secure analysis & testing (hacking technique)
Post on 07-Jan-2016
26 Views
Preview:
DESCRIPTION
TRANSCRIPT
Secure Analysis & Secure Analysis & Testing Testing (Hacking Technique)(Hacking Technique)
Universitas Langlangbuana Bandung Bandung, 25 Oktober 2008
Arif Wicaksono
AgendaAgenda
Today’s HackersRisk ManagementTypes of Security TestTesting Methodology FootPrinting Port Scanning Penetrate, External Enumeration Discussion
Today’s HackersToday’s Hackers
Today’s HackersToday’s Hackers
Today’s HackersToday’s Hackers
Today’s HackersToday’s Hackers
Risk Management (for Ethical Hacker)Risk Management (for Ethical Hacker)
Vulnerabilities
Threats
Risk Management (for Ethical Hacker)
Type of Security TestType of Security Test
Testing MethodologyTesting Methodology
Testing MethodologyTesting Methodology
Footprinting
Testing Methodology : FootPrintingTesting Methodology : FootPrinting
Informasi Domain Informasi Jaringan dan Server
Testing Methodology : FootPrintingTesting Methodology : FootPrinting
Testing Methodology : FootPrintingTesting Methodology : FootPrinting
Testing Methodology : FootPrintingTesting Methodology : FootPrinting
Testing Methodology : FootPrintingTesting Methodology : FootPrinting
Testing MethodologyTesting Methodology
ScanningDiscovery of IPs,
ports, services, and
vulnerabilities.
* Direct connection
may be made to
target
Port Scanning : Identifikasi OSPort Scanning : Identifikasi OS
Stack FingerPrint
NMAP -O
Informasi Banner sebuah Service pada OS
Port Scanning : Identifikasi OSPort Scanning : Identifikasi OS
Port aktif Windows : port 135 & 139 (NetBIOS), 445 (Ms-DS) Unix (Umum) : 22, 23, 79, 111
Ping
Port Scanning : Identifikasi OSPort Scanning : Identifikasi OS
Port Scanning : Identifikasi OSPort Scanning : Identifikasi OS
Testing MethodologyTesting Methodology
Penetrate,
External
Penetrasi Jaringan PublikPenetrasi Jaringan Publik
Testing MethodologyTesting Methodology
EnumerateObtain list of users,
Passwords, shares,
NetBIOS, names,
SMTP strings, etc.
Mendapatkan informasi lanjutan dari sebuah Sistem Operasi
Daftar User Shares
Enumerasi DasarEnumerasi Dasar
NBT NetBIOS over TCP / IP
Enumerasi DasarEnumerasi Dasar
Legion
Tools EnumerasiTools Enumerasi
GetAcct
Tools EnumerasiTools Enumerasi
Enumerasi : SNMP VulnerabilityEnumerasi : SNMP Vulnerability
Era tahun 2000 – 2002 Bug Unicode / DecodeEra tahun 2003 - 2007
RPC - DCOM Netapi PnP DNS RPC Vulnerability
Bug Terbaru dan cukup Berbahaya tahun 2008 8 April 2008
Windows Kernel Could Allow Elevation of Privilege
Bug yang Populer Pada WindowsBug yang Populer Pada Windows
Bug pada System Windows
Bug yang Populer Pada WindowsBug yang Populer Pada Windows
Bug aplikasi
Bug yang Populer Pada WindowsBug yang Populer Pada Windows
Masalah pada system Hacking Serangan bersifat spesifik : OS, H/w, Services, dll.
Berbeda juga cara serangan dan eksploitasinya.
Perubahan yang cepat : OS, H/w, Services, dll.
Firewall
Latar Belakang Ancaman Latar Belakang Ancaman pada Web Serverpada Web Server
Click KiddiesClick Kiddies
Hasil dari Click KiddiesHasil dari Click Kiddies
Click Kiddies Era baru Hacking, khusus pada serangan aplikasi web
Hanya diperlukan satu trick khusus yang ampuh untuk melakukan serangan
Senjata ampuhnya : cukup dengan BROWSER
Tools tambahan lainnya :
Port Scanner
Netcat
Vullnerability checker : Acunetix, Goolag, SandCat, Nikto, Black Widow, dll.
Milw0rm
Metasploit Framework
Dll.
Latar Belakang Ancaman Latar Belakang Ancaman pada Web Serverpada Web Server
Desain Aplikasi WebDesain Aplikasi Web
Informasi pada WebsiteLogo & AplikasiManipulasi URL
Directory traversal
Source Code
Informasi BerhargaInformasi Berharga
Jenis-jenis Serangan Jenis-jenis Serangan Terhadap Aplikasi WebTerhadap Aplikasi Web
Buffer overflow, stack overflow, heap overflow Format string Parameter manipulation (command execution,
unicode/URL Decoding, file inclusion, path transversal, HTTP splitting)
Cross Site Scripting (XSS) SQL Injections Session/Cookie Hijacking & Manipulation
Testing MethodologyTesting Methodology
Penetrate, Internal
Testing MethodologyTesting Methodology
Escalate, protect
Testing MethodologyTesting Methodology
Pillage
Testing MethodologyTesting Methodology
Get Interactive
Testing MethodologyTesting Methodology
Expand influence
Testing MethodologyTesting Methodology
Cleanup / maintenance
DISCUSSIONDISCUSSION
Terima KasihTerima Kasih
arifwsn@gmail.com
top related