EXPLOREYOURBRAINISM

Just shares about life-networking-programing-ebook-computer-*nix-music-religion and more…

Currently Viewing Posts in Web Application

Patch Recaptcha PHP-Fusion 7 For Defending Spambot Attack

March 8, 2011
1 Comment

This is Step By Step to Patch Recaptcha into your PHP-Fusion 7 Comment Form.

1. Get Public & Private Key from http://www.google.com/recaptcha

2. Download the Recaptcha library from here extract recaptchalib.php & upload to directory www[dot]yoursite[dot]com/includes/

3. edit file “comments_include.php” from www[dot]yoursite[dot]com/includes/ directory

4. Find this line (line 39)

if (iMEMBER) {
$comment_name = $userdata[‘user_id’];

Add this code after it

//Update By EVA-00 For patch Recaptcha
//Start Here
require_once BASEDIR.”includes/recaptchalib.php”;
$privatekey = “inpur-your-private-key”; //you got this key from the signup page
$resp = recaptcha_check_answer ($privatekey,
$_SERVER[“REMOTE_ADDR”],
$_POST[“recaptcha_challenge_field”],
$_POST[“recaptcha_response_field”]);
if (!$resp->is_valid) {
{redirect($link);}
}
//End Here

5. the last one, find this line ( line 165)

echo display_bbcodes(“360px”, “comment_message”);

Add this code after it

//Update By EVA-00 For patch Recaptcha
//Start Here
echo “<br />”.$locale[‘global_158’].”<br /><br />”;
require_once BASEDIR.”includes/recaptchalib.php”;
$publickey = “Input-Your-Public-key”; // you got this key from the signup page
echo recaptcha_get_html($publickey);
//End Here

Done, you can download full script here and modify it as you want.

Cara mengganti “Undefined” pada tanggal posting

March 2, 2010
0 Comments

Gw baru ngeh ternyata di blog gw ada tulisan “Undefined” yang artinya tanggal posting tidak terdefinisi.

Untuk membenahi problem tersebut caranya sangat mudah (tapi kl buat orang awam kan blm tentu mudah :d) anda hanya perlu mengganti konfigurasi tanggal, berikut ini langkah2 yang harus anda lakukan.
1. Login ke blogspot.com
2. Masuk ke menu Settings -> Formatting
3. Ganti konfigurasi Date Header Format, Archive Index Date Format, dan Timestamp Format seperti gambar dibawah ini
4. Save Setting dan blog saya sudah terlihat normal (Tulisan Undefined sudah tergantikan dengan tanggal).
Btw dah lama jg blog gw ga ke-urus. 😛

All About CPanel For Newbie Only…!!!

January 19, 2009
0 Comments

Cpanel bukanlah barang baru di dunia maya ini, hampir semua penyedia jasa webhosting menyediakan Cpanel. Saat ini di Indonesia sedang marak-maraknya membuat website / blog mulai dari yang gratisan sampai dengan yang berbayar sekalipun dan tentunya pengetehuan akan Cpanel berperan penting dalam hal ini.

Untuk itu disini saya mencoba untuk memberi sedikit pengetahuan untuk membedah fungsi – fungsi yang ada di Cpanel. Sehingga para pembaca bisa memanfaatkan seluruh fitur yang di sediakan.

Klik Disini Untuk Mendownload

SQL Injection Exposed : Proof of Concept

December 1, 2008
12 Comments

SQL-Injection Exposed

eBook SQL Injection Exposed adalah eBook yang membahas Proof of Concept sebuah SQL Injection yang mampu melumpuhkan situs-situs besar, bagaimana seorang attacker bisa medeface halaman suatu situs

Bagaimana attacker mendapatkan username dan password, bagaimana attacker mengetahui adanya bug dan lain sebagainya, ebook ini terdiri dari 28 halaman, anda tidak di sajikan materi yang membosankan karna anda juga mendapatkan sebuah applikasi CMS sederhana yang digunakan untuk materi injeksi, jadi bisa langsung anda praktekkan pada komputer anda sendiri.

Sekedar bocoran, niatnya artikel iniakan saya kirim ke sebuah majalah security yang akan terbit pada bulan desember 2008 mendatang, tetapi berhubung batas pengiriman artikel sudah ditutup (dan belum tentu diterima pula 😛 ) ya apa boleh buat, dari pada artikel ini hanya menjadi barang tak berguna lebih baik saya publikasikan langsung saja kepada anda dalam bentuk eBook. Dan mohon dikoreksi jika ada kata-kata atau penjelasan yang salah pada artikel ini.

Klik Disini Untuk Mendownload

Kelalaian Admin Dalam Mengkonfigurasi Server, bahayakah???

September 19, 2008
0 Comments
Kelalaian admin dalam mengkonfigurasi server, bahayakah???

Oleh tomahawk & EVA-00
Published: September 17, 2008
Updated: September 17, 2008

Berawal dari sebuah pesan yang dikirimkan oleh seorang sahabat maya.

tomahawk_digital: http://www.otomotifnet.com
tomahawk_digital: username : 1′ or ‘1=1’/*
pass : 1’ or ‘1=1’/*
tomahawk_digital: ampun deh
EVA-00: gw cek dulu ke TKP

 

Owh…telah ditemukan bug SQL injection pada situs http://www.otomotifnet.com yang memungkinkan attacker bisa login tanpa mengetahui username & password. Sahabat ku mencoba mencari tau email sang admin untuk melaporkan bug tersebut, namun disayangkan sahabat ku tidak menemukan email sang admin . Tapi tunggu dulu, aku menemukan halaman surat pembaca, niatnya aku dan sahabat ku ingin melaporkan bug tersebut disitu, tapi sangat disayangkan lagi karena kata-kata pada halaman tersebut membuat kami jengkel .

 

tomahawk_digital: “Mengingat banyaknya surat yang masuk, redaksi mengutamakan surat yang ditulis dengan baik dan disertai dengan identitas yang jelas”
tomahawk_digital: sok laris nih situs
EVA-00: gw jg mau bilang ke lu.
EVA-00: bener-bener so laris neeh situs

 

Niat baik untuk melaporkan bug berubah menjadi  ingin memberi pelajaran kepada situs tersebut. “Kasih pelajaran apa yah…” terpikir dibenak ku, apakah surat pembaca sudah difilter oleh tag html???

 

EVA-00: gw lagi nyobain surat pmebacanya..
EVA-00:  😛
tomahawk_digital:puasa  oi…
EVA-00: kali aja blm di filter.
tomahawk_digital: upload yah
EVA-00: yoi.
tomahawk_digital: ayoo…ceritanya lo client…gw admin
tomahawk_digital: lo jg bisa yah jadi admin
EVA-00: seep…
tomahawk_digital: gk di filter, lari kemana yah??
EVA-00: tunggu bentar.
tomahawk_digital: ah kupret..upload gambar juga gk ngaruh
EVA-00: coba masukin html
EVA-00: ngaruh gak.
tomahawk_digital: bntar
tomahawk_digital: gk ngaruh

 

Ternyata halaman surat pembaca sudah di filter dan kami tidak bisa memberikan pelajaran pada situs tersebut.  Hmmm ku coba melihat halaman utamanya, wow…situsnya menarik sekali, ku coba tekan CTRL + U untuk melihat source codenya. Sungguh puyeng melihat berates-ratus baris code seperti ini. Eits apa ini??? Aku menemukan sebuah URL yang sangat menarik.

 

eXplore Your Brain

 

Ku coba melihat url tersebut melalui browser ku, wooooowwww. Direktori web hostingnya terlihat dengan jelas. Dan ada satu direktori untuk melakukan upload file 😛 setan yang terpenjara di bulan puasa ini mulai bangkit di otak ku.

eXplore Your Brain

 

EVA-00: http://202.xx.xx.xx/gramedia/
EVA-00: situsnya hostingnya kocak.
EVA-00: clientnya kliatan semua.
tomahawk_digital: numpang ngakak dulu
EVA-00: http://202.xx.xx.xx/gramedia/upload/
tomahawk_digital: mati kalo ini,  coba aahhh
EVA-00: sama gw jg mau nyoba..
tomahawk_digital: puasa…aahh…dosa dikiittt
EVA-00: tunggu gw blm upload nih.
tomahawk_digital: ada
tomahawk_digital: sensored_nama_backdoor.php
EVA-00: mana??
tomahawk_digital: http://202.xx.xx.xx/gramedia/upload/tmp/

 

sahabat ku sudah mengupload shell code dan ku coba mengaksesnya, kami bisa dibilang hanya seorang script kiddie, So What???

Ku coba mencari informasi penting pada server tersebut walaupun agak lama dan membuang waktu akhirnya aku menemukannya. Dan ku coba melakukan remote pada server tersebut & door….Whoami ?? I’m root now…

 

eXplore Your Brain

 

Another Directory :

eXplore Your Brain

 

Mungkin langkah yang kami lakukan hanyalah trik kacangan yang cupu dan sudah sangaaat basi. Tapi sebenarnya bukan trik nya yang basi atau cupu, melainkan sang admin yang terlalu lalai dalam mengkonfigurasi server, sehingga dengan mudah dimasuki oleh attacker.

Yang dapat kita simpulkan dari cerita tersebut adalah administrator lalai dalam mengkonfigurasi servernya. Setelah aku meng-explore server tersebut aku menemukan sebuah file yang berisi username & password untuk koneksi kedalam database, karna usernamenya adalah ‘root’ dan passwordnya adalah “xxx” disitulah terpikirikan oleh ku untuk meremote server tersebut berdasarkan informasi yang saya dapatkan. Dan hasilnya root..root & root.
Aku memang kurang paham dalam mengkonfigurasi server, tapi jika satu user dan password digunakan secara bersama-sama menurut ku ini bukanlan konfigurasi yang benar (CMIIW).

Akhir kata, kami ingin mengucapkan banyak terima kasih kepada :

EVA-00 :
Greats to : All Hacker & Cracker in the world dari yg online sampe yg offline, espesialy to temen2 di Jasakom & exploreyourbrain yang membuat ku selalu meng-explorisasi otak. So…keep explore your brain guys….

Tomahawk :
Thanks to Allah SWT…maafkan saya, lagi puasa malah melakukan penetrasi..hiks
seperti biasa, kampus tercinta IPB, khususnya jurusan teknik komputer.
Th30nly, masih tetep belom bisa bales gw ilmu dari lo.
All jasakomers.
om PIRUS (kayanya sekarang beliau jadi konsultan aye nih …piss)

tomahawk & EVA-00

 

Status : Bug ini sudah di laporkan kepada Admin dan di respon sangat baik.

 

Cara Mudah Membuat Website Dalam Waktu Kurang Dari 10 Menit

August 1, 2008
0 Comments

Artikel yang dibuat oleh kawan saya ini, sungguh mencuri perhatian temen-temen yang tidak bisa membuat website, bagaimana tidak, hanya dalam waktu kurang dari 10 menit anda sudah bisa memiliki website, sudah termasuk domai, hosting, photoalbum, forum, cms dsb. bagi yang tertarik silahkan kunjugin artikel yang dibuat oleh Ibliz-tampan disini

Tidak ada salahnya jika anda mencoba, Semuanya FREE…tanpa di pungut bayaran.

Deface Profile Friendster …!!!!

November 30, 2007
0 Comments

Deface itu apa sih??? Deface adalah suatu teknik ilegal yang digunakan untuk mengganti atau mengubah seluruh atau sebagian halaman dari suatu website tanpa se-ijin pengelolanya. dan yang sedang marak akhir-akhit ini adalah defacing Profile Friendster secara massal. dan Apakah Profile Friendster anda pernah berubah tampilannya atau dideface, seperti gambar dibawah ini.

Deface-Profile-Friendster
Deface-Profile-Friendster

Kalau tampilan profile friendster anda sudah diganti seperti ini, berarti anda telah lalai dalam mengkonfigurasi friendster anda. OK…saya akan memberi tau anda bagai mana cara mendeface profile friendster tersebut dan cara menangkalnya, tapi ingat artikel ini dibuat untuk tujuan pendidikan, dan supaya anda dapat menghindari aksi defacing masal seperti ini.

Pada contoh kali ini, saya akan mendeface friendster saya sendiri, setelah anda login dan bla.bla..bla, saya mengirimkan Comment atau testimonial kedalam Friendster saya, kok testimonial? Yup…karena testimonial adalah salah satu jalur yang dapat di isi input oleh para pengguna friendster. dan bagaimana kalau input tersebut saya isi dengan kode-kode jahat? maka hasilnya bisa seperti gambar diatas, hah…!!!
Ok, sekarang saya akan memasukkan xploit_for_fs yang bisa anda download disini.



Download xploit_for_fs

Laly saya mengcopy xploit tersebut kedalam friendster saya, dan yang pasti script tersebut sudah saya modifikasi sendri, saya yakin bagi anda yang sudah terbiasa dengan kode-kode HTML bisa mengartikan dan memodifikasi script tersebut, dan saya tidak akan menjelaskan kepada anda fungsi-fungsi dari baris script tersebut, silahkan usaha sendiri ya…!!

Maka setelah anda mengklik tombol “Submit” Jreeeengggg….!!!! Selamat Profile Friendster anda telah dideface seprti gambar paling atas…gampangkan??? tapi ingat, kalau anda melakukan hal tersebut siap-siap untuk diserang balik, dan mungkin akibatnya lebih parah dari artikel ini….Dewasalah..!!!

Kenapa hal itu bisa terjadi??? Sebenarnya trik tersebut tidak akan berhasil jika user mensetting ” Approve comments automatically ” menjadi “Never”, masih bingung ya??? gini aja deh…setelah anda masuk kedunia friendster silahkan klik “Setting” seperti gambar dibawah ini.

Setelah anda mengkliknya, maka akan tampil beberapa setting untuk profile friendster anda, kalau anda mensetting ” Approve comments automatically ” menjadi “Never” seperti gambar dibawah ini, maka 90% profile friendster anda akan aman, kok cuma 90%, 10%nya kemana?, ingatlah…didunia ini tidak ada satupun website yang secure 100%, percayalah…!!!

mensetting pilihan tersebut menjadi Never, maka setiap ada Comment atau Testimonial yang masuk maka Comment tersebut tidak akan langsung ditampilkan kedalam profile friendster anda, comment tersebut akan tampil jika anda meng-Approve Comment tersebut atau yang lebih tepatnya lagi, anda-lah yang mengatur Comment atau testimonial yang akan ditampilkan diprofile friendster anda. Lain halnya jika anda memilih “Always” alhasil setiap ada Comment yang masuk ke friendster anda, Comment tersebut akan langsung ditampilkan tanpa seijin anda, maka BURUAN Setting friendster anda sebelum di-deface oleh orang lain.

EVA-00, friendster gw udah deface nih sama musuh bebuyutan gw, trus cara balikin tampilan profile friendsternya gimana? hah…udah ada yang kena deface??? memang saat ini aksi deface-mendeface friendster sedang hangat-hangatya, orang yang tidak tau apa-apa malah jadi kelinci percobaan… kalau anda ingin mengembalikan tampilan friendster yang sudah di-deface, ikuti petunjuk dibawah ini.

Setelah anda login kedalam situs friendster, bukalah browser baru lalu ketik url ini
http://www.friendster.com/comments.php

Pada tampilan diatas, terlihat seluruh Comment ada pada friendster anda, Lalu Check atau centang user yang memberikan kode-kode jahat kedalam friendster anda, pada artikel ini saya menghapus Comment yang baru saja saya kirim, lalu didelete Comment tersebut, maka Profile Friendster anda akan kembali seperti semula, Woi EVA-00 kok pas gw coba kok ga’ bisa tampilannya ga’ berubah??? kalau belum bisa, coba Profile Friendsternya di Refresh dahulu…

Sekali lagi saya ingatkan, Artikel ini dibuat untuk tujuan pendidikan dan supaya anda dapat menghindari aksi defacing masal seperti ini…

Apakah situs anda terdapat pada database google?

November 30, 2002
0 Comments

Website yang selama ini anda buat sudah siap untuk di publikasikan, anda meng-upload file-file tersebut pada salah satu webhosting, yes…website anda sudah bisa di akses. anda memberitahukan kepada teman anda untuk mengaksesnya, karena teman anda lupa dengan nama website anda, maka teman anda mencarinya di google, loh kok…websitenya ga’ ada di google???

Jika website anda tidak terdaftar pada database google, maka anda harus mendaftarkannya.

Yang harus anda lakukan adalah klik url www.google.com/addurl.html, atau jika anda ingin melihat dengan bahasa indonesia anda dapat mengakses url www.google.co.id/addurl.html  anda harus login menggunakan Email Gmail untuk menggunakan menu tersebut.

Masukkan nama Website anda pada bagian URL dan masukkan keyword website anda pada bagian Tanggapan yang nantinya akan menjadi keyword untuk mencari website anda, title pada website anda juga harus mengandung keyword. Perbanyak alt keywords pada image di website anda, misalnya , perbanyak juga website yang link ke website anda semakin banyak tentu pencarian pada google akan semakin akurat.

  • Recent Posts

  • Recent Comments

  • Archives

    • DevDmBootstrap4 Created by Danny Machal (DevDm.com)