Hackers jumpa bugs terus ceroboh kamu sekelip mata

Bagaimana Penggodam Menemui Kesilapan Kamu?

​Pernahkah anda terfikir bagaimana sebuah laman web boleh digodam? Adakah penggodam ini mempunyai kuasa magis atau adakah mereka sekadar meneka kata laluan anda sampai berjaya?

​Sebenarnya, dunia penggodaman tidak seperti dalam filem Hollywood yang memaparkan skrin hitam dengan kod hijau yang bergerak laju. Ia adalah tentang logik, proses yang tersusun, dan mencari kesilapan manusia.

​Jom kita rungkai rahsia bagaimana mereka melakukannya dalam bahasa yang paling mudah!.

Kenapa Anda Perlu Ambil Tahu? (Statistik Menakutkan!)

​Sebelum kita pergi lebih jauh, mari kita lihat realiti dunia digital hari ini. Kenapa keselamatan siber ini tersangat penting?

  • 30,000+ Laman Web Digodam Setiap Hari: Ya, angka ini benar. Laman web bukan lagi sekadar platform suka-suka, ia adalah nadi kepada perbankan, beli-belah, kesihatan, dan media sosial kita.
  • Kerugian Lumayan: Purata kos kerugian akibat kebocoran data mencecah USD 4.45 Juta (sekitar RM20 juta+)!
  • Manusia Punca Utama: 95% daripada kes kebocoran data berpunca daripada kesilapan manusia (human error).

​Ingat, penggodam tidak teka kata laluan anda secara rawak. Mereka mengeksploitasi kelemahan logik sistem. Cukup dengan satu kelemahan kecil, seluruh pelayan (server) boleh tumbang dan data anda boleh bocor!



Asas Utama: Bagaimana Internet Berfungsi?

​Untuk memahami cara penggodam buat kerja, kita kena tahu dulu macam mana telefon atau laptop kita "berbual" dengan laman web. Proses ini dipanggil Hubungan Client-Server:

  1. Anda Tekan Link: Anda taip URL (contoh: facebook.com) atau klik satu pautan (Client/User).
  2. Hantar Permintaan (HTTP Request): Pelayar web (browser) anda akan menghantar mesej permintaan kepada komputer komputer besar di sana (Server). Mesej ini mengandungi maklumat seperti URL yang dicari, kaedah (method), data, serta headers (seperti cookies atau token log masuk anda).
  3. Server Proses: Komputer besar (Server) tadi akan semak permintaan anda dan cari data dalam pangkalan data (database) mereka.
  4. Hantar Jawapan (HTTP Response): Akhir sekali, server hantar semula jawapan dalam bentuk kod HTML atau data (berupa kod status, fail JSON, dll) supaya skrin anda memaparkan laman web tersebut.

    5. Nota Penting: Memahami aliran HTTP ini adalah kunci utama untuk penggodam mencari lubang rahsia (vulnerabiliti)!


    Disebalik Tabir: Apa yang Menggerakkan Laman Web?

    ​Sebuah laman web dibina menggunakan pelbagai teknologi. Penggodam tahu setiap teknologi yang berbeza mempunyai "pintu masuk" dan kelemahan yang berbeza. Antara komponennya:

    • Bahasa Backend (Otak Sistem): PHP, Python, Java, Node.js, Ruby.
    • Frontend (Rupa Luaran): HTML, CSS, JavaScript, React, Angular.
    • Web Server (Penghantar Mesej): Apache, Nginx, IIS, Caddy.
    • Databases (Simpanan Data): MySQL, PostgreSQL, MongoDB, Redis.

    4 Langkah Tersusun Penggodam (Bukan Main Agak-Agak!)

    ​Penggodam yang bijak tidak menyerang secara meluru. Mereka mengikut proses yang sangat teliti:

    1. Tinjauan (Reconnaissance)

    ​Mereka akan kumpul maklumat sebanyak mungkin tentang sasaran. Mereka cari sub-domain, jenis teknologi yang digunakan, pintu port yang terbuka, malah nama-nama pekerja syarikat tersebut.

    2. Kenal Pasti Pintu Masuk (Identify Input Points)

    ​Seterusnya, mereka cari di mana kawasan dalam laman web yang membenarkan pengguna memasukkan data. Contohnya: borang log masuk, ruangan carian, parameter URL, ruangan muat naik fail, dan API.

    3. Uji & Manipulasi (Probe & Manipulate)

    ​Di sinilah eksperimen bermula. Mereka akan masukkan input-input yang pelik dan tidak disangka-sangka untuk melihat bagaimana sistem itu bertindak balas. Adakah sistem itu akan ralat (error) atau bocor?

    4. Godam & Dokumentasi (Exploit & Document)

    ​Apabila lubang keselamatan ditemui, mereka akan sahkan kelemahan tersebut, ambil bukti (tangkap layar/data), dan jika mereka adalah penggodam beretika (White Hat/Bug Bounty), mereka akan tulis laporan jelas untuk dibaiki.

    Di Mana dan Bagaimana Serangan Berlaku?

    ​Setiap tempat yang membenarkan anda menghantar data adalah potensi pintu masuk serangan. Berikut adalah teknik popular yang sering digunakan oleh penggodam:

    • Borang Log Masuk (Login Forms): Digunakan untuk serangan Brute Force atau Credential Stuffing (mencuba kombinasi kata laluan secara automatik sehingga berjaya).
    • Ruangan Carian (Search Fields): Tempat kegemaran untuk serangan XSS (Cross-Site Scripting) untuk menyuntik kod jahat, atau SQLi (SQL Injection) untuk memanipulasi pangkalan data bagi mencuri maklumat sensitif.
    • Parameter URL: Penggodam boleh mengubah ID pada URL (Teknik IDOR - Insecure Direct Object Reference) untuk melihat data pengguna lain, atau melakukan Path Traversal.
    • Muat Naik Fail (File Uploads): Jika sistem tidak menapis fail dengan betul, penggodam boleh memuat naik fail virus/skrip jahat untuk mengawal terus pelayan tersebut (RCE - Remote Code Execution).
    • API & Mesej HTTP: Penggodam boleh memintas maklumat untuk melangkau sistem keselamatan (Auth bypass), mencuri identiti (Session Hijacking), atau memaksa akaun anda melakukan tindakan tanpa sedar (CSRF - Cross-Site Request Forgery).

Sebelum boleh merosakkan pelayan (server), penggodam perlu faham bagaimana maklumat dihantar. Di sinilah segalanya bermula:

  • Asas Tinjauan (Reconnaissance Fundamentals): Teknik menemui laman web dan pelayan tersembunyi milik mangsa yang jarang dijaga oleh pemiliknya.
  • Memahami HTTP Luar dan Dalam: Menggali bagaimana mesej HTTP dihantar.
  • Manipulasi Header & Body HTTP: Mengubah data "rahsia" (seperti cookies atau token) yang dihantar oleh pelayar web untuk memperdaya sistem.
  • Kebocoran Maklumat (Information Disclosure): Menggunakan maklumat kecil yang tidak sengaja terdedah (seperti versi perisian) sebagai pintu masuk utama.
  • Suntikan Kod Kod Jahat (XSS) & Kecurian Sesi (Session Hijacking): Menyuntik skrip jahat ke dalam laman web untuk mencuri cookies log masuk pengguna lain.
  • Pemalsuan Permintaan (CSRF): Memperdayakan mangsa yang sudah log masuk untuk melakukan tindakan tanpa sedar (contohnya: menukar kata laluan mereka sendiri kepada kata laluan pilihan penggodam).
  • Gabungan Serangan (Attack Chaining): Menggabungkan XSS + CSRF untuk kesan impak yang berganda dan lebih merosakkan.
  • SSRF (Server-Side Request Forgery): Memperdaya pelayan web supaya ia menyerang sistem komputer dalaman mereka sendiri yang tidak boleh diakses dari luar.

Apabila penggodam berjaya melepasi sempadan pengguna, mereka akan cuba mengawal terus komputer pelayan (server) tersebut.

  • Pengenalan kepada RCE (Remote Code Execution): Tahap tertinggi dalam penggodaman, iaitu keupayaan untuk menjalankan apa sahaja arahan komputer pada pelayan mangsa dari jarak jauh.
  • Mendapatkan Akses Penuh (Reverse Shell): Memaksa pelayan mangsa menghubungi semula komputer penggodam untuk memberikan kawalan terminal (command prompt).
  • Eksploitasi Muat Naik Fail ke RCE: Mengambil kesempatan pada ruangan muat naik gambar profil (atau dokumen) untuk memasukkan fail kod jahat (seperti fail .php).
  • Teknik Pintasan (Bypass) Muat Naik: Menipu sistem penapis laman web yang cuba menghalang muat naik fail berbahaya (contohnya menukar nama fail dari virus.php kepada virus.jpg.php).
  • LFI (Local File Inclusion): Memaksa laman web memaparkan fail-fail sulit yang tersimpan di dalam sistem operasi pelayan (seperti fail kata laluan sistem).
  • Keracunan Log (Log Poisoning): Menyuntik kod jahat ke dalam fail log pelayan, kemudian membukanya menggunakan kelemahan LFI untuk mendapatkan akses RCE.

Data adalah harta paling berharga. Fasa ini menumpukan kepada bagaimana penggodam memecah masuk ke dalam "gudang simpanan" data.

  • Asas Suntikan SQL (SQLi): Memahami bagaimana penggodam menyelitkan arahan pangkalan data ke dalam ruangan biasa (seperti kotak carian atau borang nama).
  • Bahasa SQL untuk Penggodam: Mempelajari bahasa pangkalan data khusus untuk tujuan manipulasi.
  • Jenis-jenis SQL Injection: Memahami pelbagai variasi serangan SQLi (sama ada jenis yang mengeluarkan paparan ralat, ataupun jenis "buta"/blind SQLi).
  • Mengekstrak Data Sensitif: Cara menyedut keluar senarai nama pengguna, e-mel, dan maklumat perbankan daripada pangkalan data.
  • Memecah Kod Rahsia (Hash Cracking) & Rampasan Akaun: Menukar kata laluan yang tersimpan dalam bentuk kod rahsia (hash) kembali kepada teks biasa untuk menceroboh akaun pentadbir (admin).
  • Membaca Fail Sistem Melalui SQL (LOAD_FILE): Menggunakan fungsi pangkalan data untuk membaca fail luaran dalam komputer pelayan.
  • Mencapai RCE Melalui SQLi: Menggunakan kelemahan pangkalan data untuk menulis fail jahat terus ke dalam pelayan web sehingga mendapat akses kawalan penuh.

Hari terakhir adalah fasa teka-teki yang paling rumit, di mana penggodam menggabungkan semua teknik untuk menjadi satu serangan yang tidak dapat dikesan.

  • Membongkar Rahsia PHP Object Injection: Memahami konsep serangan yang sering dianggap susah oleh ramai orang, tetapi sebenarnya mudah jika tahu logiknya.
  • Serangan Serialization dalam PHP: Memanipulasi cara aplikasi menyimpan dan memulihkan keadaan data (state of data) untuk mengubah suai logik aplikasi.
  • Strategi Rantaian Kerentanan (Vulnerability Chaining): Seni menyambung 2 atau 3 pepijat kecil (yang asalnya nampak tidak berbahaya) menjadi satu impak serangan berskala besar yang kritikal.
  • Kitaran Hidup Pembangunan Eksploit (Exploit Development Lifecycle): Proses membina skrip atau godaman sendiri dari mula hingga akhir.
  • Cara Menulis Laporan Memburu Pepijat (Bug Hunting Report): Langkah paling penting bagi penggodam beretika — menulis laporan profesional yang jelas supaya syarikat faham cara membaiki kesilapan tersebut dan membayar ganjaran (bounty) kepada anda.

    Kesimpulan

    ​Penggodam tidak perlu menjadi ahli sihir untuk menembusi sistem anda. Mereka cuma perlukan satu sahaja kesilapan logik atau kecuaian kecil yang ditinggalkan oleh pembina laman web atau pengguna itu sendiri.

    ​Sebab itulah dalam dunia digital hari ini, keselamatan siber bukan lagi pilihan — ia adalah tanggungjawab kita bersama! Sentiasa berwaspada dengan pautan yang diklik dan hargai data peribadi anda.

TAC saya punya, password saya punya.. kenapa saya nak share? Kamu scammer ke?
Kim

Dicatat oleh Kim

Catat Ulasan

0 Ulasan