courtesy of e-ignite.co.uk
Banyak orang menyangka asalkan situsnya dijaga captcha, maka spammer tidak akan bisa menembusnya. Padahal ini salah besar! Captcha memang menyulitkan, namun tidak sembarang captcha, bila captcha tidak dibuat dengan benar dan asal-asalan, maka spammer bisa dengan mudah menembusnya.
courtesy of meebo.com
Memang benar, ternyata https adalah istilah IT yang banyak mengandung jebakan mitos dan seringkali orang salah mengerti. Kali ini yang saya sorot adalah penggunaan form dalam sebuah halaman html. Bagaimanakah form html yang aman?
courtesy of permatanet.com
Hah? Apa nggak salah nih. Https kan secure, mana mungkin bisa dibajak. Benar, tidak ada yang salah kok. Kalau anda sudah membaca dua artikel saya sebelumnya, understanding https dan session hijacking basics , anda akan mengerti bahwa dalam sebuah koneksi https tidak mungkin dibajak. Namun dengan trik yang akan saya jelaskan ini kita akan bisa membajak session https.
Kalau anda tanyakan pada nasabah bca, apa alamat internet banking bca. Pasti jawabannya adalah klikbca.com. Padahal yang benar bukan itu, yang benar adalah ibank.klikbca.com, bukan www.klikbca.com atau klikbca.com saja. Kelihatannya sepele, tapi ada konsekuensi security di sini. Web yang dilindungi dengan https (trusted) hanya ibank.klikbca.com, sedangkan www.klikbca.com tidak (untrusted).
Banyak pemilik situs tidak ingin isi situsnya dibajak orang lain. Bermacam-macam cara untuk menghindari pembajakan. Ada yang menggunakan javascript untuk men-disable klik kanan. Cara ini sangat mudah diatasi, cukup dengan mematikan javascript saja. Dalam artikel ini saya akan menunjukkan cara membongkar proteksi html guardian, yaitu software untuk mengenkrip html source agar tidak dicuri orang lain.
Anda akan terkejut mengetahui betapa banyak orang yang salah paham dan terjebak dengan mitos-mitos seputar https. Read this article and you won’t be one of them!
Https adalah jargon yang paling sering dikampanyekan oleh situs internet banking dan ecommerce. Benarkah https adalah jaminan keamanan bertransaksi? Tipe serangan seperti apa yang bisa dicegah dengan https dan tipe serangan apa yang tidak bisa dicegah dengan https?
Sudah baca majalah Underground Info ? Di majalah itu ada artikel yang ditulis oleh S’to tentang XSS di halaman login klikbca.com. Dalam tulisan ini saya bahas lebih jauh lagi dan saya berikan contoh exploit yang cukup berbahaya dari vulnerability yang ditemukan S’to di majalah tersebut.
What really is Session?
Bayangkan ketika anda nonton bioskop, lalu tiba-tiba di tengah pertunjukan anda ingin ke toilet yang letaknya di luar studio. Setelah anda selesai dari toilet, menurut anda apakah anda dibolehkan masuk atau diminta membeli tiket lagi? Bila anda diminta membeli tiket lagi, berarti dia “lupa” bahwa anda adalah penonton yang sah. Bagaimana cara penjaga pintu studio mengingat bahwa anda adalah pentonton yang sah? Saking banyaknya pentonton tidak mungkin penjaga hafal wajah tiap penonton. Maka cara yang dipakai adalah dengan bukti berupa tiket masuk.
vtunnel
Beberapa waktu yang lalu ketika lagi ramai kasus film Fitna, pemerintah memilih untuk memblok akses ke situs-situs seperti Multiply dan Youtube. Namun masyarakat tidak kekurangan akal, mereka menggunakan teknik tunneling atau proxying memanfaatkan proxy gratisan yang ada.
Tanpa disadari penggunaan http proxy gratis di internet memilih bahaya yang serius. Keleluasaan browsing dan anonimitas dibayar dengan resiko keamanan. Salah satu contoh situs yang banyak dipakai adalah vtunnel. Dalam situsnya vtunnel menjelaskan tujuan dibuatnya vtunnel:
symbian
Tidak banyak orang yang tahu bahwa sms yang berada di inbox bisa dibuat sendiri oleh pemilik hp, tanpa harus ada campur tangan orang lain. Hal ini mudah dilihat dari banyaknya orang yang percaya bahwa isi inbox adalah bukti kuat dan otentik bahwa orang lain telah mengirimkan sms padanya.
