<![CDATA[BackBox Indonesia - Webmaster Security]]> https://www.backboxindonesia.or.id/ Thu, 25 Jun 2026 16:10:10 +0000 MyBB <![CDATA[Cara patch server dari serangan Sql Injection menggunakan DBShield]]> https://www.backboxindonesia.or.id/thread-220.html Fri, 05 May 2017 07:15:11 +0000 https://www.backboxindonesia.or.id/thread-220.html
Untuk cara peng installan kita bisa ketikan perintah ini

PHP Code:
root@ubuntu:~# wget http://www.backboxindonesia.or.id/tmp/dbshield_1-2_amd64.deb
root@ubuntu:~# dpkg -i dbshield_1-2_amd64.deb 

Kalo sudah terinstall kita bisa ketikan perintah ini di terminal dalam mode background

PHP Code:
root@ubuntu:~# DBShield & 

Untuk mematikan proses DBShield kita bisa ketikan perintah ini

PHP Code:
root@ubuntu:~# killall -9 DBShield 

Kalo masih penasaran gimana cara menggunakannya mungkin kawan" bisa simak video yang satu ini




Note : Tools ini hanya bisa berjalan di system amd64

Kalo masih ada kendala cara menggunakannya bisa komen di bawah.
Thanks :)]]>
Untuk cara peng installan kita bisa ketikan perintah ini

PHP Code:
root@ubuntu:~# wget http://www.backboxindonesia.or.id/tmp/dbshield_1-2_amd64.deb
root@ubuntu:~# dpkg -i dbshield_1-2_amd64.deb 

Kalo sudah terinstall kita bisa ketikan perintah ini di terminal dalam mode background

PHP Code:
root@ubuntu:~# DBShield & 

Untuk mematikan proses DBShield kita bisa ketikan perintah ini

PHP Code:
root@ubuntu:~# killall -9 DBShield 

Kalo masih penasaran gimana cara menggunakannya mungkin kawan" bisa simak video yang satu ini




Note : Tools ini hanya bisa berjalan di system amd64

Kalo masih ada kendala cara menggunakannya bisa komen di bawah.
Thanks :)]]> <![CDATA[Menggunakan Hash Bcrypt Di MyBB]]> https://www.backboxindonesia.or.id/thread-28.html Fri, 11 Mar 2016 01:14:16 +0000 https://www.backboxindonesia.or.id/thread-28.html mybb 2.0 sudah menggunakan hash bcrypt. ane sangat menyarankan untuk mengganti md5 ke bcrypt kenapa?
$cost adalah parameter yang digunakan untuk menentukan seberapa banyak hash dilakukan. Untuk bcrypt, jika nilainya adalah 10 maka hashing akan dilakukan sebanyak 2^10 atau 1024 kali. Ini cukup aman karena dengan komputer biasa dalam satu detik kurang dari 7 password yang bisa dicoba. Jika password asli user adalah 8 karakter alpha numeric yang acak, maka akan dibutuhkan waktu sekitar 12 ribu tahun untuk membongkarnya!

[+]Spoiler
Rekomendasi:

1.Backup dulu
2.Minimum membutuhkan PHP 5.5.0
3.Download bahan"nya cost dan bcrypt

Langkah awal upload cost (rbieyj.php) ke direktori root selanjutnya akses url berikut http://www.websiteagan.com/rbieyj.php nanti akan menghasilkan nilai hash dari cost.

[Image: Screenshot_03102016_07_57_46_PM.png]

langkah kedua buat folder bcrypt di root/inc/datahandlers dan masukan file bcrypt tadi. selanjutnya edit bcrypt.php cari kode berikut.

Code:
protected $rounds = 13;


ganti angka 13 dengan angka yang didapat tadi.

langkah ketiga edit file  root/inc/datahandlers/login.php cari kode berikut:

Code:
if($salted_password !== $this->login_data['password'])
       {
           $this->invalid_combination(true);
           return false;

timpa dengan ini.

Code:
   {
               $this->invalid_combination(true);
               return false;
           } else {
               //update the password to bcrypt
               include_once(dirname(__FILE__)."/bcrypt/bcrypt.php");

               $hasher = new BcryptHasher;

               $sql_array = array(
                   "password" => $hasher->make($user['password'])
               );

               $db->update_query("users", $sql_array, "uid = '{$this->login_data['uid']}'");
           }
       } else {
           include_once(dirname(__FILE__)."/bcrypt/bcrypt.php");
           $hasher = new BcryptHasher;
           if(!$hasher->check($user['password'], $this->login_data['password'])) {
               $this->invalid_combination(true);
               return false;
           }

langkah ke empat sama halnya diatas cari kode berikut di root/inc/datahandlers/user.php

Code:
 // MD5 the password
       $user['md5password'] = md5($user['password']);

       // Generate our salt
       $user['salt'] = generate_salt();

       // Combine the password and salt
       $user['saltedpw'] = salt_password($user['md5password'], $user['salt']);

timpa lagi dengan ini.

Code:
  $user['salt'] = "dong"; // hacky fix that works
       //return a bcrypt hash
       include_once(dirname(__FILE__)."/bcrypt/bcrypt.php");
       $hasher = new BcryptHasher;
       $user['saltedpw'] = $hasher->make($user['password']);


langkah kelima cari kode berikut di bawah ini di root/inc/functions_user.php

Code:
if(salt_password(md5($password), $user['salt']) === $user['password'])
   {
       return $user;
   }
   else
   {
       return false;


timpa dengan ini.

Code:
if(strlen($user['password']) == 32) {
       if(salt_password(md5($password), $user['salt']) == $user['password'])
       {
           include_once(dirname(__FILE__)."/datahandlers/bcrypt/bcrypt.php");

           $hasher = new BcryptHasher;
           $user['password'] = $hasher->make($password);
           $sql_array = array(
               "password" => $user['password']
           );
           $db->update_query("users", $sql_array, "uid = '{$user['uid']}'");

           return $user;
       }
       else
       {
           return false;
       }
   } else {
       include_once(dirname(__FILE__)."/datahandlers/bcrypt/bcrypt.php");
       $hasher = new BcryptHasher;
       if(!$hasher->check($password, $user['password'])) {
           $this->invalid_combination(true);
           return false;
       } else {
           return $user;
       }

masih di file yg sama cari kode berikut.

Code:
$saltedpw = salt_password($password, $salt);


ganti dengan ini.

Code:
// replace salted password with bcrypt
   include_once(dirname(__FILE__)."/datahandlers/bcrypt/bcrypt.php");
   $hasher = new BcryptHasher;
   $saltedpw = $hasher->make($password);

kembali lagi ke folder root dan edit file member.php cari kode ini:

Code:
$logindetails = update_password($user['uid'], md5($password), $user['salt']);

ganti dengan ini.

Code:
$logindetails = update_password($user['uid'], $password, $user['salt']);

cara tesnya logout dan login kembali dan lihat hasilnya di database agan.

Sumber:

[+]Spoiler
]]> mybb 2.0 sudah menggunakan hash bcrypt. ane sangat menyarankan untuk mengganti md5 ke bcrypt kenapa?
$cost adalah parameter yang digunakan untuk menentukan seberapa banyak hash dilakukan. Untuk bcrypt, jika nilainya adalah 10 maka hashing akan dilakukan sebanyak 2^10 atau 1024 kali. Ini cukup aman karena dengan komputer biasa dalam satu detik kurang dari 7 password yang bisa dicoba. Jika password asli user adalah 8 karakter alpha numeric yang acak, maka akan dibutuhkan waktu sekitar 12 ribu tahun untuk membongkarnya!

[+]Spoiler
Rekomendasi:

1.Backup dulu
2.Minimum membutuhkan PHP 5.5.0
3.Download bahan"nya cost dan bcrypt

Langkah awal upload cost (rbieyj.php) ke direktori root selanjutnya akses url berikut http://www.websiteagan.com/rbieyj.php nanti akan menghasilkan nilai hash dari cost.

[Image: Screenshot_03102016_07_57_46_PM.png]

langkah kedua buat folder bcrypt di root/inc/datahandlers dan masukan file bcrypt tadi. selanjutnya edit bcrypt.php cari kode berikut.

Code:
protected $rounds = 13;


ganti angka 13 dengan angka yang didapat tadi.

langkah ketiga edit file  root/inc/datahandlers/login.php cari kode berikut:

Code:
if($salted_password !== $this->login_data['password'])
       {
           $this->invalid_combination(true);
           return false;

timpa dengan ini.

Code:
   {
               $this->invalid_combination(true);
               return false;
           } else {
               //update the password to bcrypt
               include_once(dirname(__FILE__)."/bcrypt/bcrypt.php");

               $hasher = new BcryptHasher;

               $sql_array = array(
                   "password" => $hasher->make($user['password'])
               );

               $db->update_query("users", $sql_array, "uid = '{$this->login_data['uid']}'");
           }
       } else {
           include_once(dirname(__FILE__)."/bcrypt/bcrypt.php");
           $hasher = new BcryptHasher;
           if(!$hasher->check($user['password'], $this->login_data['password'])) {
               $this->invalid_combination(true);
               return false;
           }

langkah ke empat sama halnya diatas cari kode berikut di root/inc/datahandlers/user.php

Code:
 // MD5 the password
       $user['md5password'] = md5($user['password']);

       // Generate our salt
       $user['salt'] = generate_salt();

       // Combine the password and salt
       $user['saltedpw'] = salt_password($user['md5password'], $user['salt']);

timpa lagi dengan ini.

Code:
  $user['salt'] = "dong"; // hacky fix that works
       //return a bcrypt hash
       include_once(dirname(__FILE__)."/bcrypt/bcrypt.php");
       $hasher = new BcryptHasher;
       $user['saltedpw'] = $hasher->make($user['password']);


langkah kelima cari kode berikut di bawah ini di root/inc/functions_user.php

Code:
if(salt_password(md5($password), $user['salt']) === $user['password'])
   {
       return $user;
   }
   else
   {
       return false;


timpa dengan ini.

Code:
if(strlen($user['password']) == 32) {
       if(salt_password(md5($password), $user['salt']) == $user['password'])
       {
           include_once(dirname(__FILE__)."/datahandlers/bcrypt/bcrypt.php");

           $hasher = new BcryptHasher;
           $user['password'] = $hasher->make($password);
           $sql_array = array(
               "password" => $user['password']
           );
           $db->update_query("users", $sql_array, "uid = '{$user['uid']}'");

           return $user;
       }
       else
       {
           return false;
       }
   } else {
       include_once(dirname(__FILE__)."/datahandlers/bcrypt/bcrypt.php");
       $hasher = new BcryptHasher;
       if(!$hasher->check($password, $user['password'])) {
           $this->invalid_combination(true);
           return false;
       } else {
           return $user;
       }

masih di file yg sama cari kode berikut.

Code:
$saltedpw = salt_password($password, $salt);


ganti dengan ini.

Code:
// replace salted password with bcrypt
   include_once(dirname(__FILE__)."/datahandlers/bcrypt/bcrypt.php");
   $hasher = new BcryptHasher;
   $saltedpw = $hasher->make($password);

kembali lagi ke folder root dan edit file member.php cari kode ini:

Code:
$logindetails = update_password($user['uid'], md5($password), $user['salt']);

ganti dengan ini.

Code:
$logindetails = update_password($user['uid'], $password, $user['salt']);

cara tesnya logout dan login kembali dan lihat hasilnya di database agan.

Sumber:

[+]Spoiler
]]>