(2011) Artikel tentang anatomi hacker dalam melakukan hacking. Terdiri dari beberapa tahap (Footprinting, Scanning, Enumeration, Gaining Access, Escalating Privilege, Pilfering, Covering Tracks, Creating Backdoors, Denial of Service). Artikel ini dibuat terpadu dan komprenehsif dengan tambahan contoh real hacking yang terjadi dalam setiap step nya.
Sistem informasi rentan terhadap ancaman keamanan seperti serangan hacker, virus, dan kehilangan data. Perusahaan harus memastikan keamanan sistem informasi dengan meningkatkan keamanan akses, melakukan backup database secara berkala, dan selalu memperbarui aplikasi dan plugin untuk mencegah celah keamanan.
This document provides instructions for using Paint.net to edit photos by opening a photo file, using tools like the paint bucket and effect menus to distort, apply oil painting and pencil drawing filters, then saving the edited photo. It also provides contact information to ask questions about using Paint.net.
This document summarizes and analyzes several art masterpieces from the Louvre featuring female nudity. It discusses drawings by Hendrick Goltzius and Jean-Antoine Houdon's sculpture of Diana that capture the female form through techniques like shading and balanced composition. It also examines works by Agostino Carracci, Jacques Blanchard, and Jean-Baptiste Regnault that realistically depict mythological nude female figures through elements such as proportion, chiaroscuro lighting, and symmetrical balance. The document explains that these pieces were chosen because they portray the "ideal and normal" female body in a natural way, and proposes exhibiting them together in a circular presentation ordered by increasing sensuality.
This survey design document outlines best practices for creating effective surveys, including creating an introduction to provide context, determining the necessary information, knowing the target demographic, limiting the number of responses and questions, writing concise questions in the proper format like multiple choice or ratings scale, proofreading, and noting that Survey Monkey makes data collection easy when following best practices.
(2011) Artikel tentang anatomi hacker dalam melakukan hacking. Terdiri dari beberapa tahap (Footprinting, Scanning, Enumeration, Gaining Access, Escalating Privilege, Pilfering, Covering Tracks, Creating Backdoors, Denial of Service). Artikel ini dibuat terpadu dan komprenehsif dengan tambahan contoh real hacking yang terjadi dalam setiap step nya.
Sistem informasi rentan terhadap ancaman keamanan seperti serangan hacker, virus, dan kehilangan data. Perusahaan harus memastikan keamanan sistem informasi dengan meningkatkan keamanan akses, melakukan backup database secara berkala, dan selalu memperbarui aplikasi dan plugin untuk mencegah celah keamanan.
This document provides instructions for using Paint.net to edit photos by opening a photo file, using tools like the paint bucket and effect menus to distort, apply oil painting and pencil drawing filters, then saving the edited photo. It also provides contact information to ask questions about using Paint.net.
This document summarizes and analyzes several art masterpieces from the Louvre featuring female nudity. It discusses drawings by Hendrick Goltzius and Jean-Antoine Houdon's sculpture of Diana that capture the female form through techniques like shading and balanced composition. It also examines works by Agostino Carracci, Jacques Blanchard, and Jean-Baptiste Regnault that realistically depict mythological nude female figures through elements such as proportion, chiaroscuro lighting, and symmetrical balance. The document explains that these pieces were chosen because they portray the "ideal and normal" female body in a natural way, and proposes exhibiting them together in a circular presentation ordered by increasing sensuality.
This survey design document outlines best practices for creating effective surveys, including creating an introduction to provide context, determining the necessary information, knowing the target demographic, limiting the number of responses and questions, writing concise questions in the proper format like multiple choice or ratings scale, proofreading, and noting that Survey Monkey makes data collection easy when following best practices.
El documento describe ubicaciones espaciales comunes utilizando palabras como "en la primera calle", "detrás", "frente de", "entre", "a lado de" y "cerca" para indicar posiciones relativas.
Buku ini membahas tentang statistika, yaitu cabang matematika terapan yang mempunyai cara-cara untuk mengumpulkan, menganalisis, dan mempresentasikan data. Bab pertama membahas tentang menyajikan data dalam bentuk diagram, tabel distribusi frekuensi, serta menghitung ukuran pemusatan, letak, dan penyebaran data.
Dokumen tersebut merangkum tentang pembuatan story board untuk website pembelajaran tentang materi kalor. Story board mencakup halaman awal, menu utama, penjelasan submenu tentang apersepsi, teori kalor, visualisasi materi, latihan soal, dan link sumber belajar tambahan. Submenu utama materi kalor mencakup penjelasan tentang suhu, pemuaian, pengaruh kalor terhadap zat, dan perpindahan kalor.
To make a monthly budget in Excel, first know your gross and net income by listing your sources of pay. Then make a list of all expenses including essential costs and fun activities. Finally, create the budget and be prepared to eliminate non-essential expenses if your income is not enough to cover costs.
The document provides an analysis of the 1950 Japanese film Rashomon by Akira Kurosawa. It examines how the film presents four different accounts of a murder from four witnesses, demonstrating that truth is subjective based on individual perspectives and experiences. The document also discusses philosopher Roger Ebert's view that the multiple accounts in the film suggest there is no single, objective truth. It analyzes how theories of expectation, memory, emotion and reason influence how individuals perceive and recall events.
Presentación inicio de curso de Cálculo DiferencialEmisael alarcon
Este documento presenta la asignatura de Cálculo Diferencial dictada por el Ing. Emisael Alarcón Allende en el Tecnológico de Estudios Superiores de Tianguistenco. Describe los objetivos, competencias, contenido y evaluación del curso, así como las políticas que los estudiantes deben seguir. El curso se enfoca en desarrollar la comprensión de funciones, límites, derivadas y su aplicación para resolver problemas de optimización.
This document summarizes and analyzes several art masterpieces from the Louvre featuring female nudity. It discusses drawings by Hendrick Goltzius and Jean-Antoine Houdon's sculpture of Diana that capture the female form through techniques like shading and balanced composition. It also examines works by Agostino Carracci, Jacques Blanchard, and Jean-Baptiste Regnault that realistically depict mythological nude female figures through elements such as proportion, chiaroscuro lighting, and symmetrical balance. The author chose these pieces because they portray the nude female body in a natural way through the artists' imaginations, and would exhibit them together in a circular presentation ordered by increasing sensuality.
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...Fitri Febriani
Dokumen tersebut membahas tentang keamanan sistem informasi, termasuk ancaman terhadap keamanan sistem seperti gangguan hacker dan serangan virus, serta berbagai cara untuk mencegah dan menanggulangi ancaman tersebut seperti menggunakan firewall, antivirus, dan memperbarui sistem operasi dan piranti lunak secara berkala.
Step by step konfigurasi squid server dari berbagai kasusfilar
Squid Proxy Server merupakan tutorial yang memberikan panduan lengkap untuk konfigurasi Squid proxy server dengan berbagai studi kasus seperti membatasi akses internet, memblok situs terlarang, dan transparan proxy.
Squid Proxy Server merupakan tutorial yang memberikan panduan lengkap untuk konfigurasi Squid proxy server dengan berbagai studi kasus seperti membatasi akses internet, memblok situs terlarang, dan transparan proxy.
Menciptakan Sertifikat SSL dengan OpenSSLMunir Putra
Praktikum membuat sertifikat SSL menggunakan OpenSSL meliputi instalasi perangkat lunak yang dibutuhkan, pembuatan kunci publik dan privat, permintaan tanda tangan sertifikat, dan penandatanganan mandiri untuk membuat sertifikat. Konfigurasi Apache dilakukan untuk mengaktifkan modul SSL dan menerapkan sertifikat pada situs web https://www.asem.com yang dihosting secara lokal.
Tulisan ini membahas penggunaan framework Zend untuk membangun aplikasi PHP. Secara singkat, tulisan ini menjelaskan tentang struktur folder dan file-file dasar yang dibutuhkan untuk memulai pengembangan dengan Zend framework, termasuk cara membuat controller, view, dan form inputan sederhana.
El documento describe ubicaciones espaciales comunes utilizando palabras como "en la primera calle", "detrás", "frente de", "entre", "a lado de" y "cerca" para indicar posiciones relativas.
Buku ini membahas tentang statistika, yaitu cabang matematika terapan yang mempunyai cara-cara untuk mengumpulkan, menganalisis, dan mempresentasikan data. Bab pertama membahas tentang menyajikan data dalam bentuk diagram, tabel distribusi frekuensi, serta menghitung ukuran pemusatan, letak, dan penyebaran data.
Dokumen tersebut merangkum tentang pembuatan story board untuk website pembelajaran tentang materi kalor. Story board mencakup halaman awal, menu utama, penjelasan submenu tentang apersepsi, teori kalor, visualisasi materi, latihan soal, dan link sumber belajar tambahan. Submenu utama materi kalor mencakup penjelasan tentang suhu, pemuaian, pengaruh kalor terhadap zat, dan perpindahan kalor.
To make a monthly budget in Excel, first know your gross and net income by listing your sources of pay. Then make a list of all expenses including essential costs and fun activities. Finally, create the budget and be prepared to eliminate non-essential expenses if your income is not enough to cover costs.
The document provides an analysis of the 1950 Japanese film Rashomon by Akira Kurosawa. It examines how the film presents four different accounts of a murder from four witnesses, demonstrating that truth is subjective based on individual perspectives and experiences. The document also discusses philosopher Roger Ebert's view that the multiple accounts in the film suggest there is no single, objective truth. It analyzes how theories of expectation, memory, emotion and reason influence how individuals perceive and recall events.
Presentación inicio de curso de Cálculo DiferencialEmisael alarcon
Este documento presenta la asignatura de Cálculo Diferencial dictada por el Ing. Emisael Alarcón Allende en el Tecnológico de Estudios Superiores de Tianguistenco. Describe los objetivos, competencias, contenido y evaluación del curso, así como las políticas que los estudiantes deben seguir. El curso se enfoca en desarrollar la comprensión de funciones, límites, derivadas y su aplicación para resolver problemas de optimización.
This document summarizes and analyzes several art masterpieces from the Louvre featuring female nudity. It discusses drawings by Hendrick Goltzius and Jean-Antoine Houdon's sculpture of Diana that capture the female form through techniques like shading and balanced composition. It also examines works by Agostino Carracci, Jacques Blanchard, and Jean-Baptiste Regnault that realistically depict mythological nude female figures through elements such as proportion, chiaroscuro lighting, and symmetrical balance. The author chose these pieces because they portray the nude female body in a natural way through the artists' imaginations, and would exhibit them together in a circular presentation ordered by increasing sensuality.
SIM, Fitri Febriani, Hapzi Ali, Keamanan Sistem Informasi, Universitas Mercu ...Fitri Febriani
Dokumen tersebut membahas tentang keamanan sistem informasi, termasuk ancaman terhadap keamanan sistem seperti gangguan hacker dan serangan virus, serta berbagai cara untuk mencegah dan menanggulangi ancaman tersebut seperti menggunakan firewall, antivirus, dan memperbarui sistem operasi dan piranti lunak secara berkala.
Step by step konfigurasi squid server dari berbagai kasusfilar
Squid Proxy Server merupakan tutorial yang memberikan panduan lengkap untuk konfigurasi Squid proxy server dengan berbagai studi kasus seperti membatasi akses internet, memblok situs terlarang, dan transparan proxy.
Squid Proxy Server merupakan tutorial yang memberikan panduan lengkap untuk konfigurasi Squid proxy server dengan berbagai studi kasus seperti membatasi akses internet, memblok situs terlarang, dan transparan proxy.
Menciptakan Sertifikat SSL dengan OpenSSLMunir Putra
Praktikum membuat sertifikat SSL menggunakan OpenSSL meliputi instalasi perangkat lunak yang dibutuhkan, pembuatan kunci publik dan privat, permintaan tanda tangan sertifikat, dan penandatanganan mandiri untuk membuat sertifikat. Konfigurasi Apache dilakukan untuk mengaktifkan modul SSL dan menerapkan sertifikat pada situs web https://www.asem.com yang dihosting secara lokal.
Tulisan ini membahas penggunaan framework Zend untuk membangun aplikasi PHP. Secara singkat, tulisan ini menjelaskan tentang struktur folder dan file-file dasar yang dibutuhkan untuk memulai pengembangan dengan Zend framework, termasuk cara membuat controller, view, dan form inputan sederhana.
Dokumen tersebut membahas tentang standar instalasi beberapa aplikasi web-based untuk akses email (MUA) di Institut Manajemen Telkom, yaitu NOCC, SquirrelMail, dan Openwebmail. Dokumen tersebut menjelaskan langkah-langkah instalasi dan konfigurasi ketiga aplikasi tersebut beserta penjelasan singkat perbedaan fitur masing-masing aplikasi.
Dokumen tersebut memberikan panduan mengenai cara menjaga keamanan sistem Linux dengan memperhatikan log sistem, pengaturan firewall, pembuatan akun pengguna baru, dan mengamankan akun root. Dokumen tersebut juga membahas cara mengamankan sistem melalui enkripsi file, pengaturan password, dan modul otentikasi.
Dokumen tersebut membahas tentang mengamankan komponen web Java EE dengan menggunakan otentikasi dasar HTTP. Dijelaskan proses konfigurasinya melalui penambahan pengguna, peran keamanan, dan pembatasan keamanan pada deployment descriptor standar dan khusus GlassFish serta mengakses URL teramankan setelah login.
Dokumen tersebut memberikan penjelasan tentang cara konfigurasi proxy server Squid pada sistem operasi Linux dengan menjelaskan langkah-langkah pengaturan proxy pada distribusi Linux seperti Ubuntu, CentOS, dan OpenSUSE serta fitur-fitur penting Squid seperti filtering website, keyword, dan waktu akses.
Dokumen ini menjelaskan bagaimana administrator sistem dapat menggunakan Google untuk menemukan celah keamanan pada situs web mereka sendiri dengan melakukan query khusus. Metode ini meliputi pencarian direktori terbuka, kesalahan pesan, layanan jarak jauh, dan laporan kerentanan yang tersedia secara online. Dokumen ini juga memberikan saran keamanan untuk mencegah eksploitasi celah tersebut.
1. HOW TO SECURE YOUR
Author: Viska Agasi a.k.a vhyVizz
Contact: vizz91agasi@gmail.com
Home: http://www.facebook.com/vizkaaa & http://www.twitter.com/vhyVizz
History:
- Introduce
- Analysis The c0de
- Patching / securing
- Reference
- Great and Thanks
0x01: INTRODUCE
What is FCKEditor ? FCKEditor is a browser based WYSIWYG editor, which brings to the Web common
editing features found on desktop editing applications. It's fully accessible, semantics and standards
aware.
0x02: Analysis The c0de
Mungkin semua sudah pada mengenal dan mengetahui Jenis dan type kelemahan or lobang
keamanan pada web applikasi yg satu ini.. Ya, FCKeditor Memiliki Vulnerability atau kelemahan atau
bug pada session upload nya.
Vulnerability ini pertama sekali di temukan oleh rgod dari altalavista melalui tehnic RCE (Remote
Command Execution), Dan Belakangan lebih di populer kan oleh eidelweiss dan team security yg di
kenal dengan sebutan pentesters.ir dengan exploitasi remote file/ shell upload nya.
2. Letak kesalahan atau vulnerability c0de nya bias kita lihat pada configuration file nya:
/filemanager/connectors/php/config.php
global $Config ;
// SECURITY: You must explicitly enable this "connector". (Set it to "true").
// WARNING: don't just set "$Config['Enabled'] = true ;", you must be sure
that only authenticated users can access this file or use some kind of
session checking.
$Config['Enabled'] = true ; // <= 1
---
// Path to user files relative to the document root.
$Config['UserFilesPath'] = '/userfiles/' ; // <= here is the path of
attacker file or shell backdoor will be placed.
// following setting enabled.
$Config['ForceSingleExtension'] = true ; //
$Config['AllowedExtensions']['File'] = array('7z', 'aiff', 'asf', 'avi',
'bmp', 'csv', 'doc', 'fla', 'flv', 'gif', 'gz', 'gzip', 'jpeg', 'jpg', 'mid',
'mov', 'mp3', 'mp4', 'mpc', 'mpeg', 'mpg', 'ods', 'odt', 'pdf', 'png', 'ppt',
'pxd', 'qt', 'ram', 'rar', 'rm', 'rmi', 'rmvb', 'rtf', 'sdc', 'sitd', 'swf',
'sxc', 'sxw', 'tar', 'tgz', 'tif', 'tiff', 'txt', 'vsd', 'wav', 'wma', 'wmv',
'xls', 'xml', 'zip') ; // <= 3
Seperti yg kita lihat Dengan konfigurasi default or standart seperti di atas , an attacker might be able
to upload arbitrary files containing malicious PHP code due to multiple file extensions isn't properly
checked. Dan vulnerability c0de lain dapat kita temukan pada file
/filemanager/connectors/upload.php
*/
require('./config.php') ;
require('./util.php') ;
require('./io.php') ;
require('./commands.php') ;
require('./phpcompat.php') ;
function SendError( $number, $text )
{
3. SendUploadResults( $number, '', '', $text ) ;
}
// Check if this uploader has been enabled.
if ( !$Config['Enabled'] )
SendUploadResults( '1', '', '', 'This file uploader is disabled. Please check the
"editor/filemanager/connectors/php/config.php" file' ) ;
$sCommand = 'QuickUpload' ;
// The file type (from the QueryString, by default 'File').
$sType = isset( $_GET['Type'] ) ? $_GET['Type'] : 'File' ;
$sCurrentFolder = GetCurrentFolder() ;
// Is enabled the upload?
if ( ! IsAllowedCommand( $sCommand ) )
SendUploadResults( '1', '', '', 'The ""' . $sCommand . '"" command isn't allowed' ) ;
// Check if it is an allowed type.
if ( !IsAllowedType( $sType ) )
SendUploadResults( 1, '', '', 'Invalid type specified' ) ;
FileUpload( $sType, $sCurrentFolder, $sCommand )
?>
Seperti yg kita lihat, tidak ada nya session yg mengharuskan kita untuk login or mempunyai access
untuk dapat melakukan upload file ke pada server.
Banyak cara yg bisa di lakukan untuk melakukan exploitasi dengan vulnerability ini.Salah satu nya
ialah FCKEditor Menyediakan sebuah file untuk melakukan test upload dan langsung menyimpan ke
dalam server tanpa melakukan verifikasi atau pengecekan jenis file yg di upload terlebih dahulu.
File yg saya maksud di sini ialah pada link berikut:
/fckeditor/editor/filemanager/connectors/uploadtest.html
/fckeditor/editor/filemanager/connectors/test.html
4. Seorang Attacker bisa langsung melakukan penetrasi dengan mengupload sebuah file baik itu sebuah
text atau file html dan tidak menutup kemungkinan untuk mengupload file image yg di ijinkan oleh
pengaturan $Config['AllowedExtensions']['File'].
Dan tanpa di sadari file images tersebut bisa berisikan file script shell php, Atau Para Attacker juga
bisa menggunakan Trick dengan mengupload sebuah file .htaccess terlebih dahulu untuk dapat
langsung mengupload file php seperti berikut:
<FilesMatch "_php.gif">
SetHandler application/x-httpd-php
</FilesMatch>
Banyak Cara lain yg bisa di lakukan untuk mengesekusi or mengexploitasi vulnerability pada FCKeditor
ini. Salah Satu nya yg sangat Familiar ilah dengan menggunakan Metode Remote Comment Execution
or Remote Shell Upload Yg Di popular kan oleh eidelweiss .
http://www.exploit-db.com/exploits/12506
http://www.exploit-db.com/exploits/12376/
0x03: Patching / Securing
Setelah Kita Menganalysis c0de or Vulnerability nya lantas pasti kita akan bertanya Bagaimana cara
Pengamanan nya ?
Yach, Pastinya Setiap Ada Kelemahan or lubang harus di perbaiki , di cegah atau pun di tambal (Bukan
Tambal Ban loch :D). Berikut Ada Beberapa Tips and Trick Bagaimana untuk Mencegah Vulnerability
Pada FCKEditor.
1. Delete default uploader tester file on fckeditor
/fckeditor/editor/filemanager/connectors/uploadtest.html
/fckeditor/editor/filemanager/connectors/test.html
2. Creat Session authentication or user session based auth at the top of your upload.php
example:
session_start();
$level=$_SESSION['level'];
if($level!="admin") { die();}
5. 3. Change the c0de in configuration.php of your fckeditor file
global $Config ;
// SECURITY: You must explicitly enable this "connector". (Set it to "true").
// WARNING: don't just set "$Config['Enabled'] = true ;", you must be sure
that only
// authenticated users can access this file or use some kind of session
checking.
$Config['Enabled'] = true ; // <= 1 This one(Change to False)
Menjadi : $Config['Enabled'] = false ;
0x04: Reference
- www.google.com
- http://en.wikipedia.org/wiki/CKEditor
- http://www.exploit-db.com/exploits/12506
- http://www.exploit-db.com/exploits/17644/
0x05: Regards and Thanks
- Randy Arios a.k.a eidelweiss
- Devilzc0de Forum