.:: darmanex log ::.

Rencananya ingin dunlud Browser Safari, dan saya pun nyari lewat om Google, tetapi Google sendiri berkata lain :P. Setelah masukin keyword dan mulai melakukan dunlud melalui link yang diberikan oleh Google, dan alhasil link yang saya tuju nampak seperti ini



Ada apa gerangan? Apa situs safarinya yang bermasalah atau googlenya?
Hemm, jadi agak penasaran juga. Setelah saya buka lagi Google dan memasukkan keyword seperti awal, ternyata hasilnya sama saja seperti gambar diatas(wah,,kenapa ini).
Dengan keinginan besar untuk mendunlud browser Safari, akhirnya saya mencoba untuk mengcopy halaman link dari situs Safari, alhasil pun cukup memuaskan saya langsung dibawa ke situs resmi. Nah, yang menjadi pertanyaan kenapa bisa disaat saya langsung menunju link yang diberikan oleh Google menjadi seperti gambar diatas? Wah, atau jangan-jangan Googlenya yang telah disusupin oleh sebangsa Malware atau Worm..(thinking)
Tara tau lah..mungkin aja ada orang yang iseng kali... :P
*ngedunlud Safari dulu..aahhh...*

Baca lebih lanjut»(Continue read)

Download..

Thx for
Author(s): Norman L. Biggs

Baca lebih lanjut»(Continue read)

Baru-baru ini, kira-kira empat minggu yang lalu telah dirilis bahasa pemprograman yaitu dengan mempunyai nama IOKE.
Ioke merupakan bahasa yang dinamis dan bertarget pada Java Virtual Machine. Bahasa ini dirancang dari awal agar menjadi sangat fleksibel. Dan bahasa Ini adalah prototipenya berbasis bahasa pemrograman yang terinspirasi oleh Io, Smalltalk, pelat dan Ruby.
Kalo berminat dan mau dicoba, langsung kesitusnya aja.,.And guidenya juga udah tersedia disitus tersebut.

http://ioke.org/download.html
http://ioke.org/guide.html
http://github.com/olabini/ioke/tree/master

Selamat mencoba..

Baca lebih lanjut»(Continue read)

Dihari minggu ini senang banget ada waktu juga untuk bersih-bersih kosan, untung aja dibangunin ma temen kost..xixxixii :P. Dengan bersih-bersih pemandangan jadi enak juga ternyata. Yupz, setelah acara bersih-bersih, temen yang lainnya ngusulin bakar-bakar ikan gitu, ya terpaksa deh patungan lagi..hee :D. Emang asyik juga yak kalo kerja bakti barengan, jadi kerjanya bisa ringan karena adanya saling bantu-membantu(halah).
Tapi sayang gak sempat poto-poto nih :(. Soalnya tumben juga anak-anak kosan bangunnya pada cepat, biasanya sih kalau di hari minggu bangunnya di atas jam 9 gitu. Pokoknya halaman kosan jadi bersih dari kuman-kuman yang membandel..yeahh(dance). Meskipun dihari minggu ini gak pergi tamasya ke pantai, yang penting happy.... :)

Baca lebih lanjut»(Continue read)

Sebenarnya niatnya cuman mau ngeliat jadwal tapi "evil" disebelah saya agak sedikit menggoda..:P.
Dari pada berbelit-belit langsung aja kalo gitu kita ke pokok masalahnya.
Mungkin XSS udah gak asing lagi ditelinga kita, karena bug's ini sudah
cukup lama ditemukan sekitar pertengahan 2002 dan dipublikasi dimailing list Bugtraq. Mungkin para web admin maupun programmer dari situs yang dikelola masih menganggap remeh dengan bug's ini.
Dengan celah XSS ini pula attacker mampu mengexploitasi web yang akan diserang, misalkan pencurian Cookie, Social Engineering, Virtual Defacement(ini yang akan saya lakukan), dan masih banyak lagi keampuhan dari bug's XSS ini. Untuk lebih jelasnya silahkan anda googling sendiri dengan mengetikkan keyword "XSS".:P
Disini saya akan menunjukkan teknik yang paling biasa dilakukan para attacker yaitu melakukan deface halaman web secara virtual atau biasa disebut dengan Virtual Defacement.
Yupz,,pertama-tama saya tertuju pada link web yang saya akan akses yaitu fasilitas untuk pencarian jadwal. Memang dengan sekilas tidak ada yang aneh pada page pencarian jadwal tersebut, karena tidak terjadi error sedikit pun pada page yang saya akses.



Tapi dengan rasa keingin tahuan, saya mulai sedikit menganalisa dari page tersebut Apakah halaman pencarian jadwal tersebut bener-bener tidak ada masalah(thinking), dengan begitu pertama-tama saya melihat source dari page tersebut.



Setelah melihat dari source diatas, kita telah mengetahui untuk sebuah variable input mempunyai value yaitu "nip", yang dimana pada nilai dari variable yang akan kita cari merupakan Nama-nama dari pegawai.




Dan pada source diatas lagi, disitu terlihat berupa variable "name" dengan mempunyai nilai yaitu "thn_sid". Nah dari situ kita bisa mencoba-coba(iya,disini saya lakukan dengan coba-coba terlebih dahulu), yaitu dengan memodifikasi URL page tersebut seperti berikut

http://xxxxxxxx.namadomainnya/carijadwal.html?nip=0011104803|Ali%20Mudhofir%2C%20Drs.%2CM.Hum&thn_sid=%3Cb%3ETesting%3C/b%3E&submit1=CARI

Nah, dari hasil dari percobaan ini lah kita bisa mengetahui apakah page tersebut vulnerable atau tidak. Muncul pertanyaan, Apakah page tersebut terkena bug XSS??

Sesuai dengan judul dari tulisan ini yaitu melakukan Virtual defacement, maka selanjutnya saya akan mencoba memasukkan beberapa perintah dan tentu saja memanggil "gambar" yang akan saya ganti halaman tersebut tentunya dengan "gambar" yang saya panggil melalui URL yang sudah saya modifikasi tentunya.:P



Dengan hasil dari injekan melalui URL seperti pada gambar diatas dapat dikatakan saya melakukan deface halaman tanpa melakukan pengrusakan dan hanya mengganti halaman tersebut ke tampilan halaman yang saya inginkan, dimana teknik yang saya pakai kali ini adalah teknik XSS yang paling biasa digunakan yaitu dengan merubah tampilan dari web yang kita lakukan injeksi URL dengan bantuan bug's XSS.
Sebenarnya masih banyak teknik-teknik lain yang bisa kita gunakan seperti menambah user,melakukan Social Engineering, maupun pencurian cookie si user. Tapi pada kasus ini, saya hanya melakukan teknik yang sangat sederhana. Jadi, semua tergantung dari kreatifitas kita masing-masing. :P
Mungkin itu aja dari saya yang hanya menunjukkan bagian dari XSS Attack dan semoga celah tersebut dapat di Patch secepatnya. :)

Baca lebih lanjut»(Continue read)