Karena jika sebuah situs dirawat dan dikelola dengan baik, tentu aksi usil dari dedemit maya tidak akan mudah membobolnya. Bahkan ada indikasi hampir semua situs pemerintahan banyak yang ‘bolong’ sehingga mudah disusupi oleh Hacker.
Nah pertanyaannya bagaimana cara Hacker menemukan celah tersebut, ternyata di internet sendiri sudah banyak bertebaran tool scanner untuk mengetahui celah tersebut atau istilahnya adalah Vulnerable.
Salah satunya adalah Tools Acunetix Web Scanner, Penggunaan aplikasi yang satu ini cukup mudah dan kaya akan fitur database of hacking, karena hampir semua database kemanan lengkap dalam tools yang satu ini . Meliputi antara lain : Sql Injection , Xss, Site Crawler, Http editor, dan lain-lain . Anda cukup masukan alamat url website target dan scan
Saya akan coba menjelaskan beberapa fitur dari tools ini
1. Web Scanner
Fitur yang satu ini kita gunakan untuk membedah isi perut dari website yang kita scan . dalam arti kata dengan melakukan scan kita bisa melihat struktur dan info dari website yang kita scan. Nah kadang banyak yang menggunakan untuk mencari direktori / file sensitif , seperti admin login, cgi, system, open port dsb .
biasanya terdiri dari duafase:
Crawling -
Pada tahap ini, crawler secara otomatis menganalisis website dan kemudian melihat struktur website target.
Scanning -
Pada tahap ini, Acunetix WvS melakukan Web scan Vullnerability terhadap website yang kita scan. Sehingga kita bisa memperoleh data-data yang sensitif dan penting
2. Blind Sql Injector
Blind SQL Injector adalah sebuah tools otomatis, dan bisa untuk membantu untuk mengetes secara manual SQL Injection yang kita lakukan. Tools ini juga mampu menghitung database, tabel, data dump dan juga membaca file tertentu pada sistem file dari web server jika SQL injection dieksploitasi ditemukan
3. HTTP Editor
Berguna untuk membuat request HTTP dan debug custom, HTTP requests and responses. dan juga mencakup encoding dan decoding. seperti encode / decode teks dan URL untuk hash MD5, UTF-7 format dan banyak format lainnya
4. HTTP Fuzzer
Dengan Fuzzer HTTP Anda dapat melakukan tes fuzzing, untuk menguji aplikasi data pada web yang invalid atau tidak kita ketauhi. Dengan tool ini Anda dapat dengan mudah menginput rule untuk kita uji.
Contoh : http://website.com/listproducts.php?cat=… Kita dapat mengganti bagian terakhir dari URL ‘1 ‘dengan angka antara 1 sampai 999. Hanya hasil yang valid akan dilaporkan. Tingkat otomatisasi ini memungkinkan Anda untuk dengan cepat menguji hasil dari 1000 query tanpa harus melakukan satu persatu . Cape deh
5. Subdomain Scanner
Teknik ini untuk menebak-nebak nama sub domain umum, Subdomain scanner memungkinkan identifikasi yang cepat dan mudah dari domain sub aktif di zona DNS. Scanner Subdomain dapat dikonfigurasi untuk menggunakan target DNS server atau pengguna yang sama.
6. HTTP Sniffer
HTTP Sniffer bertindak sebagai proxy dan memungkinkan Anda untuk menangkap, memeriksa dan memodifikasi lalu lintas HTTP antara client HTTP dan server web. Anda juga dapat menambah atau mengedit perangkap perangkap untuk lalu lintas sebelum dikirim ke web server atau kembali ke klien web. tool ini berguna untuk Menganalisa bagaimana ID Sesi disimpan dan bagaimana input dikirim ke server.
7. Authentication Tester
Berguna untuk melakukan dictionary attack terhadap halaman login yang menggunakan kedua HTTP (NTLM v1, v2 NTLM,) atau bentuk berdasarkan otentikasi. Alat ini menggunakan dua file teks standar (kamus) yang berisi daftar nama pengguna umum dan password. Anda dapat menambahkan sendiri kombinasi ke listnya.
Jika ingin belajar lebih jauh bisa di download Tools nya di sini
0 komentar:
Posting Komentar