HARDDISK

{ November 4, 2009 @ 7:57 am } · { Hard ware }
{ Leave a Comment }


<< Sejarah Hard Disk Drive (HDD) >>

Hard Disk Drive (HDD) pertama kali dibuat oleh insinyur IBM, Reynold Johnson di tahun 1952. Cakram keras pertama tersebut terdiri dari 50 piringan berukuran 2 kaki (0,6 meter) dengan kecepatan rotasinya mencapai 1.200 rpm (rotation per minute) dengan kapasitas penyimpanan 5 MB. Cakram keas zaman sekarang sudah ada yang hanya selebar 0,6 cm dengan kapasitas 750 GBHDD berlabel RAMAC 305 ini mempunyai kapasitas 5 Mega Bits (MB) atau 5.000.000 bits. Artinya RAMAC 305 hanya bisa menyimpan 5 juta informasi. Pada tahun 2004, Toshiba company mengeluarkan hard disk drive berlabel HDD-0.85 inchi. HDD yang berukuran kurang dari 1 inchi ini mempunyai kapasitas 4 Giga Bits (GB) atau 4 milyar bits, dan menjadi HDD terkecil di dunia.

Jika dibuka, terlihat mata cakram keras pada ujung lengan bertuas yang menempel pada piringan yang dapat berputar . Data yang disimpan dalam cakram keras tidak akan hilang ketika tidak diberi tegangan listrik. Dalam sebuah cakram keras, biasanya terdapat lebih dari satu piringan untuk memperbesar kapasitas data yang dapat ditampung.

<< Cara kerja Harddisk>>

Hard Drive : sebuah peranti penyimpanan (storage) yang merekam data secara cepat menjadi pulsa magnetic pada sebuah platter/diskmetal yang berputar.

Bila sebuah CPU merupakan otak dari sebuah PC, maka hard drive berfungsi sebagai jantungnya, memompa data vital ke seluruh sistem. Sebagai komponen yang menggerakkan komputer secara virtual, hard drive juga merupakan sesuatu yang misterius. Kebanyakan orang tidak dapat melihat bagian dalam dari sebuah hard drive, terhalang oleh penutup alumuniumnya, walau mungkin orang sangat familiar terhadap file dan program yang disimpan, disalin, dipindahkan, dan dihapus dari hard drive tersebut.

· Hard drive menjadi media penyimpanan jangka panjang di PC Anda.
· Kapasitas penyimpanan pada hard drive jenis baru meningkat setiap tahunnya, tetapi ukuran fisik dari drive tersebut secara relatif tetap tidak berubah.
· Semakin cepat sebuah drive berputar, semakin cepat Anda mengakses dan mentransfer data.
· Dengan semakin banyaknya hard drive berkapasitas besar di pasaran, biaya untuk sebuah drive (biasanya diukur sebagai berapa dolar per megabyte) semakin turun.

Hard drive menyediakan penyimpanan data dimana semua komputer modern membutuhkannya. Sebuah hard drive menyimpan informasi dengan menempatkan sebuah medan magnetik melalui permukaan sebuah disk berlapis material bermagnet yang bergerak berputar.

Prinsip utama sebuah hard drive–penggunaan dari magnetisme untuk menyimpan informasi–sangat mirip dengan yang digunakan pada sebuah perekam tape atau video. Sebuah hard drive menyimpan data digital sebagai titik magnetik pada permukaan sebuah disk. Sebuah bit (data Anda dikomposisikan sebagai bit) menyatakan nilai 0 saat disk dimagnetisasi pada satu arah, dan bernilai 1 bila arahnya berlawanan.

Setiap hard disk individual dalam sebuah drive dinamakan sebagai platter (pelat/disk metal). Sebuah hard drive berkapasitas besar biasanya berisi beberapa platter berdiameter 3,5 inci dan menggunakan kedua sisinya sebagai media penyimpanan. Drivenya itu sendiri memiliki sebuah motor yang berputar pada kecepatan 4.500 hingga 15.000 rotasi per menit.

Hard drive menggunakan sebuah perangkat perekam yang dinamakan “head” untuk menulis dan membaca data dari setiap permukaan platter. Drive memposisikan sebuah head, bergantun sebuah lengan yang dapat bergerak, dengan jarak mikroskopis di atas permukaan platter pada tiap sisinya. Jadi untuk hard drive yang memiliki lima platter akan memiliki sepuluh buah head yang bergantung pada sepuluh buah lengan motorik.

Elemen lainnya di dalam head membaca data yang direkam dengan merasakan medan magnet pada setiap bit magnetis yang disebutkan saat melewati elemen yang dibaca.

Drive merekam data pada sebuah lingkaran konsentris yang disebut “track”, dan membagi setiap track menjadi segmen yang dikenal sebagai “sector”. Anda dapat membayangkan bahwa track dapat diartikan sebagai sebuah rak buku dimana tiap segmennya diartikan sebagai buku-buku di dalamnya. Bila sistem operasi membutuhkan sebuah file yang berlokasi pada track dan sector tertentu, maka ia akan mengirimkan permintaan tersebut kepada hard drive untuk mendapatkan data tersebut berdasarkan alamat tertentu itu.

<<Bagaimana Hard Drive Bekerja>>

Saat sebuah sistem operasi mengirimkan data kepada hard drive untuk direkam, drive tersebut memproses data tersebut menggunakan sebuah formula matematikal yang kompleks yang menambahkan sebuah bit ekstra pada data tersebut. Bit tersebut tidak memakan tempat: Di kemudian hari, saat data diambil, bit ekstra tersebut memungkinkan drive untuk mendeteksi dan mengkoreksi kesalahan acak yang disebabkan oleh variasi dari medan magnet di dalam driver tersebut.

Kemudian, drive tersebut menggerakkan head melalui track yang sesuai dari platter tersebut. Waktu untuk menggerakkan head tersebut dinamakan “seek time”. Saat berada di atas track yang benar, drive menunggu sampai platter berputar hingga sector yang diinginkan berada di bawah head. Jumlah waktu tersebut dinamakan “drive latency”. Semakin pendek waktu `seek` dan `latency`, semakin cepat drive tersebut menyelesaikan pekerjaannya.

Saat komponen elektronik drive menentukan bahwa sebuah head berada di atas sector yang tepat untuk menulis data, drive mengirimkan pulsa elektrik pada head tersebut. Pulsa tersebut menghasilkan sebuah medan magnetik yang mengubah permukaan magnetik pada platter. Variasi yang terekam tersebut sekarang mewakili sebuah data.

Membaca data memerlukan beberapa proses perekaman. Drive memposisikan bagian pembaca dari head di atas track yang sesuai, dan kemudian menunggu sector yang tepat untuk berputar di atasnya. Saat spektrum magnetik tertentu yang mewakili data Anda pada sector dan track yang tepat berada tepat di atas head pembaca, komponen elektronik drive mendeteksi perubahan kecil pada medan magnetik dan mengubahnya menjadi bit. Saat drive tersebut seleai mengecek error pada bit dan membetulkannya jika perlu, ia kemudian mengirimkan data tersebut pada sistem operasi.

<<Interface? Apa Itu?>>

Interface hard drive secara sederhana adalah hardware yang mengelola pertukaran data antara komputer dan hard drive Anda. Anda biasanya menghadapi satu jenis interface pada PC yang beredar: Advanced Technology Attachment, yang juga dikenal sebagai interface ATA (atau IDE, integrated device electronic). Hard drive yang menggunakan interface ini biasanya datang dengan berbagai macam rasa, seperti Ultra ATA, Ultra DMA, atau EIDE, tergantung dari vendor yang Anda kunjungi. Interface terpopuler kedua adalah SCSI (small component system interface), yang banyak digunakan pada drive untuk server dan komputer Apple Macintosh jenis lama.

Interface ATA pertama mendukung sebuah transfer rate maksimum sebesar 8,3MB per detik. ATA-2 meningkatkan troughput maksimum menjadi 16,6MB per detik. Walau belum menjadi standar resmi, Ultra DMA-33 dan Ultra DMA-66 secara umum telah diterima oleh industri hard drive menjadi interface dengan kecepatan transfernya maksimumnya, secara berurutan, 33MB per detik dan 66MB per detik. Baru-baru ini Seagate mengumumkan telah mulai mengapalkan drive Barracuda ATA III dengan interface Ultra ATA-100 yang target utamanya untuk menggantikan interface SCSI pada server RAID (redundant array of independent disk).

<<Hard Drive Murah Mendorong Pemakaian>>

IBM PC-XT jenis awal datang dengan hard drive pertama yang diproduksi massal: sebuah drive dengan platter berdiameter 5,25 inci berkapasitas 10MB–yang *wow* sangat besar saat itu. Dua puluh tahun kemudian, hard drive terbaru dengan platter berdiameter 3,5 inci dapat menyimpan data hingga 70GB. Drive 2,5 inci yang lebih kecil pada notebook dapat menyimpan data hingga 25GB. Dan sebuah Microdrive berdiameter 1 inci yang didesain untuk kamera digital, player, dan komputer handheld yang dapat menampung data hingga 1GB. Bersamaan dengan transisi pengecilan ukuran drive dan kapasitas yang lebih besar telah menurunkan biaya penyimpanan per megabyte secara dramatis, sehingga drive berkapasitas besar pun dapat dimiliki oleh pengguna komputer biasa.

Anda dapat membeli hard drive yang didesain khusus untuk tiga penggunaan yang berbeda: PC desktop, komputer notebook, dan server. Atribut yang membedakannya bukan pada kapasitasnya–walau lebih banyak lebih bagus–tetapi pada faktor lain yang menentukan kinerja: kecepatan motor drive, memori on-board, interface drive, dan konsumsi daya.

<<Drive Khusus Untuk Tugas Tertentu>>

Harga menjadi hal terpenting pada pasar konsumen desktop. Sebuah sistem komputer yang dibangun dari bawah mungkin menyertakan sebuah drive berkecepatan 5400-rpm dengan interface IDE, mewakili titik manis dari kurva harga-berbanding-kinerja (price-performance), dengan harga di bawah US$300 untuk jumlah ruang penyimpanan yang lumayan banyak. Workstation berkinerja tinggi biasanya disertai drive 7200-rpm, dan di tahun depan kecepatan 10.000-rpm merupakan hal yang biasa.

Pada pasar komputer notebook, hal yang terpenting adalah konservasi daya. Drive yang berputar lambat mengurangi konsumsi daya hard drive terhadap batere laptop. Daya penyimpanan pada drive notebook ketinggalan jauh dibanding pada drive untuk desktop, karena ukuran platternya yang kecil.

Pada pasar server, tujuan terpentingnya adalah kinerja. Pada sebuah server komersial yang menangani penjualan online, sebagai contoh, drive harus dapat menangani banyak permintaan data pada sector yang berbeda secepat mungkin. Di sini, Anda akan lebih banyak menemui drive dengan interface SCSI (yang di set-up dalam sebuah jajaran RAID) berputar pada kecepatan 10.000-rpm, dan drive berkecepatan putar hingga 15.000-rpm telah mulai menampakkan dirinya. Drive tersebut memiliki beberapa kelemahan, seperti panas yang dihasilkan lebih tinggi serta lebih berisik dibanding drive biasa.

<<Harga Selalu Turun>>

Dalam tiga tahun terakhir, harga hard drive telah terjun bebas walau kapasitasnya semakin meningkat. Vendor-vendor mengingatkan bahwa mereka telah menghilangkan biaya yang tidak perlu dari drive dengan integrasi komponen elektronik, mengurangi jumlah komponen, dan meningkatkan reliabilitas. Dengan 150 juta drive yang akan dipasarkan pada tahun ini dan perkiraan 200 juta lagi pada dua tahun ke depan, pasar yang sudah sangat besar ini tampaknya akan terus berkembang.
Sistem desktop berharga di bawah US$1000 biasanya menawarkan drive 8GB atau lebih besar, yang merupakan nilai minimum yang harus Anda dapatkan pada kebanyakan sistem. Untuk desktop kelas menengah dengan kisaran harga di sekitar US$1500, hard drive berkapasitas 40GB lebih sering ditemui. Tetapi satu vendor memperkirakan, dalam lima tahun ke depan, proporsi dari harga komputer yang dialokasikan untuk hard drive akan meningkat sedikit. Biaya untuk komponen lain akan turun sementara biaya untuk hard drive terjaga konstan. Hal itu bukanlah suatu kabar buruk: Saat kapasitas meningkat, biaya per megabytenya cenderung menurun.

Bila Anda cukup puas dengan sistem desktop Anda saat ini, tetapi hanya ingin meningkatkan kapasitas penyimpanan disk Anda, tambahkan saja sebuah hard drive baru. Kecuali jika Anda membeli drive untuk server besar yang teronggok di kantor, drive popular saat ini mampu memberikan kinerja yang memuaskan (dengan kecepatan putar 5400 hingga 7200-rpm) dan kapasitas yang cukup (20GB-40GB) untuk uang yang Anda keluarkan. Saat tulisan ini dibuat, di toko komputer online dapat Anda temukan hard drive dari Maxtor DiamondMax 30GB dengan harga di bawah US$200. Sementara dengan uang sebesar US$260 Anda dapat memperoleh sebuah drive Maxtor berkapasitas 40GB. IBM menjual drive berkapasitas 75GB, yang ditujukan bagi server enterprise dengan harga berkisar US$500.

Saat Anda membeli drive baru, Anda dapat melihat bahwa vendor dan toko biasanya lebih mengobral “maximum transfer rate” atau “burst speed” dari drive mereka. Nilai tersebut tidak berarti apa-apa; mereka hanya menggambarkan spesifikasi dari interface drive tersebut. Biasanya nilai tersebut digunakan sebagai propaganda pemasaran; pada umumnya, drive Anda tidak akan mencapai tingkat kecepatan maksimum tersebut.

<<Masa Depan Hard Drive>>

Berdasarkan pengembangan komersial dari head giant magnetoresistive (GMR) yang memberi kekuatan pada drive berkapasitas besar saat ini, kapasitas drive berlipat dua setiap 18 bulan. Dalam lima tahun ke depan, teknologi GMR akan mampu melipat-duakan kapasitas hard drive setiap 12 bulan.

Lebih jauh lagi, vendor harus mencari cara untuk melawan hukum fisika dan mempelajari bagaimana membuat platter yang lebih mulus dan head yang lebih kecil. Salah satu tantangan terbesar akan menyangkut pada titik yang dinamai batas super-paramagnetik, dimana ukuran bit dari drive akan sangat kecil sehingga fluktuasi termodinamik dapat menyebabkan kehilangan data. Dan beberapa perusahaan penyimpanan saat ini bergerak untuk mencari jenis penyimpanan terbaru. Walau begitu, menurut salah satu vendor hard drive, masa depan industri ini sangatlah cerah–terutama bagi para konsumennya

<< Troubleshooting Hard disk>>

Kasus:

Komputer tidak mau booting, Setelah memasang hard disk yang baru, komputer tidak mau booting dan tidak ada pesan kesalahan yang muncul pada layar monitor.

Solusi:

Matikan komputer, buka casing komputer dan lepaskan hard disk dari casing, dengan terlebih dahulu melepaskan skrup yang terpasang pada hard disk.

Pastikan jumper yang terpasang pada hard disk, posisinya sudah benar.

Pasang kembali hard disk dan Remount your drive in the computer dan tutup/pasang kembali tutup pada casing komputer.

Masukkan disket bootable pada drive A dan hidupkan komputer. Jalankan program Disk Manager dengan cara masukkan disket Disc-Wizard ke drive A dan ketik A:XDM. Kemudian tekan tombol ENTER.

Ikuti instruksi yang ada di Disk Manager untuk menginstall dan memformat hard disk.

Setelah program Disk Manager selesai dijalankan, booting kembali komputer.

Kasus:

Pada DOS muncul pesan kesalahan “Disk Boot Failure,” “Non-System Disk” atau “No ROM Basic – SYSTEM HALTED”.

Solusi:

Install kembali file sistem DOS menggunakan utility DOS SYS.

Cek semua kabel yang terpasang pada motherboard.

Gunakan FDISK untuk melihat apakah partisi primer (biasanya diatur untuk hard disk dan digunakan untuk booting pertama kali) sudah aktif atau belum.

Cek apakah hard disk terkena virus atau tidak, dengan menggunakan anti virus.

Kasus:

Pada sistem muncul pesan kesalahan: “HDD Controller failure”.

Solusi:

Amati dan perhatikan jumper pada hard disk sudah benar atau belum. Kalau belum segera masukkan sesuai dengan urutannya.

Kasus:

Ketika menghidupkan komputer. Pada waktu menghidupkan kompmter, layar monitor tetap hitam dan tidak berubah.

Solusi:

Pastikan kabel monitor sudah terpasang di casing komputer dan power monitor sudah dihidupkan.

Pastikan kabel dari VGA Card sudah terpasang di slot pada casing komputer dengan benar dan masuk ke slot pada monitor dengan baik.

Restart kembali komputer.

Kasus:

Ketika menghidupkan komputer, di layar monitor muncul pesan kesalahan: “Drive not Ready”.

Solusi:

Cek koneksi semua kabel. Pastikan pin 1 pada drive dihubungkan ke pin 1 pada hard-disk controller.

Pastikan daya power suppy cukup dengan kebutuhan.

Booting kembali komputer

Kasus:

Pada FDISK muncul pesan kesalahan, “No Fixed Disk Present’.

Solusi:

Pastikan daya power supply cukup dan sesuai dengan kebutuhan.

Cek isi dari drive pada waktu melakukan setup pertama kali.

Cek apakah terjadi konflik pada alamat atau port I/O.

Case : Perampokan Acme Fashion, Inc. Ver 2

{ November 4, 2009 @ 3:51 am } · { Hacking & Security }
{ Leave a Comment }

Mem-Bypass Validasi Client Side

Kesalahan lain yang ditemukan oleh tim peneliti keamanan adalah cara input divalidasi sebelum dilewatkan ke Shopcart.exe. Aplikasi Web terdiri dari banyak script dan komponen interaktif. Semua itu terutama untuk berinteraksi dengan user melalui form HTML pada browser. Bagian interaktif dari tiap komponen mengambil input dari form HTML dan memprosesnya pada server. Form HTML berciri generik bila berfungsi sebagai pengambil data, dan tak ada cara lain untuk menjamin validasi data di dalam form seperti itu. Misalnya, bila sebuah form HTML didesain untuk menerima tanggal, user bisa saja memasukkan tanggal seperti ini: 99/88/77 dan browser tidak mempedulikannya. Aplikasi harus memiliki mekanisme validasi inputnya sendiri untuk mem-filter input-input yang salah bentuk atau tidak sesuai dengan kriteria yang sudah ditentukan pada aplikasi. Validasi input untuk form HTML bisa dilakukan baik pada server-side dengan Perl, PHP, atau ASP, dll. Juga dapat dilakukan pada client-side dengan menggunakan bahasa script seperti JavaScript atau Vbscript.

Tim pengembangan Acme menyadari kebutuhan validasi input seperti itu. Tetapi, karena Shopcart.exe merupakan aplikasi yang berciri Prepackaged (tidak bisa dimodifikasi lebih lanjut), maka ia tidak bisa dimodifikasi untuk bisa menggabungkan validasi input dengan script client-side pada browser-nya sendiri, mungkin dengan tujuan untuk menghemat penggunaan CPU server, sehingga pekerjaan itu dijalankan oleh browser klien.

Namun, kenyataannya mekanisme client-side manapun bisa diubah-ubah dengan cara mengedit atau mengganti-ganti source code HTML yang diterima oleh browser. Tim penguji keamanan menemukan beberapa contoh validasi client-side yang digunakan pada http://www.acme-fashion.com. menunjukkan validasi input sedang dijalankan pada sistem Acme. Contoh : Seorang user berusaha membeli sejumlah ”-5” pakaian dan sebuah peringatan muncul bahwa user memasukkan nilai yang salah.

Berikut ini adalah kode JavaScript untuk memvalidasi input yang dipisahkan dari elemen-elemen HTML-nya.

function validate(e) {

if(isNaN(e.value) || e.value <= 0) {

alert (“Please enter a valid number”) ;

e.value = 1;

e.focus();

return false;

}

else {

return true;

}

}

:

:

Kode ini memastikan bahwa hanya angka positif saja yang diperbolehkan pada field qty. Tetapi, karena validasi ini dilakukan oleh script client-side, maka bisa dengan mudah di-bypass. Menonaktifkan eksekusi JavaScript dengan cara men-setting preferensi browser bisa membuat hacker mem-bypass validasi pada client-side. Jika kita memasukkan nilai apa saja yang diinginkan pada field-field input.

Bagaimana menonaktifkan JavaScript pada Netscape. Sekarang jika user memasukkan nilai ”-3”, browser akan mengeluarkan request POST berikut ini pada server.

POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0

Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp

Connection: Keep-Alive

User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)

Host: http://www.acme-fashions.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*

Accept-Encoding:gzip Accept-Language: en

Accept-Charset: iso-8859-1,*,utf-8

Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912

Content-type: application/x-www-form-urlencoded

Content-length: 63

PartNo=OS0015&Item=Acme+Shirts&Price=-3&qty=1&buy.x=16&buy.y=5

Selanjutnya dapat kita lihat bagaimana request HTTP ini bisa mem-bypass seluruhnya validasi input pada client-side. menunjukkan respon pada server.

Pada contoh diatas user telah membuat pesanan untuk 5 baju masing-masing seharga 55,99 dolar, dan hari berikutnya membeli -3(minus 3) baju masing-masing seharga 89,99 dolar. Total biaya adalah 4,98 dolar. Kemampuan untuk meletakkan angka negatif pada jumlah pembelian bisa membuat si pembeli kegirangan. Kecacatan inilah yang menyebabkan karyawan pengiriman Acme menerima order jumlah item dengan angka negatif.

Case : Perampokan Acme Fashion, Inc.

{ November 4, 2009 @ 3:43 am } · { Hacking & Security }
{ Comments (1) }

Melacak Masalah

Toko Web Acme http://www.acme-fashions.com telah menerapkan beberapa teknologi berikut ini:

Sistem Operasi Microsoft Windows NT 4.0

Web Server Microsoft Internet Information Server (IIS) 4.0

Katalog Online Template dan Active Server Page (ASP)

Database back-end Microsoft Access 2.0

Shopping Troli Shopcart.exe

Katalog HTML dibuat dengan menggunakan template dan Active Server Pages. Tim pemasaran pernah menggunakan FoxPro untuk database-nya dan menghasilkan halaman katalog HTML secara otomatis. Kemudian database Fox-Pro itu dikonversi ke dalam database Microsoft Access dan antarmukanya memakai ASP. Aplikasi trolli belanjanya, Shocart.exe, di setup pada server, serta template ASP didesain untuk menghasilkan HTML yang terhubung dengan aplikasi troli belanja. Troli belanja mengambil informasi produk dari HTML tersebut. Saat itu, kelihatannya semua cara itu sangat mempermudah dan mempercepat kesiapan toko elektronis dan bisa online sebelum deadline.

Shopcart.exe mempunyai sistem session management-nya sendiri, untuk menjalankan sesi troli belanja, yang bergantung pada cookie dan server-side session identifier. Karena tidak dimungkinkan untuk memodifikasi Shopcart.exe, tugas-tugas untuk memvalidasi input diserahkan ke JavaScript yang bekerja pada browser pelanggan.

Bahaya Tersembunyi pada Field-Field Tersembunyi

Setelah dipelajari ternyata ditemukan sebuah lubang pada cara penerapan sistem troli belanja. Dimana satu-satunya cara untuk menghubungkan harga dengan produknya melalui tag-tag tersembunyi pada halaman HTML. halaman yang menampilkan baju-baju dan katalog di http://www.sceme-fashions.com.

Setiap baju memiliki hubungan dengan form penerimaan kuantitas baju yang dibeli dan terhubung juga dengan troli belanja. Pada kode HTML diperlihatkan juga dapat ditemukan kelemahannya, yakni pada beberapa baris terakhir.

Source code berikut ini digunakan untuk memanggil Shopchart.Exe:

Top of Form

Quantity:

Bottom of Form

Sewaktu user mengklik tombol Buy, browser men-submit semua field input ke server, menggunakan request POST. Ada tiga field tersembunyi pada baris 2, 3, dan 4 dari kode tersebut. Nilai-nilainya juga terkirim bersama dengan request POST. Dengan demikian, sistem membuka suatu kelemahan pada tingkat aplikasi, karena user bisa saja memanipulir nilai dari field tersembunyi sebelum men-submit-nya ke form.

Untuk memahami situasi ini secara lebih baik, maka dapat kita perhatikan secara seksama request HTTP yang berasal dari browser ke server:

POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0

Referer: http://www.acme-fashions.com/shirtcatalog/shirts2.asp

Connection: Keep-Alive

User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)

Host: http://www.acme-fashions.com

Accept: image /gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*

Accept-Encoding:gzip Accept-Language: en

Accept-Charset : iso-8859-1,*,utf-8

Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912

Content-type: application/x-www-form-urlencoded

Content-lengt: 65

PartNo=OS0015&Item=Acme+Shirts&Price=89.99&qty=1&buy.x=16&buy.y=5

Nilai dari field tersembunyi PartNo, Item dan Price di-submit dalam request POST ke /cgi-bin/shopcart.exe. Itulah cara satu-satunya Shopcart.exe mengambil harga, misalnya baju nomor OS0015. Browser menampilkan respon yang ditunjukkan

Oleh karena request POST dikirim bersama dengan nilai yang bisa dimodifikasi pada field price, user pun bisa mengontrol harga baju tersebut. Request Post berikut ini menunjukkan bahwa harga baju yang semula 89.99 dolar diubah menjadi 0,99 dolar.

POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0

Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp

Connection: Keep-Alive

User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)

Host: http://www.acme-fashions.com

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*

Accept-Encoding:gzip Accept-Language: en

Accept-Charset: iso-8859-1,*,utf-8

Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912

Content-type: application/x-www-form-urlencoded

Content-length: 64

PartNO=OS0015&Item=Acme+Shirts&Price=0.99&qty=1&buy.x=16&buy.y=5

Cara mudah untuk mengubah-ubah harga adalah dengan menyimpan halaman katalog, shirts2.asp, menampilkannya pada browser sebagai salinan lokal, shirts2.html, di hard disk user, mengedit file tersebut, dan mengubah – ubah kode HTMLnya.

User pertama-tama mengubah nilai pada field price pada baris . Perubahan berikutnya adalah pada link ACTION=dalm tag

Top of Form

. Link yang dituju adalah http://www.acme-fashions.com/cgi-bin/shopcart.exe. menunjukkan file shirts2.html setelah memodifikasi harga menjadi 0,99 dolar.

Sekarang, jika user membuka file yang sudah dimodifikasi ini, shirts2.html, pada browser dan men-submit request untuk membeli pakaian, dan melihat window seperti yang ditunjukkan

Seperti yang dapat kita lihat, hal inilah yang membuat Acme-Fashions menderita kerugian. Setelah melakukan penelitian menyeluruh pada semua order dan transaksi, tim pemeriksa keamanan menemukan juga bahwa sejumlah besar ”pelanggan” bisa membeli barang dalam harga yang sangat rendah. Kata ”pelanggan” dalam konteks ini mengandung arti para hacker.

Teknik-teknik Hacking pada Web aplikasi

{ November 4, 2009 @ 3:31 am } · { Hacking & Security }
{ Leave a Comment }

Ada beberapa teknik hacking pada web aplikasi diantaranya adalah sebagai berikut:

1. Hidden Manipulation

Field-field tersembunyi sering digunakan untuk menyimpan informasi tentang sesi klien, untuk menjaga kompleksitas database pada server side. Seorang klien biasanya tidak melihat field tersembunyi dan juga tidak berusaha untuk mengubahnya. Bagaimanapun juga memodifikasi form field sangatlah sederhana. Sebagai contoh , marilah kita anggap bahwa harga sebuah produk disimpan dalam field tersembunyi. Seorang hacker dapat mengubah harganya, seperti berikut ini :

* Membuka sebuah halaman html dengan HTML editor.
* Menempatkan sebuah field tersembunyi (contoh., “”)

* Memodifikasi nilainya dengan nilai yang berbeda (contoh. “”)

* Menyimpan file html ditempat itu dan mem-browse-nya.
* Mengklik tombol “buy” untuk menampilkan e-shoplifting melalui hidden manipulation.

2. Parameter Tampering (Perusakan Parameter)

Kegagalan untuk mengkonfirmasi kebenaran dari parameter-parameter Common Gateway Interface (CGI) yang tersimpan dalam hyperlink., dapat dengan mudah digunakan untuk mematahkan keamanan situs. Seperti di bawah ini :

Search.exe?template=result.html&q=security

Dengan mengganti parameter template, seorang hacker dapat memperoleh akses menuju file yang diinginkannya,

seperti /etc/passwd atau private key situs contoh : Search.exe?template=/etc/passwd&q=security

3. Cookie Poisoning

Umumnya Web aplikasi menggunakan cookie dengan tujuan untuk menyimpan informasi (user id, time stamp, dan lain-lain.) pada sisi klien. Sebagai contoh, ketika seorang user log ke beberapa situs, sebuah login CGI memvalidasi user name-nya dan password-nya dan mengeset sebuah cookie dengan identifier numerik-nya. Ketika user mengecek preference-nya kemudian, CGI yang lain (sebut saja, preferences.asp) me-retrive cookie dan menampilkan catatan-catatan user information sesuai dengan user-nya. Data-data yang tersimpan dalam cookie tidaklah aman, seorang hacker dapat memodifikasi-nya, jadi informasi yang terdapat pada cookie tersebut dapat dicuri dan dimanfaatkan oleh hacker.

Komputer Bakal Kenali Aksara Jawa

{ November 4, 2009 @ 3:20 am } · { Lain-lain }
{ Leave a Comment }

Organisasi Pendidikan, ilmu dan Budaya (UNESCO) Perserikatan Bangsa-Bangsa (PBB) telah menyetujui penggunaan aksara jawa (hanacaraka) sebagai salah satu font di komputer.

aksara-jawaDilansir Xinhua, Senin (2/11/2009), UNESCO akan menyejajarkan aksara jawa ke dalam daftar alphabet international yang ada di dalam komputer, bersama aksara lain seperti latin, China dan Arab.

“Aksara jawa telah diketahui oleh UNICODE, sebuah lembaga di bawah UNESCO yang mengurusi kode aksara standard dalam komputer,” ujar pemimpin redaksi majalah Jawa tertua ‘Penyebar Semangat’ Aryo Tumoro. Aksara jawa sendiri telah diakui secara internasional berkat UNICODE pada tanggal 2 Oktober lalu, bertepatan dengan pengakuan UNESCO terhadap batik sebagai aset budaya Indonesia.

Permohonan pengakuan internasional terhadap aksara jawa tersebut dilayangkan oleh ahli budaya jawa Ki Demang Sokowaten dari Yogyakarta, sejak 9 September 2007. Namun permohonan ini baru mendapat persetujuan UNESCO pada Oktober lalu. Sokowaten sendiri telah memiliki situs berbahasa Jawa sejak Januari 2006 dengan nama ki-demang.com yang berisi segala hal yang berhubungan dengan budaya Jawa, filosofi, cerita singkat, dongeng maupun resep makanan.

« Older entries