Biasanya beberapa
hacker terlebih dahulu menentukan website mana yang akan di hack.
Motivasinya mungkin dilator belakangi oleh sentiment pribadi, politik,
uang, ataupun persaingan bisnis. Namun, banyak pula yang tidak
menentukan sasarannya dan mencari targetnya secara acak melalui search
engine atau hasil surfing. Jika tergetnya acak, website siapapun yang
dapat diakses dari internet memiliki kemungkinan menjadi target hacking.
Search engine seperti google turut dimanfaatkan hacker untuk mencari target. Sebagai contoh, saat hacker ingin menyasar halaman login website, ia dapat mengetikkan pada search engine google perintah berikut :
inurl : login.php
Google akan
menampilkan website apa saja yang memiliki url yang mengandung
“login.php”, yang rata-rata tentu merupakan halaman login dimana
pengguna mengetikkan username dan password. Selain menyerang form login
atau input lainnya (form komentar, guestbook, dan lain-lain), serangan
juga dilakukan melalui HTTP (Hypertext Transfer Protocol). Beberapa
jenis serangan tetap dapat dilakukan sekalipun komunikasi HTTP telah
dienkripsi melalui HTTPS (HTTP melalui SSL/ Secure Socket Layer),
terutama jika jenis serangan yang dilakukan tidak berhubungan dengan
media komunikasi/jaringan.
Untuk itu,
diperlukan validasi yang kuat pada form input, parameter query string,
serta penanganan cookies dan session. Terkadang programmer menyisipkan
field tersembunyi (hidden field) dengan tag HTML seperti contoh:
Merupakan celah
keamanan jika field tersembunyi tersebut digunakan untuk menyimpan data
confidential karena walaupun field tersebut tidak tampil di browser,
dengan melihat source HTML, akan terlihat nilai yang terdapat pada field
tersebut. Hacker dapat memanipulasi nilai tersebut dan mengirimkannya
ke server atau aplikasi web.
Pencegahan lain
adalah menjaga form input dari buffer overflow, yang dapat terjadi saat
seseorang mengisikan karakter dengan panjang karakter melebihi yang
seharusnya dapat ditampung oleh variable atau database.
Hindari menaruh
file-file berisi infromasi pada web server, termasuk file PHP yang
berisi informasi environment webserver termasuk database. Informasi ini
terkadang berguna bagi web programmer pada saat development cukup dengan
menjalankan fungsi phpinfo().
Tidak ada komentar:
Posting Komentar