Jika anda belum membaca artikel sebelumnya, sebaiknya dibaca dahulu karena masih berkaitan.
Oke kita lanjut lagi balada sang admin yang masih galau kok masih bisa ditembus pertahanannya. Di sisi yang lain mari kita telusuri bagaimana hacker memanipulasi data sehingga tetap bisa melakukan deface. Lets cekidot!
Kasus 2 : Tantangan Melewati Validasi Type File
Pertama kali hacker melakukan upload file-jahat.php , namun mendapat pesan penolakan seperti gambar dibawah :
“Hah~ sekarang udah ga bisa upload php ya, lumayan juga nih..” kata si hacker, tapi ini sih masih ada kemungkinan bisa ditembus..
Akhirnya hacker memakai cara memanipulasi tipe file menggunakan teknik tamper data.
- Jangan pernah percaya apa saja yang dikirimkan klien, lakukan validasi 2 tahap, melalui sisi klien dan juga sisi server.
- Buat list mime-type apa saja yang diperbolehkan untuk diupload.
- Tutup akses secara langsung pada folder tujuan upload.
- Maksimalkan penggunaan .htacess untuk menyaring type file
- Lakukan rename nama file hasil upload secara random
- Hindari tipikal upload file yang membolehkan untuk rewrite file
- Jika memungkinkan upload file diluar system utama
- Block IP jika user terus menerus melakukan upaya upload file secara tidak wajar
Sang admin pun akhirnya mengontrak Ethic Ninja untuk melakukan pemrograman diatas, dan drama ini berakhir dengan bahagia.