Friday, May 31, 2019

Patch Bug SQL Injection

WELCOME ANONYMOUS CYBER TEAM !!!


Hello Kembali lagi dengan saya .

Kali ini saya akan memberikan tutorial cara mempatch bug SQL Injection , Sebagian dari kalian mungkin sudah tidak asing atau mengetahui apa itu SQL Injection . tapi sebelum membahas cara patch bug SQL INJECTION alangkah baiknya untuk membaca artikel sebelumnya ya hehe.

APA ITU SQL Injection??
SQL Injection adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ‟ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.


Contoh script yang vuln akan SQL Injection :
if(isset($_GET['id'])){$id = $conn->real_escape_string($_GET['id']);$query = mysqli_query($conn,"select * from program where id_program = $id") or die($conn->error);

Pada source code diatas jelas terlihat tidak adanya filtering terhadap karakter seperti ('), ("), (-) sehingga bisa disisipi dengan perintah SQLi. Bagaimana Caranya mempatch bug di atas dengan simpel dan mudah.

-       * Pada Source code
$id = $conn->real_escape_string($_GET['id']);
Dari source itu memungkin kan untuk meng Inject web yang vuln SQL Injection dan tidak ada filtering terhadap karakter seperti ('), ("), (-).

-      * Kita rubah source codenya Menjadi di bawah ini .
$id = abs((int)$_GET['id']);

-       * Dengan menambahkan source code [[ abs () , (int) ]] maka sudah memfilter karakter ('), ("), (-).
Fungsinya:
INT() = Pembulatan bilangan, atau dengan kata lain penghapusan desimal atau koma dari sebuah bilangan.
ABS() = Fungsi ini akan mengubah bilangan menjadi absolute, artinya ABS() akan menghapus atau merubah bilangan negatif menjadi positif.


Sekian Tutorial Dari saya
Terima kasih 


follow : Instagram
like FP : Facebook
Subscribe : YouTube




Thursday, May 30, 2019

Pengertian RAT ( Remote Access Trojan )


WELCOME ANONYMOUS CYBER TEAM !!!


Hello kembali lagi dengan saya ,Mungkin dari kalian sudah mengetahui atau tidak asing lagi dengan namanya Trojan , Trojan adalah bisa di bilang dengan Trojan Horse yang merupakan program buatan yang bekerja pada komputer (game, crack atau program aplikasi lainnya) yang dapat memata-matai hingga mencuri data komputer yang telah terinstal program ini.


Tapi kali ini kita akan membahas tentang RAT ( Remote Access Trojan ) 
Merupakan virus yang sangat berbahaya di internet. kenapa bisa berbahaya ? Hacker dapat menggunakan RAT untuk mendapatkan kontrol penuh ke komputer Anda. Dia bisa melakukan apa saja dengan dasarnya komputer Anda. Menggunakan RAT hacker dapat menginstal keyloggers dan virus berbahaya lainnya dari jarakjauh ke komputer Anda, menginfeksi file pada sistem Anda dan banyak lagi. 

APA ITU RAT ( Remote Access Trojan ) ??
Seperti yang saya Jelaskan RAT adalah Remote Access trojan. Ini adalah Sebuah software atau program yang hacker digunakan untuk mendapatkan kontrol penuh dari komputer Anda. Setelah Korban terkena RAT sang penyerang akan mudah dalam menaruh gambar, video atau file lainnya. Beberapa jenis RAT tidak dapat di deteksi oleh antivirus apapun. Jadi berhati-hatilah dalam menjalankan internet, hati-hati dengan download atau upload file pada anonim.

FUNGSI RAT ( Remote Access Trojan )
Setelah RAT diinstal pada setiap komputer hacker dapat melakukan hampir semua hal dengan komputer tersebut. Beberapa tugas berbahaya yang dapat Anda lakukan dengan RAT tercantum di bawah ini:
  • Menginfeksi File
  • Instalasi Keylogger
  • Mengontrol Komputer
  • Remotely memulai webcam, suara, film dll
  • Menggunakan PC Anda untuk menyerang Website (DDOS)
  • Lihat Layar
  • DLL
Beberapa jenis RAT yang umumnya sering digunakan
  1. ProRAT
  2. CyberGate RAT
  3. DarkComet RAT
Jelas sekali bahwa RAT ( Remote Access Trojan ) sangat berbahaya dan merugikan kepada korban yang terkena , kita buat langkah pencegahan nya .

Langkah pencegahan Trojan Untuk mencegah
 
Trojan menyusup di komputer anda, pastikan anda memasang antivirus yang selalu ter-update, mengaktifkan Firewall baik bawaan dari Windows atau dari luar. Selalu waspadalah jika komputer anda mengalami sesuatu kejanggalan. Hindari penggunaan sofware ilegal karena sering tanpa kita sadari software tersebut mengandung Trojan, download lah software dari situs-situs yang benar-benar dapat dipercaya.


Sekian Pengertian Dari Saya 
Maaf jika kurang di mengerti

follow : Instagram
like FP : Facebook
Subscribe : YouTube

Wednesday, May 29, 2019

Patch Bug Bypass-Admin

WELCOME ANONYMOUS CYBER TEAM !!!


Hello Welcome Back Dengan saya Zero_S


Kali ini saya akan memberikan tutorial cara mempatch bug bypass admin , Sebagian dari kalian mungkin sudah tidak asing atau mengetahui apa itu bypass admin . tapi sebelum membahas cara patch bug bypass admin alangkah baiknya untuk membaca artikel sebelumnya ya hehe.


Baca Juga

Bypass admin login adalah teknik menginjeksi halaman login web target dengan perintah tertentu sehingga bisa terbuka.

Bagaimana cara kerja / cara meng Injection suatu web yang vuln Bypass-Admin , sudah di jelaskan cara meng injection suatu web yang vuln terhadap Bypass-Admin di artikel sebelumnya .

Contoh script yang vuln akan Bypass-Admin :
<?php
$message = “”;
if(isset($_POST[‘submit’])){
$username= ($_POST[username]);
$password = md5($_POST[‘password’]);
$query = “SELECT * FROM admin WHERE username = ‘$username’ and password = ‘$password’ and usertype = ‘1’”;
$query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
$row = mysqli_fetch_assoc($query_result);
$_SESSION[‘admin_id’] = $row[‘id’];
$_SESSION[‘username’] = $row[‘username’];
header(“location: index.php”);
}else{
$message = “Username and password is not matched.”;
}
}
?>

Pada source code diatas Terdapat Masalah yang bisa di Bypass-Admin
$username= ($_POST['username']);
$password = md5($_POST['password']);
kita bisa tau, bahwa Pada Source code ini Tidak ada Filterisasi karakter yang mengakibatkan adanya bug, dimana seseorang  dapat memasukkan query inject dan dapat masuk ke dashboard admin.
$username = ($_POST['username]);
kita tambahin source code filter seseorang tidak dapat memasuki dashboard admin atau melakukan Bypass pada website.
$username=addslashes(trim($_POST[username]));
Dengan adanya Filter tersebut seseorang tidak akan bisa menginjeksi login admin dan tidak akan berefek apa-apa. 
Dan ini ketika source code setalah di kasih filter agar website atau login admin tidak bisa di Bypass-Admin. 

<?php
$message = "";
if(isset($_POST['submit'])){
$username = addslashes(trim($_POST['username']));
$password = md5($_POST['password']);
$query = "SELECT * FROM admin WHERE username = '$username' and password = '$password' and usertype = '1'";
$query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
$row = mysqli_fetch_assoc($query_result);
$_SESSION['admin_id'] = $row['id'];
$_SESSION['username'] = $row['username'];
header("location: index.php");
}else{
$message = "Username and password is not matched.";
}
}
?>
-    

Sekian Tutorial Dari Saya
Maaf jika kurang di mengerti

follow : Instagram
like FP : Facebook 
Edu-Secure