Cara Hack Web Apps

Selamat datang kembali pemula hacker!

Dengan artikel ini saya memulai dengan seri dasar cara Hacking Aplikasi Web.

Kami melihat pengujian aplikasi web kerentanan, situs kloning, web app footprinting, aplikasi web password cracking, dan banyak lainnya. Dalam seri ini, kita akan mulai dengan dasar-dasar dan perlahan maju ke teknik dan alat yang lebih maju. Ini kemungkinan akan menjadi seri yang sangat panjang.

Mari kita mulai dengan terlebih dahulu memberi Anda tautan ke apa yang telah kita bahas dan kemudian melanjutkan ke dasar-dasar vektor serangan untuk aplikasi web.

Pemindaian kerentanan dengan Nikto Pemindaian kerentanan dan pemetaan backend dengan Wikto Aplikasi web cracking password dengan Burp Suite dan THC-Hydra Scraping password potensial dengan CeWLSQL injection dengan sqlmap. Menggunakan BeEF untuk mengendalikan browser pengguna Cross-site scripting (XSS) dengan Metasploit. Menemukan direktori website dengan DirBuster

Aplikasi web hacking dan seri ini bisa dipecah menjadi beberapa area.

- Memetakan Server dan Aplikasi

Seperti hack apapun, semakin kita tahu tentang target, semakin baik peluang sukses kita. Dalam kasus aplikasi web, kita mungkin ingin mengetahui target OS, web server, dan berbagai teknologi pendukung aplikasi web.

Selain itu, pemetaan aplikasi mungkin mencakup pencacahan konten dan fungsionalitas, menganalisis aplikasi, mengidentifikasi fungsi sisi server, dan memetakan permukaan serangan. Adalah penting bahwa kita melakukan ini terlebih dahulu dan akurat sebelum melanjutkan serangan.

- Web Application Attack Vectors

Meskipun ada ratusan cara aplikasi web hacking, mereka dapat dikelompokkan menjadi 8 tipe dasar.

- Kontrol Sampah Klien Hacking

Salah satu area hacking aplikasi web yang paling populer adalah menyerang kontrol sisi klien. Dalam hal ini kita akan melihat transmisi data melalui klien dan menangkap data pengguna.

- Otentikasi Hacking

Kami telah melihat secara singkat otentikasi web hacking dengan THC-Hydra dan Burp Suite namun kami akan melihat beberapa alat otentikasi lainnya serta melewati otentikasi seperti mengambil token dan mengulanginya, piggybacking sisi klien, dan pemalsuan permintaan lintas situs.

- Manajemen Sesi Hacking

Kami akan mencari cara untuk meng-hack manajemen sesi aplikasi. Manajemen sesi memungkinkan aplikasi mengidentifikasi pengguna secara unik di beberapa permintaan. Saat pengguna masuk, manajemen sesi memungkinkan pengguna berinteraksi dengan aplikasi web tanpa harus mengautentikasi ulang untuk setiap permintaan. Karena peran utamanya, jika kita bisa mematahkan manajemen sesi aplikasi kita bisa melewati otentikasi. Dengan demikian, kita tidak perlu memecahkan username dan password untuk mendapatkan akses.

- Hacking Access Controls dan Authorization

Di bidang ini, kita akan memeriksa bagaimana ACL sidik jari dan menyerang ACL dengan cara yang memungkinkan kita melanggar ACL.

- Komponen Hacking Back End

Kami telah melakukan sedikit hacking back-end sepertiinjeksi SQL dengan sqlmap namun kami akan memperluas area ini dengan alat SQLi baru dan juga menyerang dan menyuntikkan XPATH dan LDAP. Kami juga akan melihat path atau direktori traversal, file inclusion vulnerabilities, XML, dan SOAP injection.

- Hacking Pengguna

Hacking pengguna adalah salah satu hacks aplikasi favorit saya. Secara teknis, ini bukan peretasan aplikasi web karena sebenarnya kami sedang hacking pengguna akhir, bukan aplikasi web, dengan mengarahkan mereka ke situs web kami dan memuat malware ke browser mereka dan berpotensi menjadi sistem mereka. Teknik ini mencakup cross-site scripting (XSS), pemalsuan permintaan lintas situs, menyerang browser, dan pelanggaran terhadap kebijakan asal yang sama.

- Hacking Web Application Management

Dalam banyak kasus, aplikasi web memiliki konsol manajemen atau antarmuka manajemen lainnya. Jika kita dapat mengakses konsol atau antarmuka tersebut kita dapat mengubah semuanya dengan mudah mengenai situs web termasuk merendahkannya.

- Hacking Web Server

Dalam beberapa kasus, kita bisa hack server yang mendasari aplikasi web seperti Microsoft Information Server (IIS), Apache Apache server Apache, atau Nginx. Jika kita bisa mendapatkan kontrol dan akses ke server yang mendasarinya, mungkin kita memberi masukan pada aplikasi web.

Teruslah kembali, para hacker pemula saya, saat kami memperluas repertoar alat dan teknik hacking untuk menyertakan hacking aplikasi web!