Ada beberapa teknik hacking pada web aplikasi diantaranya adalah sebagai berikut:
1. Hidden Manipulation
Field-field tersembunyi sering digunakan untuk menyimpan informasi tentang sesi klien, untuk menjaga kompleksitas database pada server side. Seorang klien biasanya tidak melihat field tersembunyi dan juga tidak berusaha untuk mengubahnya. Bagaimanapun juga memodifikasi form field sangatlah sederhana. Sebagai contoh , marilah kita anggap bahwa harga sebuah produk disimpan dalam field tersembunyi. Seorang hacker dapat mengubah harganya, seperti berikut ini :
* Membuka sebuah halaman html dengan HTML editor.
* Menempatkan sebuah field tersembunyi (contoh., “”)
* Memodifikasi nilainya dengan nilai yang berbeda (contoh. “”)
* Menyimpan file html ditempat itu dan mem-browse-nya.
* Mengklik tombol “buy” untuk menampilkan e-shoplifting melalui hidden manipulation.
2. Parameter Tampering (Perusakan Parameter)
Kegagalan untuk mengkonfirmasi kebenaran dari parameter-parameter Common Gateway Interface (CGI) yang tersimpan dalam hyperlink., dapat dengan mudah digunakan untuk mematahkan keamanan situs. Seperti di bawah ini :
Search.exe?template=result.html&q=security
Dengan mengganti parameter template, seorang hacker dapat memperoleh akses menuju file yang diinginkannya,
seperti /etc/passwd atau private key situs contoh : Search.exe?template=/etc/passwd&q=security
3. Cookie Poisoning
Umumnya Web aplikasi menggunakan cookie dengan tujuan untuk menyimpan informasi (user id, time stamp, dan lain-lain.) pada sisi klien. Sebagai contoh, ketika seorang user log ke beberapa situs, sebuah login CGI memvalidasi user name-nya dan password-nya dan mengeset sebuah cookie dengan identifier numerik-nya. Ketika user mengecek preference-nya kemudian, CGI yang lain (sebut saja, preferences.asp) me-retrive cookie dan menampilkan catatan-catatan user information sesuai dengan user-nya. Data-data yang tersimpan dalam cookie tidaklah aman, seorang hacker dapat memodifikasi-nya, jadi informasi yang terdapat pada cookie tersebut dapat dicuri dan dimanfaatkan oleh hacker.
III. Perampokan Acme Fashion, Inc.
Pada pertengahan th 1990an, ketika popularitas Web sedang menanjak, wakil manajer pemasarannya memutuskan untuk membuat situs www.acme-fashions.com bagi perusahaannya dan meletakkan dan meletakkan semua katalog di sana. Tim marketing kemudian sibuk membuat halaman HTML dan mengkonversi katalog-katalognya dalam bentuk elektronis.
Tetapi, begitu ada penjualan melalui situs Web tersebut, muncul juga keluhan-keluhan pelanggan. Kebanyakan keluhan ditujukan kepada departemen keuangan dan gudang. Departemen keuangan sering menerima keluhan mengenai produk yang dijual berharga lebih rendah daripada harga yang ditetapkan, padahal tidak ada diskon atau promosi yang ditawarkan. Karyawan di bagian pengiriman sering bingung sewaktu mereka mendapat order pengiriman dengan jumlah barang tertulis dalam angka negatif. Ketika kerugian hampir mencapai 100.000 dolar, akhirnya pihak direksi memanggil tim ahli sekuriti.
3.1. Melacak Masalah
Toko Web Acme – www.acme-fashions.com – telah menerapkan beberapa teknologi berikut ini:
Sistem Operasi Microsoft Windows NT 4.0
Web Server Microsoft Internet Information Server (IIS) 4.0
Katalog Online Template dan Active Server Page (ASP)
Database back-end Microsoft Access 2.0
Shopping Troli Shopcart.exe
Katalog HTML dibuat dengan menggunakan template dan Active Server Pages. Tim pemasaran pernah menggunakan FoxPro untuk database-nya dan menghasilkan halaman katalog HTML secara otomatis. Kemudian database Fox-Pro itu dikonversi ke dalam database Microsoft Access dan antarmukanya memakai ASP. Aplikasi trolli belanjanya, Shocart.exe, di setup pada server, serta template ASP didesain untuk menghasilkan HTML yang terhubung dengan aplikasi troli belanja. Troli belanja mengambil informasi produk dari HTML tersebut. Saat itu, kelihatannya semua cara itu sangat mempermudah dan mempercepat kesiapan toko elektronis dan bisa online sebelum deadline.
Shopcart.exe mempunyai sistem session management-nya sendiri, untuk menjalankan sesi troli belanja, yang bergantung pada cookie dan server-side session identifier. Karena tidak dimungkinkan untuk memodifikasi Shopcart.exe, tugas-tugas untuk memvalidasi input diserahkan ke JavaScript yang bekerja pada browser pelanggan.
3.2. Bahaya Tersembunyi pada Field-Field Tersembunyi
Setelah dipelajari ternyata ditemukan sebuah lubang pada cara penerapan sistem troli belanja. Dimana satu-satunya cara untuk menghubungkan harga dengan produknya melalui tag-tag tersembunyi pada halaman HTML. Gambar 3.1. menunjukkan halaman yang menampilkan baju-baju dan katalog di http://www.sceme-fashions.com.
Setiap baju memiliki hubungan dengan form penerimaan kuantitas baju yang dibeli dan terhubung juga dengan troli belanja. Pada kode HTML seperti yang diperlihatkan pada gambar 3.2. juga dapat ditemukan kelemahannya, yakni pada beberapa baris terakhir.
Source code berikut ini digunakan untuk memanggil Shopchart.Exe:
Sewaktu user mengklik tombol Buy, browser men-submit semua field input ke server, menggunakan request POST. Ada tiga field tersembunyi pada baris 2, 3, dan 4 dari kode tersebut. Nilai-nilainya juga terkirim bersama dengan request POST. Dengan demikian, sistem membuka suatu kelemahan pada tingkat aplikasi, karena user bisa saja memanipulir nilai dari field tersembunyi sebelum men-submit-nya ke form.
Untuk memahami situasi ini secara lebih baik, maka dapat kita perhatikan secara seksama request HTTP yang berasal dari browser ke server:
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com/shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image /gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset : iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-lengt: 65
PartNo=OS0015&Item=Acme+Shirts&Price=89.99&qty=1&buy.x=16&buy.y=5
Nilai dari field tersembunyi PartNo, Item dan Price di-submit dalam request POST ke /cgi-bin/shopcart.exe. Itulah cara satu-satunya Shopcart.exe mengambil harga, misalnya baju nomor OS0015. Browser menampilkan respon yang ditunjukkan pada Gambar 3.3.
Oleh karena request POST dikirim bersama dengan nilai yang bisa dimodifikasi pada field price, user pun bisa mengontrol harga baju tersebut. Request Post berikut ini menunjukkan bahwa harga baju yang semula 89.99 dolar diubah menjadi 0,99 dolar.
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-length: 64
PartNO=OS0015&Item=Acme+Shirts&Price=0.99&qty=1&buy.x=16&buy.y=5
Cara mudah untuk mengubah-ubah harga adalah dengan menyimpan halaman katalog, shirts2.asp, menampilkannya pada browser sebagai salinan lokal, shirts2.html, di hard disk user, mengedit file tersebut, dan mengubah – ubah kode HTMLnya. Gambar 3.4. menunjukkan bagaimana user menyimpan halaman tersebut.
User pertama-tama mengubah nilai pada field price pada baris . Perubahan berikutnya adalah pada link ACTION=dalm tag
