Psikologi Web Hacker

Leave a reply

Tulisan ini membawa kita melihat bagaimana hacker melihat sebuah sistem yang akan menjadi targetnya.

Mari kita masuk ke sudut pandang hacker. Apa yang diperbuat seorang hacker? Singkatnya, seorang hacker memiliki kemampuan untuk memperhitungkan kemungkinan informasi dan berpikir di luar kerangka (think out of the box). Yang diperbuat hacker adalah memahami apa yang sedang terjadi di hadapannya, menduga-duga apa yang tak terdeklarasikan, dan menyatukan mekanisme-mekanisme terdalam dari suatu entitas yang tak dikenal.

Saya ada contoh URL yang kemungkinan juga menjadi perhatian seorang hacker.

https://www.niceshooping.com/order/buy.asp?item=L032&pmt=visa

URL ini berasal dari sebuah aplikasi yang secara dinamis beberapa parameternya membangkitkan output. Apalagi yang bisa kita lihat dari itu? Banyak!

Pertama kita bisa tarik dari sumbernya, buy.asp. Ekstensi .asp menandakan bahwa file ini merupakan file Microsoft Active Server Page (ASP). File-file ASP berjalan secara khusus pada web server Microsoft IIS. Dengan demikian, www.niceshooping.com kemungkinan besar adalah sebuah server yang menggunakan Windows NT/2000/XP pada IIS.

Dari parameter-parameternya, kita temukan lagi beberapa petunjuk. Parameter pertama, item=L032, menandakan bahwa item yang sedang dibeli itu menetapkan suatu kode item dan rincian itemnya pasti disimpan di database. Pilihan terpopuler dari platform database untuk windows NT biasanya dalam bentuk Microsoft SQL Server atau database Microsoft Access. Bila ia adalah situs kecil, kemungkinan database yang dipakai adalah Microsoft Access. Lalu buy.php membuat sebuah query SQL kepada server database back-end agar mencari rincian item yang diperintahkan oleh kode itemnya.

Parameter kedua, pmt=visa, menandakan bahwa pembayaran untuk pembelian dilaksanakan memakai kartu kredit,dalam kasus ini kartu kredit visa. Jadi file buy.asp kemungkinan memiliki kode yang merupakan antarmuka sistem gateway pembayaran kartu kredit. Mungkin karena itulah digunakan SSL (https).

Well, mungkin segitu dulu untuk pengantarnya. Bagi yang berminat, silahkan cari
tau sendiri 😀

Bacaan :
Web Hacking : Attack and Defense by Stuart McClure, Saumil Shah, Sheeraj Shah

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.