Cara menemukan Bug Click Jacking dan cara Patching Bug Click Jacking?

Oleh -


 

Sebelum kita memasuki inti dari pada pembahasaan kita mengenai cara Patching atau menambal Bug Click Jacking Vulnerabillity alangkah baiknya kita mengetahui 

Apa Itu Bug Click Jacking Vulnerabillity?

Dilansir dari ID-SIRTII/CC - Clickjacking merupakan semua jenis serangan pada aplikasi web yang membuat korbannya secara tidak sengaja mengklik elemen halaman web yang sebenarnya tidak ingin diklik. Hal ini paling sering diterapkan pada halaman web dengan menumpangkan konten berbahaya pada halaman tepercaya. Contohnya pada sebuah website terdapat pilihan tombol “Klik Di Sini” untuk mendapatkan hadiah. Selanjutnya korban akan penasaran dan ingin klik tombol tersebut. Namun ketika diklik ternyata memicu fungsi jahat yang telah dibuat oleh penyerang, mulai dari memalsukan atau mengikuti di media sosial hingga mengambil uang dari akun bank pengguna.

Jadi, dari keterangan diatas menunjukan bahwa bug click jacking merupakan sebuah kerentanan yang dapat mengakibatkan sebuah halaman website dapat diakses oleh orang lain melalui sebuah frame yang ditampilkan di halaman website milik hacker. Cara hacker tersebut melakukan serangan dengan membuat tampilan frame sederhana yang halamannya sudah dimanipulasi dengan memberikan tombol yang ketika korban atau pihak yang dijebak melakukan klik pada bagian tombol yang sudah dimanipulasi dapat menyebabkan hal yang tidak di inginkan seperti terjadinya kebocoran data dan lain lain.

Bug ini tergolong sebagai bug Low atau level rendah sesuai dengan bagian berbahaya pada halaman tersebut yang bisa di eksploitasi. Jika menurut developer website yang vuln merasa tidak ada bagian yang berbahaya maka, mereka tidak akan melakukan tindakan patching atau tambal.

Menurut Ardyan Vicky Ramadan, Founder Black Security - Serendah-rendahnya level sebuah bug dimata seorang programmer dan beberapa hacker, akan menjadi sebuah celah critical dimata seseorang yang dapat memanfaatkannya dengan jenius.

 

Pengalaman Saya dari Click Jacking

Ketika saya masih berkecimpung di dalam dunia Penetration Testing, saya pernah mencoba melakukan exploitasi pada halaman website yang memiliki kerentanan click jacking dan halaman tersebut memiliki sebuah form input yang dimana form tersebut memiliki input file yang memperbolehkan satu jenis file dengan format .pdf. Saya mencoba untuk membuat halaman website itu tereksploitasi dengan cara melakukan spam upload file pada server yang diframe pada website saya. Saya memanipulasi halaman website tersebut menggunakan website saya dengan memberikan lebar (width) frame 100% dan tinggi (height) 100% agar nantinya halaman website tersebut disangka sebagai website milik saya. Kemudian saya melakukan aksi social engineering melalui grup whatsapp agar banyak orang yang mengakses website saya dengan mengupload file .pdf secara random yang nantinya berguna untuk membanjiri traffic website target dengan spam packet yang dikirimkan oleh orang-orang yang berada di grup. Tujuan dari spam upload tersebut agar dapat membanjiri traffic dan membuat website tersebut overload . Hingga akhirnya, yang saya inginkan pun tercapai dengan memberikan 2000 spam dalam waktu bersamaan dan membuat website target overload selama beberapa jam. INI MERUPAKAN SALAH SATU AKIBAT DARI SERANGAN CLICK JACKING!!!!.

 

Cara menemukan Bug Click Jacking 

Cara menemukan Bug Click Jacking ini sangat mudah. Bug Hunter tidak harus memiliki skill yang cukup banyak dibidang programming dan cyber security, kalian hanya membutuhkan keahlian dasar HTML untuk menemukannya, yaitu tag IFRAME . Yang dimana tag Iframe merupakan tag pada HTML untuk menampilkan sebuah konten dari sebuah website yang berisikan link seperti menampilkan video youtube dihalaman website yang seyogyanya merupakan link dari pada video tersebut. Langsung saja kita mempraktekan cara menemukan bug Click Jacking:

  1. Siapkan notepad atau text editor yang berada pada laptop kalian. Jika kalian belum mengetahui apa itu text editor, kalian bisa mencari di google dengan keyword "apa itu text editor? dan macam-macam text editor". 
  2. Ketikan kode berikut pada text editor kalian <iframe src="https://websitetarget.com"></iframe>. Kalian bisa mengkreasikan tag tersebut dengan keahlian CSS sesuai selera kalian.
  3. Kemudian save dengan format file .html agar file yang kalian buat bisa langsung terbuka di browser.
  4. Jika halaman website target bisa ditampilkan maka, kalian telah berhasil menemukan bug click jacking dan jika website target tidak berhasil ditampilkan di browser kalian maka, akan mendapatkan pesan seperti ini "Tidak bisa membuka halaman ini" dan lain sebagainya sesuai dengan browser yang digunakan.

 

Cara Patching Bug Click Jacking?

Cara patch bug click jacking sangat mudah, yaitu dengan menggunakan kode php yang diprogram agar halaman website tidak di izinkan untuk tampil pada sebuah frame. Berikut cara Patching Bug Click Jacking:

  1. Misalkan halaman yang dilarang untuk ditampilkan adalah index.php maka sisipkan kode php ini untuk melarang penampil halaman web : <?php header("Content-Security-Policy: frame-ancestors 'none'"); ?>   
  2. Simpan simpan file dengan format .php misalkan index.php
  3. Sisipkan kode di atas pada semua bagian diwebsite yang masih terdapat celah Click Jacking

 

 

Itu lah tadi beberapa ulasan mengenai Bug Click Jacking Vulnerabillity, semoga ulasan diatas dapat bermanfaat untuk teman-teman sekalian yang sedang menjalani atau sedang membutuhkan informasi seputar celah Click Jacking.

Location: Kabupaten Kutai Kartanegara, Kalimantan Timur, Indonesia

Komentar

Posting Komentar

Berikan komentar anda

Postingan populer dari blog ini

Apa Itu HTML? Bagaimana Sejarah HTML Tercipta?

Oleh -
Gambar
  Mungkin untuk para programmer ataupun beberapa orang yang tidak mendalami programming sudah mengetahui tentang HTML dan sebagian kecil tentang HTML. Tapi masih banyak yang tidak mengerti bagaimana HTML itu bekerja dan seperti apa cara membuat HTML itu. Di artikel kali ini saya ingin memaparkan mengenai penjelasan umum tentang HTML dan contoh kecil penulisan HTML sebelum kita memasuki artikel selanjutnya.   APA ITU HTML? HTML memiliki kepanjangan Hyper Text Markup Languange yang berarti HTML merupakan sebuah markup atau biasanya disebut oleh programmer Indonesia sebagai kerangka untuk bahasa pemrogramman tertentu terkhusus untuk bahasa pemrogramman website. HTML merupakan dokumen komputer yang memiliki format sendiri, yaitu .html atau .htm yang keduanya bisa digunakan untuk penamaan formal file HTML dan akan menampilkan hasil yang sama pada browser. Banyak yang mengsalah artikan HTML itu sebagai Bahasa Pemrogramman, padahal sebenarnya HTML itu merupakan kerangka untuk bahasa...
Read more »

Tentang Saya

Oleh -
Cita Coding adalah blog untuk memberikan materi dan informasi seputar dunia programming yang terkhusus didalam bidang web development untuk menunjang para programme pemula dalam mempelajari cara membangun website dengan menggunakan kode-kode program. Cita Coding adalah blog yang dibuat oleh Muhammad Ibnu Zein untuk menunjang pengetahuan para programmer pemula dalam membangun sebuah situs website dengan keinginan dan selera dari desain hingga bahasa pemrogramman yang digunakan.
Read more »