Pembahasan kali ini mengenai Cara Deface Web go.id milik pemerintah menggunakan aplikasi Google Hacking dan DirBuster.
“Penjelasan mengenai cara hacker melakukan deface dengan Google Hacking dan DirBuster pada web pemerintah (go.id) ini hanya untuk keamanan siber. Dilarang untuk keperluan hack ilegal.”
Akhir-akhir ini banyak website pemerintah go.id ataupun web kampus ac.id yang banyak terkena deface oleh para hacker yang tidak bertanggung jawab.
Satu-satunya alasan hacker melakukan deface pada website pemerintah dan universitas karena domain TLD format go.id/ac.id ini mudah sekali terindex oleh Google Bot.
Salah satu langkah yang hacker lakukan untuk menjalankan serangan hacking deface web PHP go.id ini, dengan mencari celah pada direktori dan file sensitif.
Penasaran bagaimana cara hacker melakukan penetrasi keamanan untuk melakukan serangan deface pada website resmi pemerintah? Berikut penjelasannya.
Table of Contents
Mengenal Serangan Deface Web go.id yang Sering Hacker Gunakan
Deface menjadi salah satu teknik peretasan yang cukup sering hacker lakukan dalam membobol web go.id, .com, DLL.
Teknik defacing merupakah salah satu serangan siber pada web go.id yang bertujuan untuk mengakses direktori pada website lalu mengubah tampilan website tersebut.
Sasaran hacker biasanya menargetkan website resmi Pemerintah, Kabupaten, Kementrian, Desa, dan semua domain pemerintah go.id.
Mirisnya, kebanyakan hacker berhasil melakukan hacking/defacing pada website go.id hanya karena kesalahan konyol.
Dan bahayanya, cara deface web ini tidak memerlukan keahlian programing, SQL, atau teknik rumit lain. Cukup membuka direktori/file yang berisi informasi sensitif, maka website akan bertekuk lutut.
Direktori/File Sensitif untuk Deface Web go.id
Jadi, setiap direktori/file yang mengandung informasi yang berguna untuk melakukan deface merupakan direktori dan file sensitif.
Berikut beberapa direktori dan file sensitif web go.id atau situs lain yang dapat mempermudah hacker melakukan deface tampilan.
Halaman Login Website
Ya, kamu tidak salah dengar, halaman login merupakan bagaian rentan pada website go.id dan situs lain terhadap serangan hacker.
Karena dengan mengetahui URL administrator pada website go.id pemerintah, hacker dapat melakukan beberapa serangan siber untuk mendapat akses lalu melakukan deface.
Serangan berikut antara lain SQL Injection, password guessing, dictionary attack, brute force attack, dan masih banyak lagi.
Berikut beberapa URL login web go.di yang menjadi sasaran hacker untuk mendapatkan akses dan melakukan deface web.
| CMS Administrator | example.com/wp-admin/ |
| phpMyAdmin | example.com/phpmyadmin/ |
| Cpanel | example.com:2083, example.com:2087 |
| Tomcat Admin Page | example.com:8080 |
| AXIS2 Admin Page | – |
File Backup
Seorang administrator website khususnya developer biasanya akan rutin melakukan pencadangan (backup) file source script dan database.
Bagaimana jika hacker berhasil meretas dan mendapatkan file backup yang berisi source code lengkap beserta database tersebut?
Jika kalian berpikir tidak mungkin, maka kalian salah besar, karena masih banyak file backup dengan ekstensi .zip, tar.gz, atau .sql berserakan di websitenya.
Tentu ini akan mempermudah cara hacker melakukan deface web go.id (milik pemerintah) ini.
Log File
Developer web pemerintah go.id biasanya menggunakan log file untuk keperluan debugging. Maka tidak heran kalau berisi informasi sensitif yang dapat hacker manfaatkan untuk melakukan deface web.
Salah satu contoh log file yang biasa hacker temukan pada website go.id maupun situs lain adalah WS_FTP.LOG. File ini dibuat oleh program WS_FTP dari FTP Client.
Setiap kali memakai program FTP untuk upload file ke website, WS_FTP secara otomatis membuat file bernama WS_FTP.LOG ke dalam folder log website kamu.
Hacker akan mendapatkan banyak informasi sensitif yang terdapat pada file WS_FTP.LOG ini, antara lain:
- IP address web server (kebanyakan IP address web asli disembunyikan dibalik NAT)
- Full path lokasi document root website
- Username akun hosting (jika pada full path terdapat direktori seperti
/home/username/…/)
Selain itu, WS_FTP.LOG memiliki potensi untuk mengungkapkan apa yang ada dalam sebuah direktori, meskipun pengguna telah menonaktifkan fitur “Directory Indexing” atau jika terdapat file index.html kosong di direktori tersebut.
Ini berarti, seorang hacker yang biasanya tidak dapat melihat isi direktori karena directory index dimatikan atau terdapat file index.html kosong, dapat mencoba membuka file WS_FTP.LOG di direktori tersebut.
Jika file WS_FTP.LOG ada, maka file log ini akan mengungkapkan apa yang ada dalam direktori tersebut.
Dengan kata lain, file WS_FTP.LOG dapat menjadi sumber informasi yang tidak diinginkan web go.id jika tidak dijaga dengan baik.
GAMBAR CONTOH DIREKTORI INDEXING
Pesan error di atas umumnya muncul saat kamu berada di dalam sebuah direktori web go.id atau web lain yang sebenarnya memiliki file, tetapi fitur “Directory Indexing” dinonaktifkan.
Ini mengakibatkan Anda harus menebak atau mencari tahu nama file yang ada dalam direktori tersebut.
Namun, jika directory indexing diaktifkan, Anda akan melihat halaman dengan judul “Index of /” yang akan menampilkan daftar file dan isi direktori tersebut secara rinci.
Versi Lama
Pada beberapa website go.id maupun .com yang memiliki versi baru, terkadang masih menyimpan file script versi lama dalam satu direktori.
Dan kebanyakan versi lama tersebut bernama /oldfile, /oldversion, /version1, dan direktori barunya bernama /new atau /ver2, hal ini rentan terhadap serangan device web.
Karena bagi hacker menemukan direktori versi lama merupakan salah satu peluang menemukan celah keamanan website tersebut.
Meskipun versi baru beberapa web go.id tidak memiliki vulnerability kerentanan terhadap cara deface hacker.
Namun kebanyakan web versi lama masih banyak memiliki vulnerability pada serangan SQL injection dan cyberattack lainnya.
Scanning Vulnerability File/Direktori Sensitif pada Web go.id
Saat ini saya hanya membahas 2 cara untuk melakukan scanning vulnerability pada website, yaitu crawling dan guessing. Berikut pembahasannya.
Crawling: Cara Sopan Mencari File/Direktori Sensitif untuk Defacing Web go.id
Perayapan/Crawling merupakan metode yang dilakukan search engine dalam merayapi setiap direktori yang terdapat pada website.
Crawling merupakan cara sopan dalam mencari direktori/file yang terdapat pada website go.id, .com, maupun web lain.
Dengan software Google Hacking kita dapat memanfaatkan direktori atau file sensitif yang tidak sengaja terindex Google.
Guessing: Cara Kasar Mencari Direktori/File Sensitif pada Web go.id
Nah, jika masih tidak mendapatkan direktori atau file sensitif dengan cara sopan, maka hacker biasanya menggunakan cara kasar.
Hacker akan melakukan guessing dengan metode cyberattack yang sering dipakai dalam melakukan cracking password untuk mendapatkan file sensitif.
Untuk mendapatkan direktori/file sensitif dengan teknik guessing ini terdapat 2 cara sebagai berikut.
Pure Brute Force Attack
Cara ini akan mencoba semua kemungkinan kombinasi huruf, angka, dan karakter sampai nememukan nama file sensitif pada web go.id.
Contoh penelusuran /aa/, /ab/, …, /az/, /a1/, …,/a9/, dan seterusnya.
Karena semua kombinasi kemungkinan akan ditelusuri maka jarang direktori/file yang akan lolos. Meski begitu, ini akan memakan waktu yang cukup lama.
Dictionary Attack
Ini merupakan serangan yang lebih cepat dari yang pertama, dictionary attack hanya akan request ke web server direktori/file sesuai dengan database/kamus yang sudah ada.
Efektif atau tidaknya serangan ini tergantung pada kamus/database yang hacker gunakan.
Biasanya akan berisi nama file yang sangat sering dipakai seperti /img, /db, /admin, /user, dan lain sebagainya.
DirBuster: Scanner Tools dari OWASP
Kali ini saya membahas alat gratisan bernama DirBuster yang dikembangkan oleh OWASP (Open Web Application Security Project), organisasi non-profit yang fokus pada keamanan web.
Keefektifan alat semacam ini tergantung pada kualitas kamus yang hacker gunakan.
DirBuster memiliki kamus yang sangat lengkap, yang berisi nama-nama direktori yang sering ditemui di internet.
Kamus ini diperoleh dengan melakukan pencarian pada situs-situs web dan mengelompokkannya.
Nama-nama yang digunakan minimal di 3 situs berbeda disimpan dalam file small.txt, yang digunakan minimal di 2 situs berbeda disimpan dalam file medium.txt, dan semua nama yang ditemukan disimpan dalam file big.txt.
Scanning Type
Scanning adalah langkah awal yang signifikan dalam upaya penetrasi keamanan dan tes kelemahan suatu sistem. Terdapat dua jenis scanning yang umum digunakan: serangan pure brute force dan serangan berbasis dictionary (dictionary based attack). Dalam artikel ini, kami akan membahas kedua jenis serangan ini serta berbagai opsi yang dapat digunakan.
Dalam tool DirBuster terdapat 2 dalam dalam melakukan scanning, pure brute force dan dictionary based attack.
Pure Brute Force Attack
Dalam serangan pure brute force, penyerang harus menentukan character set (kumpulan karakter) yang akan digunakan untuk membentuk nama direktori, dan juga menentukan panjang minimum dan maksimum untuk kata-kata yang akan dicoba. Semakin besar character set yang digunakan dan semakin panjang panjang kata, semakin banyak kombinasi yang dihasilkan. Namun, hal ini juga berarti bahwa proses serangan akan memakan waktu yang lebih lama. Berikut adalah tangkapan layar ketika memilih untuk menggunakan teknik pure brute force.
Untuk teknik pure brute force ini hacker biasanya akan memilih set karakter apa saja yang akan digunakan.
- a-z
- a-z, 0-9
- a-z, A-Z, 0-9
- a-z, A-Z, 0-9, %20-_
Selain itu hacker juga akan memilih max lenght, dan set karakter juga akan menentukan max lenght tool ini.
Dictionary Based Attack
Pada serangan berbasis dictionary, penyerang menggunakan daftar kata atau nama direktori yang sudah ada. DirBuster menyediakan berbagai opsi dictionary yang dapat disesuaikan dengan kebutuhan:
- directory-list-2.3-small.txt (87650 kata): Umumnya digunakan di setidaknya 3 situs berbeda.
- directory-list-2.3-medium.txt (220546 kata): Umumnya digunakan di setidaknya 2 situs berbeda.
- directory-list-2.3-big.txt (1273819 kata): Sudah pasti pernah digunakan.
- directory-list-lowercase-2.3-small.txt (81629 kata): Versi case insensitive dari directory-list-2.3-small.txt.
- directory-list-lowercase-2.3-medium.txt (207629 kata): Versi case insensitive dari directory-list-2.3-medium.txt.
- directory-list-lowercase-2.3-big.txt (1185240 kata): Versi case insensitive dari directory-list-2.3-big.txt.
- directory-list-1.0.txt (141694 kata): Daftar awal yang tidak terurut.
- apache-user-enum-1.0.txt (8916 nama pengguna): Digunakan untuk user enumeration, yaitu mencari nama pengguna yang valid di sebuah server.
- apache-user-enum-2.0.txt (10341 nama pengguna): Digunakan untuk user enumeration.
Juga penting untuk dicatat bahwa dalam web server Apache yang mengaktifkan mod_userdir, serangan user enumeration dapat dilakukan dengan menggunakan ~namauser sebagai nama direktori.
Starting Options
Pada penggunaan DirBuster, salah satu langkah awal yang sangat penting adalah memilih “starting options” atau titik awal dari mana DirBuster akan memulai pencarian direktori. Artikel ini akan membahas opsi starting options yang dapat digunakan untuk mengarahkan pencarian direktori sesuai kebutuhan.
Standard Start Point
Pilihan yang paling sering digunakan adalah “standard start point.” Ini berarti kita menggunakan nama direktori sebagai titik awal untuk pencarian. Dalam opsi ini, terdapat dua kotak centang yang dapat diatur sesuai kebutuhan:
- Brute Force Dirs: Opsi ini dapat dimatikan jika kita hanya ingin melakukan pencarian pada direktori tanpa mencoba melakukan brute force pada direktori.
- Brute Force Files: Jika Anda hanya tertarik untuk mencari file tanpa mengakses direktori, opsi ini dapat dimatikan.
Selain itu, Anda dapat menentukan “File Extension” dengan mengisi ekstensi file yang ingin Anda cari. Contohnya, Anda bisa mencari file dengan ekstensi seperti php, zip, gz, atau tar.gz. Jika Anda tidak ingin membatasi pencarian dengan ekstensi file, Anda dapat menggunakan opsi “Use Blank Extension.”
Be Recursive
Opsi “Be Recursive” digunakan untuk melakukan pencarian secara mendalam (Deep First Search), yang berarti DirBuster akan mencari subdirektori dalam sebuah direktori, sub-subdirektori dalam subdirektori, dan seterusnya hingga mencapai kedalaman yang Anda tentukan.
URL Fuzz
Kadang-kadang, saat kita harus melakukan brute force pada nama direktori yang merupakan bagian dari parameter URL, opsi “URL Fuzz” sangat berguna. Sebagai contoh, ketika kita ingin melakukan scanning melalui web based proxy seperti PHPProxy. Situasi ini mungkin muncul ketika kita ingin melakukan scanning pada server internal dengan alamat IP privat yang tersembunyi di balik server publik.
URL PHProxy sering memiliki format seperti http://oursite.com/myproxy/?q=http://targetsite.com/{dir}. Dalam kasus seperti ini, opsi “URL Fuzz” adalah pilihan yang tepat. Gambar di bawah ini menggambarkan situasi tersebut.
Walaupun tools seperti DirBuster terlihat sederhana, jangan remehkan efektivitasnya. Cobalah sendiri dan Anda mungkin akan terkejut melihat seberapa banyak webmaster yang kurang berhati-hati dalam menempatkan file atau direktori sensitif di dalam situs mereka.
Penutup
Sekian penjelasan mengenai Cara Deface Web go.id dengan memanfaatkan file atau direktori sensitif menggunakan DirBuster.
Komentar Terbaru
Your means of telling all in this post is genuinely
fastidious, all be capable of easily know it, Thanks a
lot.
Komentar Ditutup