Selasa, 04 Maret 2008

Logo Bilqis seluler

Saya bukan seorang desaigner , graphic desaigner lebih2 seorang pelukis. Mengclaim punya hobi menggambar pun itu bukan saya, karena itu saya meminta salah satu teman saya yang berkompeten di bidang ini untuk mendesaign logo BILQIS SELULER, berikut hasilnya :




mohon komentarnya, lebih2 kalo ada yang mo nyumbang kreasinya..

sejelak apapun saya hargai..asal jangan lebih jelek dari wajah saya :D

diposting oleh izca gian cweet pada 00.40 0 Komentar

TEST TRIAL DOWNLOAD PROTECTOR ONLINE..

http://protector.telkomspeedy.com/

Disini ada empat browser yang telah diuji cobakan untuk instalasi download trial Protector Online. Yaitu :
Internet Explorer version 6.0, Mozilla Firefox version 2.0, Opera versi 8.01,
Dan Avast Browser version 11.5.


Masalah:
Proses Download :
Untuk Browser Internet Explorer version 6.0, Mozilla Firefox version 2.0 maupun Avast Browser version 11.5, untuk proses download bisa dilakukan, sedangkan pada browser Opera versi 8.01 fasilitas download tidak dapat dilakukan.

Proses Instalasi :
Saat instalasi untuk browser avast ditemukan kendala ketika menjalankan RUN MyV3 dan mengalami loading yang sangat lama. Sebaliknya untuk bowser IE maupun Firefox tidak mengalami kendala.

Saat aktivasi
Aplikasi yang dijalankan dan yang akan dibuka menjadi lambat, kemungkinan disebabkan system itu sendiri yang berjalan secara online dikawatirkan memakan resource memory maupun bandwith.
Proses scan dan quarantine berjalan baik

diposting oleh izca gian cweet pada 00.38 0 Komentar

Mencegah SQL Injection

Selama satu minggu bikin sirah ngelu, ngilu sekaligus bikin badan tambah kuru., akhirnya celah sql injection bisa ditutupi. Banyak cara menuju roma begitu pula banyak cara mencegah sql injection, dan berbagai cara sudah digunakan entah itu regex, mysql_escape_real_string dll rupanya gak mempan. Adakah cara “sakti” yg mempan, mari kita simak perjalanan spiritual berikut ini :

Kami tahu pada awalnya mereka ingin melakukan deface terhadap tampilan awal site***, karena tidak bisa akhirnya mereka melakukan flooding DOS attack..

Langkah pertama yang dilakukan adalah menelusuri include an file yang diinjeksi, kami mulai dari tips_detail.php yang muaranya adalah functions.php di direktori cms/lib/

1. Buat script cleaning segala karakter yang memungkinkan sql injection bisa disusupi seperti ‘,%,[,],\,*,@ dll, Lakukan pemisahan value dimana value yang benar saja yang diambil dan ditampilkan di browser.
2. Buat script untuk filteran input yang harus dimasukkan dan tidak
3. Sebelumnya lakukan pembatasan value sepanjang 20 digit, kemudian buat fungsi intval yang intinya apabila dimasukkan angka lebih dari 20 digit, browser bisa menerjemahkannya menjadi nilai yang dapat dibaca cepat oleh browser
4. Langkah terakhir ambil karakter /* di nilai terakhir ketika penyusup memasukkan sql injectionnya. Hilangkan karakter /* yang merupakan salah satu perintah sql injection untuk melakukan eksekusi.


//masukkan fungsi berikut ke dalam /cms/lib/functions.php
function check_gpc_input($value)
{

$karakter=substr($value,-2,2);
//echo "
nilainya".$karakter."
";
if ($karakter=="/*")
{
die("hayo apaan");
//echo "
nilainya".$karakter."
";
}


if(!empty($value))
{
// truncation
$value = substr($value,0,20);
//echo "nahini".$value;
}
// Stripslashes if magic quotes enabled
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
//echo "nahini".$value;
}


// jika bukan number
if (!ctype_digit($value))
{
$value = "'" . mysql_real_escape_string($value) . "'";
//echo "nahini".$value;
}
else
{
$value = intval($value);
//echo "
nahini2s".$value."
";

}
return $value;
}

function clean($var){
//echo "testfungsiclean
";
$findme="'";
$var = str_replace("\"","",$var);
$var = str_replace("-","",$var);
$var = str_replace("\\","/",$var);
$var = str_replace("/*","",$var);
$var = strip_tags($var);


$var=explode("'",$var);
//print_r ($var);
$var=$var[0];
//echo "yayya".$var."
";
return $var;
}

Include kan file ini ke dalam semua variable $_REQUEST, $_GET, $_POST, dan $_COOKIE yang berhubungan dengan query dan inputan terutama cid dan id.

Contoh :
$reqid=check_gpc_input($_REQUEST['id']);
$query = "SELECT * FROM " . $NEWS_TBL . " WHERE news_id='" . clean($reqid) . "'";
$result = mysql_query($query);
$row = mysql_fetch_assoc($result);

diposting oleh izca gian cweet pada 00.33 0 Komentar

SQL Injeksi damn

Masih sampe hari ini..aku sarapan sql
injection..damn! padahal prevent dengan
mysql_real_escape_string udah kupasang
diseluruh query yg berhubungan dgn
$_REQUEST, $_COOKIE, $_GET, $_POST dan
semua id chekloginuser.

damn! Kali ini aku bener2 kesel dengan
erick wellen..bikin portal gak
dipasangin sekuriti;stupid! U know that
its very annoying to grep ure bug site!

However, aku mulai belajar dari nol
about sekurity. Rupanya banyak sekali
cara menyerang sebuah site itu. Salah
satunya ya SQL injeksi yg dipopulerin
sama dany firmansyah si Xnuxer or "what
evalah" pembobol situs KPU dulu.
Keselnya si penyerang ini belagu karena
gak bisa difes akhirnya melakukan DOS
Attack dengan cara benchmark sistem pake
hashing query.. ya pastilah portal ini
ngalami load yg tinggi.

ITS okey? ai see..maybe kmw kurang
kerjaan, dendam ma portal ini, or
something like "bad attitude".. kmw
pikir dengan malakukan flood that portal
like great man, arent?

STUPID!!

berpikirlah secara bijak, Indonesia ini
sudah terkenal sebagai nomer 2 pemmbobol
site yg gak sopan. Pakelah ilmumu
setidaknya yg berguna buat dirimu sendiri.

dan pada akhirnya kmw sekarang bikin aku
lembur memperbaiki bug site ini...

*ditulis pas BT tgl Thursday, 21 February, 2008 3:58 AM

diposting oleh izca gian cweet pada 00.24 0 Komentar