BLANTERWISDOM101

Eksplanasi Header Injection

Selasa, 12 Januari 2021


 Header Injection adalah menginjeksi metadata server yang berada di dalam header suatu website. Header adalah tempat data server di simpan. Koneksi, cookie, dan data lainnya terletak di dalamnya. 

Dalam file header ini tentunya kita dapat mencari celah keamanan di dalam situs dengan mengubah suatu data atau menambahkan kueri berbahaya. Beberapa celah keamanan dalam header yang ditemukan adalah open redirection url, arbitrary set cookie, pengubahan autentikasi, dan lainnya. Celah tersebut ditemukan pada website yang memiliki input kueri data yang dimasukkan ke dalam header seperti contohnya adalah cookie. Ketika user mendaftar di suatu website akan mendapatkan cookie nya tersendiri untuk menyimpan jejak login, tetapi jika kesalahan parse terjadi maka kita dapat menyerang data login orang lain. Sangat bahaya bukan?

Celah - celah keamanan tersebut sering ditemukan pada website yang memiliki fitur autentikasi login dan pengubahan data, seperti website e-commerce, jual beli produk, dan forum.

Contoh Celah Header Injection

header('Location : '.$_GET['url']);

Sintaks kode di atas merupakan open redirection ke sebuah url menggunakan parameter GET.  Kita dapat menginjeksi nya dengan melakukan pengubahan terhadap value Location. 

Pada reqbin.com/curl, kita dapat mengubah nya dengan melakukan request cURL untuk mendapatkan respon website. Dengan menginput kode:

curl -i -H "Location : http://yourwebsite.com" http://targetsite.com

Dengan ini, data header akan dapat dirubah jika server web mengijinkan untuk pengubahan terhadap header. Maka respon akan tercatat 200 OK.

Share This :
Arya Kresna

Hanya seorang pelajar yang hobi nya membuat kode dan berharap karya nya bermanfaat bagi orang lain.

0 komentar

Berkomentar dengan bahasa yang baik dan benar sangat diperlukan