Klien sebagai pengirim request memiliki kontrol penuh atas apa saja data yang dikirimkan ke server. Bila server lalai melakukan validasi input maka akibatnya bisa berbahaya. Umumnya attacker melakukan injeksi melalui parameter pada GET atau form data pada POST. Padahal banyak jalan masuk lain yang bisa dicoba untuk menyerang server. Kali ini saya akan jelaskan bagaimana melakukan serangan XSS dan SQL injection dengan mengirimkan malicious tag/sql lewat header http.
January 2009
Membedah Sign-in Seal Yahoo!
not sealed
Dengan maksud untuk mencegah Phising attack, Yahoo membuat fitur segel di halaman loginnya. Segel di sini maksudnya adalah gambar unik yang muncul di halaman login. Gambar ini hanya unik untuk PC/komputer tertentu saja, bukan melekat pada yahoo id kita. Jadi kalau kita pindah komputer, segelnya tentu tidak ikut pindah.
MD5 itu Berbahaya, Titik!
Heran! Sudah lama MD5 terbukti memiliki kelemahan serius, namun hingga kini masih banyak orang yang memakainya.
MD5 adalah salah satu fungsi hash yang sangat populer. Di usianya yang mencapai sweet seventeen, semakin banyak serangan yang makin efektif terhadap MD5. Kalau dulu di tahun 1995 ilmuwan hanya sebatas mempublikasikan kelemahan di tataran teoretis, kini semakin banyak orang yang mampu meng-exploit kelemahan itu dengan sangat efektif. Sudah saat MD5 dijauhi sebagai sesuatu yang berbahaya, jangan ditunda lagi!
Memahami Authentication dan Authorization
Pemahaman akan authentication dan authorization sangat penting karena semua proses security berpusat pada dua hal itu.
Banyak orang yang masih bingung dengan kedua istilah penting itu. Banyak yang mengira bahwa authentication dan authorization itu sama, padahal keduanya sangat berbeda.
Menjebol Captcha dengan OCR
courtesy of e-ignite.co.uk
Banyak orang menyangka asalkan situsnya dijaga captcha, maka spammer tidak akan bisa menembusnya. Padahal ini salah besar! Captcha memang menyulitkan, namun tidak sembarang captcha, bila captcha tidak dibuat dengan benar dan asal-asalan, maka spammer bisa dengan mudah menembusnya.
Https dalam Form, Amankah?
courtesy of meebo.com
Memang benar, ternyata https adalah istilah IT yang banyak mengandung jebakan mitos dan seringkali orang salah mengerti. Kali ini yang saya sorot adalah penggunaan form dalam sebuah halaman html. Bagaimanakah form html yang aman?
Membajak Session Https PermataNet
courtesy of permatanet.com
Hah? Apa nggak salah nih. Https kan secure, mana mungkin bisa dibajak. Benar, tidak ada yang salah kok. Kalau anda sudah membaca dua artikel saya sebelumnya, understanding https dan session hijacking basics , anda akan mengerti bahwa dalam sebuah koneksi https tidak mungkin dibajak. Namun dengan trik yang akan saya jelaskan ini kita akan bisa membajak session https.
Trusted and Untrusted klikBCA
Kalau anda tanyakan pada nasabah bca, apa alamat internet banking bca. Pasti jawabannya adalah klikbca.com. Padahal yang benar bukan itu, yang benar adalah ibank.klikbca.com, bukan www.klikbca.com atau klikbca.com saja. Kelihatannya sepele, tapi ada konsekuensi security di sini. Web yang dilindungi dengan https (trusted) hanya ibank.klikbca.com, sedangkan www.klikbca.com tidak (untrusted).
Membongkar Proteksi HTML Guardian
Banyak pemilik situs tidak ingin isi situsnya dibajak orang lain. Bermacam-macam cara untuk menghindari pembajakan. Ada yang menggunakan javascript untuk men-disable klik kanan. Cara ini sangat mudah diatasi, cukup dengan mematikan javascript saja. Dalam artikel ini saya akan menunjukkan cara membongkar proteksi html guardian, yaitu software untuk mengenkrip html source agar tidak dicuri orang lain.
Understanding HTTPS
Anda akan terkejut mengetahui betapa banyak orang yang salah paham dan terjebak dengan mitos-mitos seputar https. Read this article and you won’t be one of them!
Https adalah jargon yang paling sering dikampanyekan oleh situs internet banking dan ecommerce. Benarkah https adalah jaminan keamanan bertransaksi? Tipe serangan seperti apa yang bisa dicegah dengan https dan tipe serangan apa yang tidak bisa dicegah dengan https?