Apache : Menonaktifkan Fungsi PHP pada Direktori

Pada model webserver dengan Apache, PHP berjalan atas ‘perintah’ Apache. PHP dapat berjalan dengan beberapa mode :

1. mod_php

2. CGI mode

3. FPM mode

PHP akan menjalankan sintaks-sintaks PHP, dan akan memberikan hasil keluarannya sebagai masukan bagi Apache. Apache akan mengeluarkan hasilnya dengan mengirimkan hasilnya pada browser, dengan format HTML.

Sebuah aplikasi berbasis web biasanya memiliki sebuah direktori (folder) tempat upload file. Direktori ini selalu harus dapat ditulisi oleh webserver (apache writable). Karena sifat writable inilah, sebuah uploadable-directory memiliki potensi risiko bahaya serangan inject. Serangan-serangan hacking, pada umumnya akan mengarah lebih dulu pada direktori-direktori sejenis itu. Penyerang melakukan upload backdoor, php-shell atau sejenisnya yang dapat digunakan untuk mengontrol seluruh direktori dan database, pada uploadable directory tersebut. Hal ini yang akan membuat dilema seorang pengelola server. Jika direktori tidak dapat ditulis (not-writable) maka file gambar dan sejenisnya tidak dapat diupload. Namun jika dapat ditulisi, akan menjadi sasaran bagi para penyerang.
Continue reading “Apache : Menonaktifkan Fungsi PHP pada Direktori”

Kelakuan Internet Provider Indonesia dan HTTPS

Coba sebutkan beberapa Internet Service Provider di Indonesia yang anda kenal. Tentu kita mengenal provider besar nasional seperti Telkom beserta anaknya : Telkomsel, ada XL, Indosat, 3, dan lain sebagainya. Disamping provider nasional, ada juga provider-provider di daerah masing-masing. Dari sekian banyak, mana yang pernah anda pakai, dan bahkan masih aktif dipakai sebagai pilihan utama? Lantas pernahkah anda benar-benar cek validasi data yang masuk ke dalam browser anda saat browsing?

Dalam catatan saya, ternyata sebagian besar provider nasional berbasis seluler, plus Telkom, benar-benar memaksimalkan untuk keuntungan mereka hingga level data. Sebagai contoh adalah Speedy. Telkom Speedy sengaja melakukan inject script dalam data yang dikirim antara server web ke browser.
Apa efeknya? Efek yang muncul adalah : kadang halaman menjadi rusak, karena beberapa elemen script tertimpa oleh script tambahan Telkom.
Apa gunanya? Gunanya adalah keperluan statistiknya Telkom plus potensi memata-matai data yang diakses oleh tiap user. Gambar berikut adalah contohnya:
script_inject_telkom
Continue reading “Kelakuan Internet Provider Indonesia dan HTTPS”

[WebServer] Mengaktifkan Fitur Kompresi Webserver

nginx
Salah satu bentuk dukungan pemilik web terhadap para pengaksesnya adalah : mempermudah proses pembukaan web. Mempermudah itu dapat berarti banyak hal:

  1. Mengaktifkan tampilan yang responsif terhadap lebar layar dan jenis media
  2. Memperingan load web, selain cepat diakses juga mengurangi pemborosan quota selular pengakses

Continue reading “[WebServer] Mengaktifkan Fitur Kompresi Webserver”

[FlashBackBlog] Menggunakan nGinX sebagai Reverse Proxy

Nginx, adalah sebuah webserver opensources yang dikembangkan dari keturunan Apache. Nginx, seperti apache, memiliki fungsi melakukan publikasi dokumen dalam sistem, ke sisi publik, melalui protokol HTTP atau port default 80. Nginx, adalah singkatan dari Engine-X. nGinX. Memiliki tingkat keringanan eksekusi dokumen yang lebih kencang daripada Apache. Namun tentu saja beberapa kekurangannya adalah kelengkapan modul yang diperlukan oleh web, kalah oleh Apache. Namun demikian untuk web-web biasa, atau sistem informasi biasa, tidak terlalu membutuhkan modul-modul terlalu lengkap.
Continue reading “[FlashBackBlog] Menggunakan nGinX sebagai Reverse Proxy”

[Flash Back] VirtualHost Apache dan Nginx

virtualhost-block

Webserver, entah apache atau nginx dan lain sebagainya akan mengenal istilah ServerName atau nama panggil. Sebuah server yang dipanggil dengan nama tertentu, misal namaserver.com, akan terjadi proses pengambilan dokumen di dalam webserver. Lokasi dokumen tersebut dinamakan DocumentRoot. Oleh karena itu dalam server apache, akan muncul sintaks konfigurasi seperti berikut:

Continue reading “[Flash Back] VirtualHost Apache dan Nginx”

Disable Handler PHP pada Uploadable Directory Apache

Penggunaan CMS memang memudahkan seseorang membuat web. CMS membantu sekali para wirausahawan muda dalam membuat usaha di bidang web. CMS digunakan oleh para pengembang mulai dari profesional hingga kelas pemula sekalipun. Hanya saja, kadang jika tidak dilengkapi dengan kehati-hatian penggunaan CMS dan plugins, CMS dapat menjadi bumerang bagi pemilik web.

Para cracker pemula, bersenjatakan dork yang dipublish pada situs-situs vulnerability publish, mencari bug-bug CMS dan plugins, selanjutnya melakukan cracking web, dan melakukan ritual vandalisme di sana. Plugins, memang memudahkan seseorang dalam melakukan custom webnya. Namun plugins juga menjadi celah besar kalau tidak malah masalah yang sesungguhnya. Salah satu celah tersebut dapat dimanfaatkan oleh para cracker.
Continue reading “Disable Handler PHP pada Uploadable Directory Apache”

Meminjam IP Publik Lain Network untuk Web Server Lokal dengan SSH


Masih seputar SSH seperti pada posting sebelumnya di http://bimosaurus.com/2014/06/13/back-connect-dengan-menggunakan-reverse-ssh/

 

backconnect

 
Continue reading “Meminjam IP Publik Lain Network untuk Web Server Lokal dengan SSH”