Rabu, 10 Juni 2009

Pengertian LFI dan RFI

Pengertian LFI dan RFI

LFI (Local File Inclusion) adalah sebuah lubang pada site di mana attacker bisa mengakses semua file di dalam server dengan hanya melalui URL.


RFI (Remote File Inclusion) adalah sebuah lubang dimana site mengizinkan attacker meng-include-kan file dari luar server.



-> [Penjelasan ]
< fungsi-fungsi yang dapat menyebabkan LFI/RFI:
include(); include_once(); require(); require_once();
Dengan syarat pada konfigurasi php di server: allow_url_include = on allow_url_fopen = on magic_quotes_gpc = off
contoh: misalkan kita punya file index.php dengan content kodenya seperti ini, Code: include "../$_GET[framefile]"; ?>
Read rest of entry

Prinsip prinsip Transmisi LAN

Transmisi pada Local Area Network dapat dibagi ke dalam tiga kategori utama, yaitu : unicast, multicast dan broadcast yang masing-masing akan kita bahas berikut ini :


Unicast merupakan transmisi jaringan one to one. Ketika digunakan, satu system tunggal hanya mencoba berkomunikasi dengan satu system lainnya. Pada jaringan Ethernet, penggunaan unicast dapat diketahui dengan melihat mac address asal dan tujuan yang merupakan alamat host yang unik. Pada jaringan yang menggunakan IP, alamat IP asal dan tujuan merupakan alamat yang unik.

Ketika system berhubungan dengan frame jaringan, ia akan selalu memeriksa MAC address miliknya untuk melihat apakah frame tersebut ditujukan untuk dirinya, Jika MAC Address-nya cocok dengan system tujuan, ia akan memprosesnya. Jika tidak, frame tersebut akan diabaikan. Ingat, ketika dihubungkan ke hub, semua system melihat semua frame yang melalui jaringan, karena merka semua bagian dari collision domain yang sama.


Multicast

Multicast merupakan transmisi yang dimaksudkan untuk banyak tujuan, tetapi tidak harus semua host. Oleh karena itu, multicast dikenal sebagai metode tranmisi one to many (satu kebanyak). Multicast digunakan dalam kasus-kasus tertentu, misalnya ketika sekelompok computer perlu menerima transmisi tertentu.


Salah satu contohnya adalah streaming audio atau video. Misalkan banyak computer ingin menerima transmisi video pada waktu yang bersamaan. Jika data tersebut dikirimkan ke setiap computer secara individu, maka diperlukan beberapa aliran data. Jika data tersebut dikirimkan sebagai broadcast, maka tidak perlu lagi proses untuk semua system. Dengan multicast data tersebut hanya dikirim sekali, tetapi diterima oleh banyak system.

Protokol-protokol tertentu menggunakan range alamat khusus untuk multicast. Sebagai contoh, alamat ip dalam kelas D telah direservasi untuk keperluan multicast. Jika semua host perlu menerima data video, mereka akan menggunakan alamat ip multicast yang sama. Ketika mereka menerima paket yang ditujukan ke alamat tersebut, mereka akan memprosesnya. Ingatlah bahwa system masih tetapi memiliki alamt ip mereka sendiri-mereka juga mendengarkan alamat multicast mereka.


Broadcast

Jenis transmisi jaringan yang terakhir adalah broadcast, yang juga dikenal sebagai metode transmisi one to all ( satu kesemua). Walaupun broadcast cenderung membuang resource, beberapa protocol seperti ARP, bergantung kepadanya. Dengan demikian, terjadinya beberapa traffic broadcast tidak dapat dihindari. Pada jaringan Ethernet, broadcast dikirim ke alamat tujuan broadcast dikirim ke alamat tujuan khusus, yaitu, FF-FF-FF-FF-FF-FF-FF. Broadcast ini harus diproses oleh semua host yang berada dalam broadcast domain yang ditentukan.


sumber,
www.pc24.co.id/article/category41_1.htm

Read rest of entry

Jumat, 05 Juni 2009

EAPOL (Extensible Authentication Protocol)

EAPOL merupakan jenis protokol yang umum digunakan untuk authentikasi wireless dan point-to-point connection. Saat client resmi mengirimkan paket ke AP. AP menerima dan memberikan responnya, atau AP telah melakukan proses otorisasi. Dari protokol EAPOL, terdapat celah yang dapat digunakan untuk memperoleh nilai authentikasi.

Nilai authentikasi hanya terdapat saat awal terjadinya komunikasi client resmi dengan AP. Selanjutnya, bila sudah terhubung, protokol EAPOL tidak muncul lagi, kecuali saat 10 ribu paket berikutnya muncul. Seorang hacker dapat mengirim {injection) paket EAPOL hasil spoofing yang berisikan spoofing alamat SSID yang telah diselaraskan, MAC Address dan IP Address dari source/destination.

Client resmi mengirimkan paket EAPOL agar mendapat respon dari AP untuk proses autentikasi. Selanjutnya, AP akan memerika ID Card dari client. Attacker memanfaatkan kelemahan protokol tersebut dengan membuat ID Card palsu agar dibolehkan masuk oleh AP dan mendapatkan nomor untuk memasuki ruangan yang sama.

EAP melalui LAN (EAPOL), ditetapkan di IEEE 802.1x, menawarkan kerangka kerja yang efektif untuk otentikasi pengguna dan pengendalian lalu lintas ke jaringan yang dilindungi, serta berbagai enkripsi kunci secara dinamis. EAPOL merupakan standar untuk lulus Extensible Authentication Protocol (EAP) atau melalui kabel LAN nirkabel. Nirkabel di dalam lingkungan, 802.1x juga menjelaskan cara untuk jalur akses nirkabel pengguna dan untuk berbagi dan mengubah kunci enkripsi, dan menambah beberapa pesan yang membantu kelancaran operasi selama nirkabel. Tombol mengubah pesan membantu memecahkan utama kerentanan keamanan di 802,11, pengelolaan kunci WEP. Dengan 802.1x, WEP dibawa hingga tingkat keamanan yang dapat diterima bagi sebagian besar perusahaan.
Read rest of entry

Wardrive


Wardrive
With Wireless Networking, no cables or wires are needed to network your computers and share your Internet connection. Wi-Fi connects computers, printers, video camera's and game consoles into a fast Ethernet network via microwaves.

Wardrive adalah ekspedisi memancing elektronik untuk mencari jaringan wireless yang lemah. Kebanyakan, sebagian besar dari jaringan wireless tersebut bahkan tidak diberi password atau enkripsi untuk melindunginya. Kegiatan ini dilakukan untuk mencari jaringan mana saja yang akan dijadikan obyek serangan. Sehingga, kita bisa melakukan serangan terhadap jaringan wireless yang telah kita jadikan target. Untuk melakukan kegitan ini, hanya diperlukan peralatan sederhana. Kegiatan ini umumnya bertujuan untuk mendapatkan koneksi internet, tetapi banyak juga yang melakukan untuk maksud-maksud tertentu mulai dari rasa keingintahuan, coba coba, research, tugas praktikum, kejahatan dan lain lain.

Read rest of entry

fish'ing vs hacking

fish'ing) (n.) The tindakan mengirim e-mail ke user palsu mengklaim menjadi perusahaan yang sah didirikan sebagai upaya untuk scam pengguna menyerah ke informasi pribadi yang akan digunakan untuk pencurian identitas. E-mail mengarahkan pengguna untuk mengunjungi situs web di mana mereka akan diminta untuk meng-update informasi pribadi, seperti password dan kartu kredit, jaminan sosial, dan nomor rekening bank, yang sudah memiliki organisasi sah. Situs Web tersebut, bagaimanapun, adalah palsu dan mengatur hanya untuk mencuri pengguna informasi.
Misalnya, 2003 melihat proliferasi dari phishing scam di mana pengguna menerima e-mail dari diduga eBay mengklaim bahwa pengguna account adalah tentang yang akan ditangguhkan, kecuali jika dia klik link yang disediakan dan memperbarui informasi kartu kredit yang asli eBay sudah memiliki . Karena relatif sederhana untuk membuat situs Web terlihat seperti sebuah situs organisasi sah oleh mimicking kode HTML, yang dihitung pada scam ditipu orang yang mengira bahwa mereka sebenarnya telah dihubungi oleh eBay dan kemudian pergi ke situs eBay untuk mengupdate informasi account . Spamming besar oleh kelompok masyarakat, maka "phisher" dihitung pada e-mail yang dibaca oleh persentase dari orang-orang yang benar-benar telah tercantum nomor kartu kredit dengan eBay sah.

Phishing, juga disebut sebagai merek spoofing atau carding, adalah variasi pada "memancing," gagasan yang menjadi umpan adalah dilempar dengan harapan bahwa meskipun sebagian besar akan mengabaikan umpan, ada yang tergoda menjadi bersanding.gadis
Read rest of entry

SQL Commands Database

SQL Commands is a website demonstrating how to use the most frequently used SQL clauses. SQL Commands is not a comprehensive SQL Tutorial, but a simple guide to SQL clauses available online for free.

Our SQL Commands reference will show you how to use the SELECT, DELETE, UPDATE, and WHERE SQL commands. Each of the SQL commands articles is ilustrated with practical examples,


ABORT -- abort the current transaction
ALTER DATABASE -- change a database
ALTER GROUP -- add users to a group or remove users from a group
ALTER TABLE -- change the definition of a table
ALTER TRIGGER -- change the definition of a trigger
ALTER USER -- change a database user account
ANALYZE -- collect statistics about a database
BEGIN -- start a transaction block
CHECKPOINT -- force a transaction log checkpoint
CLOSE -- close a cursor
CLUSTER -- cluster a table according to an index
COMMENT -- define or change the comment of an object
COMMIT -- commit the current transaction
COPY -- copy data between files and tables
CREATE AGGREGATE -- define a new aggregate function
CREATE CAST -- define a user-defined cast
CREATE CONSTRAINT TRIGGER -- define a new constraint trigger
CREATE CONVERSION -- define a user-defined conversion
CREATE DATABASE -- create a new database
CREATE DOMAIN -- define a new domain
CREATE FUNCTION -- define a new function
CREATE GROUP -- define a new user group
CREATE INDEX -- define a new index
CREATE LANGUAGE -- define a new procedural language
CREATE OPERATOR -- define a new operator
CREATE OPERATOR CLASS -- define a new operator class for indexes
CREATE RULE -- define a new rewrite rule
CREATE SCHEMA -- define a new schema
CREATE SEQUENCE -- define a new sequence generator
CREATE TABLE -- define a new table
CREATE TABLE AS -- create a new table from the results of a query
CREATE TRIGGER -- define a new trigger
CREATE TYPE -- define a new data type
CREATE USER -- define a new database user account
CREATE VIEW -- define a new view
DEALLOCATE -- remove a prepared query
DECLARE -- define a cursor
DELETE -- delete rows of a table
DROP AGGREGATE -- remove a user-defined aggregate function
DROP CAST -- remove a user-defined cast
DROP CONVERSION -- remove a user-defined conversion
DROP DATABASE -- remove a database
DROP DOMAIN -- remove a user-defined domain
DROP FUNCTION -- remove a user-defined function
DROP GROUP -- remove a user group
DROP INDEX -- remove an index
DROP LANGUAGE -- remove a user-defined procedural language
DROP OPERATOR -- remove a user-defined operator
DROP OPERATOR CLASS -- remove a user-defined operator class
DROP RULE -- remove a rewrite rule
DROP SCHEMA -- remove a schema
DROP SEQUENCE -- remove a sequence
DROP TABLE -- remove a table
DROP TRIGGER -- remove a trigger
DROP TYPE -- remove a user-defined data type
DROP USER -- remove a database user account
DROP VIEW -- remove a view
END -- commit the current transaction
EXECUTE -- execute a prepared query
EXPLAIN -- show the execution plan of a statement
FETCH -- retrieve rows from a table using a cursor
GRANT -- define access privileges
INSERT -- create new rows in a table
LISTEN -- listen for a notification
LOAD -- load or reload a shared library file
LOCK -- explicitly lock a table
MOVE -- position a cursor on a specified row of a table
NOTIFY -- generate a notification
PREPARE -- create a prepared query
REINDEX -- rebuild corrupted indexes
RESET -- restore the value of a run-time parameter to a default value
REVOKE -- remove access privileges
ROLLBACK -- abort the current transaction
SELECT -- retrieve rows from a table or view
SELECT INTO -- create a new table from the results of a query
SET -- change a run-time parameter
SET CONSTRAINTS -- set the constraint mode of the current transaction
SET SESSION AUTHORIZATION -- set the session user identifier and the current user identifier of the current session
SET TRANSACTION -- set the characteristics of the current transaction
SHOW -- show the value of a run-time parameter
START TRANSACTION -- start a transaction block
TRUNCATE -- empty a table
UNLISTEN -- stop listening for a notification
UPDATE -- update rows of a table
VACUUM -- garbage-collect and optionally analyze a database


berfungsi buat heack ne sudah bisa kendali database.gak cuma buat ngerusak tp juga buat database.tp ne orang kayaq bbbbbbisa ngerusak buat susah,w w w eeee.
Read rest of entry
 

Followers

My Blog List

cara-hecker Copyright © 2009 Gadget Blog is Designed by Ipietoon Sponsored by Online Business Journal