Cara Kerja Dan Pencegahan Email Spoofing Dan SQL Injection
Cara Kerja Dan Pencegahan
E-mail spoofing adalah pemalsuan header e-mail sehingga pesan tampaknya berasal dari seseorang atau suatu tempat lain selain sumber aktual. Distributor spam yang sering menggunakan spoofing dalam upaya untuk mendapatkan penerima untuk membuka, dan mungkin bahkan menanggapi, permohonan mereka.
Spoofing dapat digunakan secara sah. Contoh-contoh klasik dari pengirim yang mungkin lebih memilih untuk menyamarkan sumber e-mail termasuk pengirim pelaporan penganiayaan oleh pasangan (dalam hal ini maksudnya pelaporan dari istri atau suami) ke sebuah agen keselamatan atau "Whistle-blower" yang takut diketahui oleh terlapor. Namun, spoofing ke orang lain dari diri sendiri adalah ilegal di beberapa wilayah Hukum.
Cara Kerja E-mail Spoofing
Metode PenyebaranKarena sekarang banyak spammer menggunakan software khusus untuk membuat alamat pengirim acak, bahkan jika pengguna menemukanasal e-mail tidak mungkin bahwa alamat e-mail akan aktif.
Teknik yang sekarang digunakan adalah ubiquitously oleh software bulk e-mail sebagai sarana untuk menyembunyikan asal penyebaran. Pada infeksinya, mengandung worm seperti virus ILOVEYOU, atau Klez dan Sober akan sering mencoba melakukan pencarian untuk e-mail alamat dalam buku alamat dari mail client, dan menggunakan alamat tersebut dalam field Dari e-mail yang mereka kirimkan, sehingga e-mail ini tampaknya telah dikirim oleh pihak ketiga. Varian baru WORM ini telah membangun pada teknik ini dengan secara acak semua atau bagian dari alamat e-mail. Virus worm dapat menggunakan berbagai metode untuk mencapai ini, termasuk:
* Random surat generasi
* Built-in daftar kata
* Amalgamating alamat yang ditemukan di buku alamat
Squirrel Mail Spoofing:
Spammer juga menggunakan metode lain untuk spoof dan mengirim spam melalui email berbasis web. Pertama spammer menggunakan robot spam untuk menyebarkan secara paksa di mana mereka mencoba untuk menebak password umum. Robot spammer mengambil keuntungan dari situasi umum seperti password akan diketahui dan akan mengirimkan query secara acak dari semua pengguna mungkin danpassword untuk bulan dan bahkan bertahun-tahun.
Menggunakan robot spammer dapat mengirim ratusan pertanyaan per menit. Setelah password pengguna online diduga spammer akan login melalui webmail yang biasanya dipasang di banyak server. Squirrel Mail adalah yang umum digunakan. Mereka kemudian mengubah 'Informasi Pribadi' untuk spoof spam mereka. Berikutnya, perubahan spammer semuanya jadi alamat yg terdaftar tapi alamat server yang sebenarnya berlaku. Misalnya jika domain adalahabc.com spammer akan meninggalkan ini di bidang email Address karena kebanyakan server akan menolak atau gagal melalui apa otentikasi yang tidak memiliki domain server. Namun spammer perubahan alamat balasan,yang sering memungkinkan mereka untuk mendapatkan balasan. Spammer juga memiliki waktu efisien dalam hal menyalin dan paste tubuh pesan. Jadi mereka memasukkan spam di isi SIGNATURE.
spammer sekarang dapat mengirim email seperti user biasa. Mereka menulis email baru. Mereka memasukkan penerimadi bidang BCC dan isi spam mereka secara otomatis dimasukkan. Inilah cara bagaimana email palsu dan spam mail dikirim.
So berhati-hatilah menerima email dari seseorang yang tidak anda kenal,karena dapat merugikan anda sendiri nantinya.dan mungkin saja mengandung virus yang berbahaya.
Cara Pencegahan
Pertahanan terbaik Anda adalah skeptisisme. Jika Anda tidak percaya bahwa email itu benar, atau bahwa pengirimnya sah, maka jangan klik pada link dan ketik alamat email Anda.
Jika ada file attachment, cukup buka saja, jangan sampai itu berisi payload virus. Jika email itu sepertinya terlalu bagus untuk menjadi kenyataan, mungkin memang begitu, dan skeptisisme Anda akan menyelamatkan Anda dari membocorkan informasi perbankan Anda.
Berikut adalah beberapa contoh penipuan email phishing dan spoof. Lihatlah sendiri, dan latihlah mata Anda untuk tidak mempercayai jenis email semacam ini.
Jika ada file attachment, cukup buka saja, jangan sampai itu berisi payload virus. Jika email itu sepertinya terlalu bagus untuk menjadi kenyataan, mungkin memang begitu, dan skeptisisme Anda akan menyelamatkan Anda dari membocorkan informasi perbankan Anda.
Berikut adalah beberapa contoh penipuan email phishing dan spoof. Lihatlah sendiri, dan latihlah mata Anda untuk tidak mempercayai jenis email semacam ini.
Cara Kerja SQL INJECTION
jadi cara kerja yang ane simpulkan berdasarkan contoh di atas
adalah
attcker menginput perintah berbahaya lalu di eksekusi dengan program , program mengirimkan querynya ke database. Mudah kan.
attcker menginput perintah berbahaya lalu di eksekusi dengan program , program mengirimkan querynya ke database. Mudah kan.
Query berbahaya yang sering di gunakan
—
query yang ada di belakang — akan di anggap sebagai komentar / di abaikan
query yang ada di belakang — akan di anggap sebagai komentar / di abaikan
;
untuk mengakhiri sebuah query biasanya di gunakan untuk mengirimkan perintah / query baru
Contoh : SELECT * FROM namatabel; DROP namatabel–
untuk mengakhiri sebuah query biasanya di gunakan untuk mengirimkan perintah / query baru
Contoh : SELECT * FROM namatabel; DROP namatabel–
concat()
berfungsi menggabungkan string
berfungsi menggabungkan string
union
berfungsi menggabungkan 2 tabel yang berbeda dengan syarat jumlah kolom harus sama
Contoh : SELECT * FROM user WHERE id=’1′ UNION SELECT kolom1,kolom2 FROM namatabel|
berfungsi menggabungkan 2 tabel yang berbeda dengan syarat jumlah kolom harus sama
Contoh : SELECT * FROM user WHERE id=’1′ UNION SELECT kolom1,kolom2 FROM namatabel|
cara mencegah SQL Injection
Sedikit membahas tentang keamanan,
kali ini kita akan membahas tentang bagaimana cara mencegah sql injection.
Sebelum kita melangkah lebih jauh, mari kita mengenal apakah SQL injection.
SQL
injection adalah salah satu jenis teknik penyerangan yang ditujukan ke database
di server. Cara yang digunakan sebenarnya sangat sederhana, yaitu penyerang
berusaha memasukkan query yang tidak valid ke melalui field input ataupun
melalui URL. Mengingat sederhananya teknik ini ada beberapa programmer yang
terkadang mengabaikannya.
Untuk mencegah SQL injection,
kita harus mengamankan value yang dikirim melalui URL maupun field dalam form.
Jangan pernah menggunakan parameter dari URL atau form tanpa melakukan
validasi.
Berikut ini
adalah contoh yang buruk :
1
2
|
$username = $_POST['username];
$id = $_POST['id'];
|
Ada beberapa cara untuk mengamankan nilai input,
berikut ini beberapa di antaranya yang sering digunakan :
a. Menggunakan mysql_real_escape_string(). Penggunaannya bisa digabungkan dengan fungsi trim(). Berikut ini adalah contohnya :
a. Menggunakan mysql_real_escape_string(). Penggunaannya bisa digabungkan dengan fungsi trim(). Berikut ini adalah contohnya :
1
|
$username = mysql_real_escape_string(trim($_POST['username']));
|
b. Menggunakan addslashes(). Penggunaannya bisa
digabungkan dengan fungsi trim(). Berikut ini adalah contohnya :
1
|
$username = addslashes(trim($_POST['username']));
|
c. Menggunakan casting input. Misalnya nilai harus
berupa integer, anda bisa melakukan casting dengan fungsi int(). Berikut ini
adalah contohnya :
1
|
$id = (int) $_GET['id'];
|
d. Memeriksa apakah inputan mengandung karakter
terlarang dengan fungsi strpos(). Berikut ini adalah contohnya :
1
2
|
$username = 'coba2';
strpos($username, ';')?die('username tidak boleh
mengandung ";"'):'';
|
Demikianlah
sedikit pembahasan tentang bagaimana mencegah E-mail Spoofing Dan SQL Injection
Komentar
Posting Komentar