FootPrint |

Jaman sekarang ini siapa lagi demam demamnya sama situs jejaring sosial, mulai dari anak anak sekolah yang masih SMP sampe orang tua pada banyak yang mengakses situs jejaring sosial. Situs jejaring sosial (social networking) yang lagi trend saat ini adalah facebook.

Hampir setiap sudut warnet maupun hotspot area jika ada yang online kebanyakan salah satu tab browser - nya pasti membuka halaman situs besutan Mark Zuckerberg gak hanya itu saja sech.. bahkan sekarang Hand phone hand phone keluaran anyar juga pasti di beri embel - embel Facebook. Ini menunjukkan betapa mewabahnya demam facebook masyarakat kita.

Read the rest of this entry »

Lanjutin tutorial Code Igniter yang sebelumnya. Sekarang saya akan coba kasih sedikit Tips buat bikin Icon pada sebuah web based application yg mana nantinya icon tersebut letaknya dapat dirubah rubah urutannya.
Dalam turorial ini saya memamkai Code Igniter serta Jquery agar tidak tidak melakukan refresh page saat melakukan perubahan letak Icon.

Ok, langsung saja di download source nya..

Icon Place (Sort Update) with CI and JQuery

Untuk Models nya saya menggunakan Extends dari Posting yg sebelumnya tentang CI yaitu http://dhenick.web.id/?p=19.

Lama nggak posting,  jadi kangen posting lagi.. Sebenernya dah ada beberapa draft postingan di blog ini cuman belum saatnya publish aja..

Ok kali ini saya akan mencoba memberikan sedikit contoh tentang konsep OOP di php. Ini merupakan contoh sederhana dari Class yang digunakan untuk berhubungan dengan database (Mysql tentunya).. Read the rest of this entry »

Fuih.. semakin panas aja jogja.. (keringat bercucuran.. ) hehehehe. :p Dah beberapa hari ini agak kurang enak badan, g tau sakit apa lagi, biasanya seh cuman kecapekan tapi kok ini bablas, mulai dari kepala, perut, tenggorokan semua kena.. (sedih_mode = on)..

Dalam kondisi yg agak gak beres ini, pengen banget posting, tapi posting apa ya.. g ada ide.. Ya.. tapi baiklah, pengen share aja dikit potongan sekrip..
Ok, mungkin dari rekan rekan sekalian pernah ngalamin website nya dicoba masukin secara paksa oleh orang orang  yg emang pengen masuk (nah lho.. wes mumet tho..), nah sebagai si pembuat website sebenernta kita dapat dengan mudah mengetahui apa apa saja yg coba di lakukan oleh oknum tersebut melalui raw access log yang telah di sediakan oleh penyedia hosting kita. Tapi mosok ya kita mau mantengin n login cpanel kita terus terusan. Ya cara yang lebih asyik seh kalo kita bisa dapet report secara realtime ketika terjadi hal hal yang mencurigakan terhadap website kita.

so.. ba gaimana caranya… Mari kita gunakan fasilitas email. jadi sewaktu ada seorang attacker mencoba menginjak injak website kita, maka kita akan mendapatkan report langsung pada email kita.

Misalnya gini, dalam sebuah website yang telah kita patch untuk hal - hal yang berbau sqli.

if($_GET['id'] <= 0 || strlen($_GET['id']) > 9){
$waktu = date(”Y-m-d H:i:s”);
$pesan = “SQL Injection Detected FROM : $_SERVER[REMOTE_ADDR],
at Website Bla bla bla On $_SERVER[REQUEST_URI] at $waktu \n”;
$subj = “SQL Injection On Site”;
$dari = “Website Self Trap”;
$headers = “From : $dari”;
$to = “Imel KAMU”;
@mail($to,$subj,$pesan,$headers);

}

Nah .. ketika ada seseorang yang mencoba melakukan penetration test dengan cara sqli insya allah bakal ada notifikasi
masuk ke email kita, waktu dan url yang diakses serta IP nya (IP internet / ISP bukan IP local). (kecuali jika fungsi mail di disable oleh pihak hosting).

Silahkah di kembangkan sendiri  buat cari IP local nya or hal hal yg lebih ……

Beberapa hari yang lalu ketika sedang berjalan jalan di dunianya mbak maya.. (Red:Dunia maya) niatnya seh cuman browsing browsing aja sambil maen maen pesbuk hehehe. Iseng iseng nyari referensi tentang sistem informasi. Eh gak taunya nemu sebuah website salah satu developper yg menawarkan sebuah sistem sistem informasi, baca sana baca sini mulai dari home, dll sempet terkejut ketika melihat sistem harga yg ditawarkan..

Bagaimana tidak, mereka menawarkan harga untuk lisensinya per orang men.. (wew sambil geleng geleng kepala).. ya emang seh,per kepalanya cuman beberapa puluh ribu saja tapi minimal ordernya itu lho.. musti 500 kepala kalo mo order.. weeks, jadi misal tiap tahun tuh institusi ada 1000 orang, so tinggal ngalikan aja. gila, tiap tahun musti bayar program kayak gitu, bener bener jadi ladang pengeruk untung. Read the rest of this entry »

Saat ini sedang hangat - hangatnya yang namanya kasus Indonesia dengan tetangga Malaysia, baik itu kasus Manohara maupun sengketa kasus Ambalat. Secara pribadi seh rada mangkel juga sama tuh negara My, lha bagaimana g mangkel coba, dulu masalah klaim reog ponorogo yg di akui sebagai budaya mereka, terus masalah angklung yg katanya juga milik mereka.. Jah.. negoro kok ra duwe budaya dewe.. seneng’e ndaku milik negara lain.
Mungkin kalo di diamkan terus terusan bisa bisa nasi gudeg juga diakui miliknya kali ya.. ato jangan jangan candi prambanan n candi borobudur bakal diakui di arsiteki sama orang sono.. jan tak tau diri banget.

Kemaren sempet baca baca berita di sebuah surat kabat harian, pada saat kapal perang milik Malay nongkrong di perairan Indonesia truss di usir sama Kapal Indonesia, eh lha kok malah mereka minta bantuan sama helikopter tempur. Lha.. emang ngajak perang beneran po tuh negara.  Lha wong dah masuk rumah orang tanpa permisi, di tanya malah di matikan alat komunikasinya, disuruh pergi eh.. lha malah bawa bolokurowo. Wes jan.. emang ngajak padu kayaknya.

Sebenernya, Indonesia sama tuh Malaysia di dunia maya dah berantem sejak dulu.. sekarang ada masalah kayak gini, ya.. berantem nya di lanjutin lagi. Kalo saya liat - liat, akhir akhir ini banyak temen temen yg dah mulai melakukan penyerangan sama web web yg dimiliki my, dan hasil nya banyak web web malaysia yg dah berubah tampilan or dah ganti dengan tulisan under maintenace .. wkwkwkwkwkwk.

Kalo saya mah.. g ikut ikut.. maklum masih newbee lum bisa apa - apa, pengen jadi penonton aja. or Jaga rumah aja.. soalnya kalo semuanya pada nyerang trus g ada yg jaga rumah kan tar kalo ada serangan balik bisa kebobolan.. kayak final liga champion beberapa hari lalu.. hehehehe ^_^

Dah.. ah.. Pokoknya.. G.A.N.Y.A.N.G M.A.L.A.Y.S.I.A dan NKRI adalah HARGA MATI hehehehe peace…

Hehehehe, lama g nge-blog nh… pasti pada bertanya tanya tentang judul postingan saia diatas.. Yup, ini adalah tentang seorang cracker paling berani (menurut saya..). tapi entah ini pemberani ato emang tolol ya…

Begini ceritanya.. alkisah tadi saia maen ke atm salah satu bank,  nah dalam atm tersebut terdapat sebuah komputer inget bukan mesin ATM nya lho… komputer ini di khususkan untuk para pelanggan tentunya untuk melakukan transaksi internet banking-nya.  Ya.., sambil menunggu antrian di salah satu mesin setor tunai nya.. iseng iseng pengen make tuh komputer buat ya, internet banking-nya. tapi keinginan itu buru buru tak batalain, Why …??

Nah disini lah saya  nemukan sesuatu yang unik.. dari history form input user name nya terlihat bahwa tadi sebelum saya ada orang yang mencoba login menggunakan username kayak gini

‘ or 1=1–

admin’–

wes.. jan mantab banget deh.. nh orang emang niat or gimana gitu menurut ku.. dia mencoba masuk dengan menyisipkan kode sql injection.. dan di lakukan langsung di mesin dimana bank itu berada.. Bener bener seorang cracker yang pemberani kan…

so.. pemberani or tolol kan dia ????

Pada artikel sebelumnya udah coba saia bahas mengenai tehnik deface sebuah website dengan cara SQL Injection. So.. bagaimana cara penanganannya?? Tiap programmer or developper pasti udah punya cara yang jitu dalam hal penanganan terhadap tindakan SQL injection tersebut.

Baiklah.. saia akan sedikit bahas tentang jampi jampi sederhana penanganan dari tindakan SQL Injection. Mari kita mulai… hehehehe

Kebanyakan dari kasus yang ditemui pada saat penetrasi menggunakan teknik SQL Injection adalah dengan memanfaatkan pemfilteran dari ID yg kurang begitu sipp.. sebagai contoh adalah sebagai berikut:

http://www.apasaja.com/news.php?id=-1234 atau

http://www.opowae.com/news.php?id=1234′

Nah lho.. setiap attacker mencoba dengan menyisipkan karakter setrip or tanda minus pada id berita.. secara simpel sebenarnya kita bisa membuat sebuah filter bahwa id hanya boleh lebih dari 0 alias minus tidak boleh dan hanya boleh berupa integer alias angka. Seperti berikut ini :

<?php
$id = $_GET['id'];
if($id > 0){
// Jalankan Query Anda or aplikasi anda
}else{
Echo “Hayo… mo ngapaen pake minus segala… ahahaha”;
}
?>

itu simple cara untuk menangkal masuknya skrip sqlinjection.. nah, sekarang gimana kalo si attacker merubah query seperti ini:

http://adasaja.com/news.php?id=1234+AND+1234=-1234–

Nah lho…piye kuwi pak dab? secara logika id tersebut tetaplah 1234 dan itu bertanda positif alias bukan minus.. Untuk menangani hal itu kita bisa merubah jamu kita tadi. Kita bisa menambahkan filter lagi misalnya user hanya boleh input id or url tidak lebih dari 9 karakter misalnya, dll. Jadi sebelum masuk ke query database kita cek dulu jumlah id dari url nya.

<?php
$id = $_GET['id'];
if($id < 0){
echo “Hayo Mau Apa liad liad pake ID minus segala”;
}else{
$hitung = strlen($id);
if($hitung > 9){
echo “Jumlah ID nya panjang Amat…….”;
}else{

// Jalankan Query Anda

}
}
?>

Yup… itu langkah secara sederhana guna penanggulangan pertama dari aktivitas sqlinjection. Masih banyak cara lain yang bisa dilakukan, tergantung dari kreatifitas rekan rekan.. ^_^

semoga sedikit tips ini membantu, kalo salah harap dikoreksi bareng bareng…

Hufh… Jan kampret… dah otak, pusing mikirin coding yang njlimet.. masih denger suara brumm … brumm… brum,,.. suara motor arak arakan kampanye.. jan bullshit tenan.. knapa seh musti pada arak arakan?? knapa musti pake acara knalpot motor di keras kerasin.. ?? pa g bisa pada keep silent ajah…??

Lagian kampanya kayak gitu pa masih efektif. I don’t think so… Mereka yang pada blayer - blayer motor.. mereka yang sampe berdiri diatas motor… apakah masih di ingat oleh bapak - bapak  yang nantinya bakal duduk di kursi empuk sama ruangan yang ber-ac sambil ngiler dan baca koran?? enggak kan?? so.. why…

G adakah cara laen bagi partai partai buat kampanye?? cara yg lebih baik.. tanpa mengerahkan massa. tanpa membuat kebisingan.

Ayolah.. sekarang bukan saatnya adu otot, tapi adu otak.. Use your Brain wahai partai politik, jangan hanya ngerahin massa aja.. saat kalian kampanye di tengah lapangan dengan penyanyi dangdut yang sexy.. plus goyang pinggul yang hufh… berapa banyak dana yang kalian habiskan.. apa masyarakat bakal nge-dengerin celotehan program kerja kalian?? mending dari pada dana yang segitu gede buat bantu mereka yang masih kekurangan. yang masih sekolah dengan fasilitas yang terbatas.. yang (maaf) bangku aja sampe diangkut tukangnya lagi karena g mampu bayar.. yang gedung nya aja udah mau rubuh dan lebih buruk dari kandang sapi di daerah ku.

Oke.. pada posting sebelumnya udah sedikit kita bahas tentang sql injection.. Banyak diantara temen temen yg berhasil dan gak sedikit pula yang gagal.. So keep try..

Beberapa waktu yang lalu iseng iseng mencoba sql injection dari sebuah bilik warnet kecil di kota tercinta (halah.. terlalu didramatisir..) pada sebuah website. Nah apa istimewanya percobaan kali ini sampe sampe kok di tulis di blog yg g jelas ini…

Ok.. begini., seperti biasa setelah dapet target dari random di google.. saya coba test satu satu… seperti pada tutorial sebelumnya…  setelah melakukan query kayak gini…

Read the rest of this entry »