Daftar Isi:
Video: Analisa Data & Tracking Website 2024
Dalam studi kasus ini, Caleb Sima, seorang ahli keamanan aplikasi terkenal, bertunangan dengan hack a aplikasi web klien Contoh tentang menemukan risiko keamanan ini adalah kisah peringatan yang baik untuk membantu melindungi informasi pribadi Anda.
Situasi
Mr. Sima dipekerjakan untuk melakukan tes penetrasi aplikasi web untuk menilai keamanan sebuah situs keuangan yang terkenal. Dilengkapi dengan URL situs keuangan utama, Mr. Sima memutuskan untuk menemukan situs lain apa yang ada untuk organisasi tersebut dan mulai dengan menggunakan Google untuk mencari kemungkinan.
Mr. Sima awalnya menjalankan pemindaian otomatis terhadap server utama untuk menemukan buah yang menggantung rendah. Pemindaian ini memberikan informasi tentang versi server web dan beberapa informasi dasar lainnya namun tidak ada yang terbukti berguna tanpa penelitian lebih lanjut. Sementara Mr. Sima melakukan pemindaian, baik IDS maupun firewall tidak memperhatikan aktivitasnya.
Kemudian Pak Sima mengeluarkan sebuah permintaan ke server pada halaman awal, yang mengembalikan beberapa informasi menarik. Aplikasi web tampaknya menerima banyak parameter, namun saat Pak Sima terus menjelajahi situs, dia melihat bahwa parameter di URL tetap sama.
Mr. Sima memutuskan untuk menghapus semua parameter di dalam URL untuk melihat informasi apa yang akan dikembalikan server saat ditanyai. Server merespons dengan pesan kesalahan yang menjelaskan jenis lingkungan aplikasi.
Selanjutnya, Tuan Sima melakukan pencarian Google pada aplikasi yang menghasilkan beberapa dokumentasi terperinci. Sima menemukan beberapa artikel dan catatan teknologi dalam informasi ini yang menunjukkan kepadanya bagaimana aplikasi tersebut bekerja dan file default apa yang mungkin ada. Sebenarnya, server memiliki beberapa file default ini.
Mr. Sima menggunakan informasi ini untuk menyelidiki aplikasi lebih lanjut. Dia segera menemukan alamat IP internal dan layanan apa yang ditawarkan oleh aplikasi tersebut. Begitu Pak Sima tahu persis versi admin apa yang sedang dijalankan, dia ingin tahu apa lagi yang bisa dia temukan.
Mr. Sima terus memanipulasi URL dari aplikasi dengan menambahkan & karakter dalam pernyataan untuk mengendalikan naskah ubahsuaian. Teknik ini memungkinkan dia untuk menangkap semua file kode sumber. Sima mencatat beberapa nama file yang menarik, termasuk VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm, dan ChangePassword. htm
Kemudian Pak Sima mencoba menghubungkan ke setiap file dengan mengeluarkan URL berformat khusus ke server.Server mengembalikan pesan User not logged in untuk setiap permintaan dan menyatakan bahwa koneksi harus dilakukan dari intranet.
Hasil
Mr. Sima tahu dimana file-file itu berada dan bisa mengendus koneksi dan menentukan ApplicationDetail itu. htm file mengatur string cookie Dengan sedikit manipulasi URL, Pak Sima memukul jackpot. File ini mengembalikan informasi klien dan kartu kredit saat aplikasi pelanggan baru diproses. Laporan kredit. Anda bisa menghubungi Mr. Sima untuk melihat status laporan kredit pelanggan, informasi penipuan, status aplikasi yang ditolak, dan informasi sensitif lainnya.
Pelajarannya: Hacker dapat memanfaatkan berbagai jenis informasi untuk menerobos aplikasi web. Eksploitasi individu dalam studi kasus ini kecil, namun bila dikombinasikan, mereka menghasilkan kerentanan yang parah.
Caleb Sima adalah anggota piagam tim X-Force di Internet Security Systems dan merupakan anggota pertama tim pengujian penetrasi. Sima kemudian bergabung dengan SPI Dynamics (kemudian diakuisisi oleh HP) dan menjadi CTO-nya, serta direktur SPI Labs, grup riset dan pengembangan keamanan aplikasi di dalam SPI Dynamics.
