Hacker sangatlah kreatif, cara hacker meretas situs web atau website tidak cukup dengan satu tool ataupun teknik.
Secara teknis hacker akan menggunakan linux yang berisi tool hacking untuk pentesting.
Tapi yang paling penting bukan lah tool nya, tapi seni cara menggukan nya yang hanya bisa didapat dari pengalaman.
Disini akan dibahas teknik bagaimana hacker bisa meretas server website lalu mencuri data didalam nya.
Tapi yang paling penting adalah cara mencegah nya.
Daftar Isi :
Cara hacker Masuk Ke Situs Web
Vulnerability/bug/celah keamanan adalah jalan masuk hacker ke semua sistem komputer.
Sebuah sistus web terdiri dari 3 komponen utama, seorang hacker akan mencari bug/vulnerability/celah pada 3 komponen utama ini.
Celah inilah yang nantinya akan digunakan sebagai jalan masuk.
Bug pada Webserver
Semua website berjalan diatas aplikasi webserver dan database server.
Apache, nGINX, Litespeed , mySQL, mariaDB, noSQL, oracle dan lain sebagainya.
Bug pada aplikasi server tersebut bisa dijadikan jalan masuk hacker untuk membobol situs web.
Bug pada CMS
CMS atau Content Management System adalah aplikasi berbasis web yang digunakan untuk mengelola website.
Denganmenggunakan CMS semua orang bisa membuat website tanpa perlu belajar programming/coding.
Cukup install CMS di web server > masuk sebagai admin > langsung bisa mengelola website.
CMS yang populer antara lain: Joomla, drupal, wordpress, WooCommerce, moodle, phpbb dan masih banyak lagi.
Aplikasi CMS ini dibuat oleh manusia, pasti ada celah keamanan nya, hanya masalah waktu sampai seseorang menemukan nya.
Celah keamanan atau bug ini bisa dipakai oleh hacker untuk mesuk ke situs web secara ilegal.
Bug pada plugin/module
Baik web server ataupun CMS biasanya punya plugin, librarry, module tambahan untuk menambah fitur.
Tidak jarang terjadi, bug/vulnerability atau celah keamanan ada di plugin atua module tersebut.
Celah yang ada di module/library/plugin bisa dipakai hacker untuk membobol situs web.
Tipe Serangan Hacker Ke Situs Web
Berdasarkan efek serangan yang ditimbulkan hacker ke situs web, secara garis besar bisa dibedakan menjadi 2 tipe serangan:
Serangan Masal/Global
Semua situs yang ada di dunia akan kena imbas nya jika situs web tersebut memenuhi kriteria dari serangan hacker.
Serangan ini menargetkan semua situs web di bumi yang menggunakan aplikasi web , plugin, module, librarry, fitur tertentu.
Module atau fitur tambahan ini biasanya secara umum dipakai di banyak website yang ada di bumi ini.
Ketika hacker menyerang bermodalkan bug yang ada di aplikasi web yang berupa module/plugin maka imbasnya menjadi masal.
Semua situs web yang menggunakan aplikasi web/module/plugin tersebut akan otomatis jebol atau kena hack.
Serangan Spesifik
Serangan ini hanya berefek pada situs web yang ditarget.
Dalam kasus ini biasanya hacker punya motif tertentu sehingga hanya menargetkan situs web tertentu.
Misalnya menargetkan situs web pertamina guna mencuri data pribadi pengguna yang ada di database situs web pertamina.
Jenis serangan
Cara Hacker Meretas/Bobol Situs Web
Ada banyak tahapan yang harus dilakukan hacker sampai bisa membobol sebuah situs lalu mencuri data didalam nya.
Tahapan ini tidaklah cepat, perlu waktu, fikiran dan tenaga sampai seorang hacker mampu menembus pertahanan website.
Menjadi anonymous/Tak Terdeteksi
Hal pertama yang dilakukan hacker sebelum melakukan pentesting guna membobol situs web adalah menyembunyikan diri.
Tujuan nya agar dia tidak terdeteksi saat melakukan serangan dan tidak bisa dilacak identitasnya.
Caranya adalah dengan menggunakan jaringan tor network, proxy chain atau sejenisnya sehingga saat dilacak tidak sampai ke tempat si hacker aslinya.
Inilah yang menjadikan hacker bjorka sulit untuk dilacak darimana dia melakukan serangan.
Mencari Bug & Exploitasi
Untuk mencari celah keamanan suatu sistem, hacker akan mensetup lab sendiri yang diatur sedemikian rupa semirip mungkin dengan target.
Tujuan nya untuk melakukan pentesting secara aman dan tidak terdeteksi sistem target.
Jika bug ditemukan, exploit berhasil dibuat, pengujian berhasil maka hacker sudah punya senjata digital yang siap ditembakkan ke target.
Hacker akan menembakkan senjata digital nya (berupa aplikasi exploit) ke target beberapa kali, jika gagal maka proses diatas akan diulang sampai berhasil.
Social Engineering
Jika pertahanan target secara digital tidak bisa ditembus, cara yang pasti dilakukan oleh hacker adalah mennggunakan teknik social engineering.
Apa itu social engineering? baca penjelasan nya disini ya…
Melalui teknik ini hacker akan berusaha mendapatkan akses ke sistem dengan cara melakukan tipu-tipu terhadap user yang ada di sistem tersebut.
Menaikkan Hak Akses
privilege escalation adalah istilah untuk usaha yang dilakukan untuk menaikkan hak akses menjadi admin atau root ketika sudah berhasil masuk ke sistem.
Saat masuk ke sistem, hacker haya mendapatkan akses terbatas.
Mesin belum 100% dikuasai, agar hakcer bisa menguasai 100% mesin/sistem yang dihack maka harus punya akses admin/root.
Akses root atau admin ini bisa diperoleh dengan rootkit.
Menghilangkan Jejak
Hacker beneran akan menyembunyikan dirinya dengan menghapus semua jejak tanpa kecuali.
Tujuan nya agar pemilik sistem tidak sadar bahwa sistem nya telah di hack.
Dengan begitu hacker bisa mendapatkan akses dan memanen data yang ada di sistem selama bertahun-tahun.
Memasang Backdoor
Masuk ke sistem menggunakan exploit proses nya lama dan rawan terdeteksi sistem.
Setelah hacker berhasil masuk ke sistem biasanya akan membuat backdoor/pintu belakang agar bisa masuk ke sistem lebih mudah, aman dan tidak terdeteksi.
Menambal Celah Keamanan
Untuk mencegah hacker lain masuk dengan cara yang dipakai hacker tersebut, biasanya sang hacker akan menambal celah keamanan.
Celah ini ditambal agar hanya dia dan pemilik sah yang bisa mengakses sistem tersebut.
Hacker akan masuk menggunakan backdoor yang telah dibuat sebelum nya.
Mencegah Situs Web Dari Serangan Hacker
Kita sudah tahu kalau hacker menyerang dari dua sisi
- sisi software/sistem/aplikasi pembentuk situs web
- sisi manusia/user/operator yang punya hak akses ke situs web
Untuk mencegah hacker masuk ke situs web, maka perlu dilakukan pengamanan terhadap web server nya serta edukasi ke operator pengelola website.
Update
Celah keamanan biasanya ada pada versi software lawas yang tidak pernah diupdate.
Vendor software biasanya akan melakukan udate dan patch secara berkala untuk menambal celah keamanan yang ada di software nya.
Pastikan kita rajin update aplikasi pembentuk server website ke versi terbaru.
Gunakan plugin/module dari official
Untuk situs web yang menggunakan CMS opensource, baiknya download module atau plugin langsung dari menu panel di CMS tersebut.
Jangan lakukan installasi modul/plugin dari webiste yang gak jelas (walau ada iming-iming gratis).
Karena plungin dari website yang gak jelas biasanya sudah dimodifikasi oleh hacker dan telah dipasang backdoor.
Backdoor ini digunakan oleh hacker untuk masuk ke website yang menginstall plugin/module jahanam tersebut.
Gunakan Random Password
Gunakan username dan password yang sulit ditebak atau random guna mengelola situs web.
Jika tidak mungkin untuk diingat maka gunakan password manager seperti bitwarden.
Jangan pernah gunakan username dan password yang sama untuk semua website, socmed, forum yang anda ikuti dan kelola.
Karena jika salah situs kena hack, hacker bisa mengakses service lain yang anda ikut daftar, termasuk website yang anda kelola.
Gunakan 2 step verification
Dengan menggunakan autentifikasi 2 langkah, situs yang anda kelola masih bisa terselamatkan seandainya akun anda bocor.
Hacker tidak bisa masuk begitu saja walau telah mengetahui username dan password .
Autentifikasi 2 langkah akan mengirin kode verifikasi ke HP anda agar bisa masuk.
Lakukan security audit
Situs web yang sering dijebol kebanyakan karena software nya gak pernah diupdate.
Atau software nya dibuat independen oleh developer yang belum berpengalaman dalam bidang keamanan cyber.
Sehingga produk/aplikasinya punya banyak bug yang bisa diexploitasi oleh hacker.
Untuk mecegah hal demikian, baiknya pemilik situs web menyewa jasa security auditor atau pentester profesional.
Tujun nya untuk menguji sistem, menemukan bug lalu menambal nya agar hacker jahat tidak bisa masuk.
KESIMPULAN
Untuk bisa meretas sebuah situs web tidak hanya bermodal tool, tapi pengetahuan dan skill yang menentukan.
Tool dan framework para hacker untuk melakukan pentesting seperti kali linux , metasploit, wireshark, netcat, nmap bisa didownload di internet.
Tapi tanpa skill dan pengetahuan tentang jaringan, linux, coding, database tidak akan menjadikan mu seorang hacker.
Tahapan demi tahapan, dedikasi, konsisten harus dilewati hingga seorang hacker bisa meretas/membobol sebuah website.
Terlapas dari hacker baik atau jahat memulai tahapan yang sama.
Bedanya hacker jahat akan mencuri data yang ada di situs lalu dijual ke darkweb, sedangkan hacker baik akan membuat laporan ke pemilik website agar dilakukan perbaikan.
Ada banyak cara hacker bisa mendapatkan data pribadi seseorang. Baik data pribadi secara tertarget atapun masal (dalam jumlah besar sekaligus). Read more
Pasti kamu penasaran, kenapa hacker seperti bjorka bisa melakukan kegiatan hacking sampai membobol web pemerintahan dan dan mencuri datanya tanpa Read more
Jika kamu sedang belajar hacking untuk menjadi hacker profesional, maka kamu perlu tau tahapan cara hacker bekerja dan melatih teknik Read more
Ingin menjadi hacker profesional yang bisa menghasilkan uang banyak hanya dengan "ngehack"? Kamu bisa menjadi seorang pro hacker hanya dengan Read more
