009, in Cryptography, by Rizki Wicaksono

Heran! Sudah lama MD5 terbukti memiliki kelemahan serius, namun hingga kini masih banyak orang yang memakainya.

MD5 adalah salah satu fungsi hash yang sangat populer. Di usianya yang mencapai sweet seventeen, semakin banyak serangan yang makin efektif terhadap MD5. Kalau dulu di tahun 1995 ilmuwan hanya sebatas mempublikasikan kelemahan di tataran teoretis, kini semakin banyak orang yang mampu meng-exploit kelemahan itu dengan sangat efektif. Sudah saat MD5 dijauhi sebagai sesuatu yang berbahaya, jangan ditunda lagi!

Continue reading »

Tagged with:
 

Memahami Authentication dan Authorization

On January 13, 2009, in Basic Concept, by Rizki Wicaksono

sidikjari

Pemahaman akan authentication dan authorization sangat penting karena semua proses security berpusat pada dua hal itu.

Banyak orang yang masih bingung dengan kedua istilah penting itu. Banyak yang mengira bahwa authentication dan authorization itu sama, padahal keduanya sangat berbeda.

Continue reading »

Tagged with:
 

Menjebol Captcha dengan OCR

On January 12, 2009, in Web Security, by Rizki Wicaksono

courtesy of e-ignite.co.uk

courtesy of e-ignite.co.uk

Banyak orang menyangka asalkan situsnya dijaga captcha, maka spammer tidak akan bisa menembusnya. Padahal ini salah besar! Captcha memang menyulitkan, namun tidak sembarang captcha, bila captcha tidak dibuat dengan benar dan asal-asalan, maka spammer bisa dengan mudah menembusnya.

Continue reading »

Tagged with:
 

Https dalam Form, Amankah?

On January 11, 2009, in Web Security, by Rizki Wicaksono

courtesy of meebo.com

courtesy of meebo.com

Memang benar, ternyata https adalah istilah IT yang banyak mengandung jebakan mitos dan seringkali orang salah mengerti. Kali ini yang saya sorot adalah penggunaan form dalam sebuah halaman html. Bagaimanakah form html yang aman?

Continue reading »

Tagged with:
 

Membajak Session Https PermataNet

On January 9, 2009, in Web Security, by Rizki Wicaksono

courtesy of permatanet.com

courtesy of permatanet.com

Hah? Apa nggak salah nih. Https kan secure, mana mungkin bisa dibajak.  Benar, tidak ada yang salah kok. Kalau anda sudah membaca dua artikel saya sebelumnya, understanding https dan session hijacking basics , anda akan mengerti bahwa dalam sebuah koneksi https tidak mungkin dibajak. Namun dengan trik yang akan saya jelaskan ini kita akan bisa membajak session https.

Continue reading »

Tagged with:
 

Trusted and Untrusted klikBCA

On January 7, 2009, in Web Security, by Rizki Wicaksono

Kalau anda tanyakan pada nasabah bca, apa alamat internet banking bca. Pasti jawabannya adalah klikbca.com. Padahal yang benar bukan itu, yang benar adalah ibank.klikbca.com, bukan www.klikbca.com atau klikbca.com saja. Kelihatannya sepele, tapi ada konsekuensi security di sini. Web yang dilindungi dengan https (trusted) hanya ibank.klikbca.com, sedangkan www.klikbca.com tidak (untrusted).

Continue reading »

Tagged with:
 

Membongkar Proteksi HTML Guardian

On January 6, 2009, in Cryptography, by Rizki Wicaksono

Banyak pemilik situs tidak ingin isi situsnya dibajak orang lain. Bermacam-macam cara untuk menghindari pembajakan. Ada yang menggunakan javascript untuk men-disable klik kanan. Cara ini sangat mudah diatasi, cukup dengan mematikan javascript saja. Dalam artikel ini saya akan menunjukkan cara membongkar proteksi html guardian, yaitu software untuk mengenkrip html source agar tidak dicuri orang lain.

Continue reading »

Tagged with: