On Selasa, 29 September 2015
Hai gan
Disini saya mau membagikan tutorial cara untuk mencari kelemahan website menggunakan UNISCAN
UNISCAN ini adalah tools yang paling ane suka untuk mencari kelemahan website selain joomscan,
kalau joomscan hanya untuk mencari kelemahan website ber CMS JOOMLA
sedangkan UNICSAN ini bisa menscan SEMUA WEBSITE BER CMS APAPUN,nah ngeri kan gan,sedikit ane jelasin tentang UNISCAN
UNISCAN adalah aplikasi untuk mencari kelemaham website dengan cara mengexploitasi website tersebut secara otomatis,nah karena mencari kelemahan website yang detail,
jadi UNISCAN ini membutuhkan bandwidth yang besar pula,dan juga nguras kuota,jadi mendingan ente kalo mau make cara ini ,
ente cari dulu gembelan wifi yang ada ditempat ente biar gk nguras kuota,atau ente nekat dan rela kuota ente habis hanya untuk mencari kelemahan website seperti ane ini
Nah langsung saja dimulai
Pertama tama buka dulu uniscan ente dengan cara ketik “uniscan” pada terminal,oh iya,disini ane make kali linux,sudah otomatis terinstall,kalau make cyborg belum keinstall jadi harus install dulu
Nah disitu muncul command command untuk menggunakan uniscan
-h untuk mengetahui command command apa aja yang ada diuniscan
-u untuk memasukkan url
-f untuk multy scan url
-b untuk membuat uniscan bekerja dibackground atau latar belakang operating system
-q untuk mengecheck directory yang ada di website tersebut,disini kita bisa mengetahui file file yang tersembunyi pada website tersebut
-w untuk mengecheck file yang ada di website tersebut
-e untuk mengecheck apakah ada robots.txt dan sitemap.xml
-d untuk mencari kelemahan website dengan exploit exploit yang ada diuniscan tersebut
-s hampir sama dengan -d
-r untuk strees testing,stress testing sudah dijelakan di postingan sebelumnya
-i <dork> Bing search
-o <dork> Google search
-g Web fingerprint
-j Server fingerprint
Kedua menscan website
Menscan website ini menggunakan command berikut :
uniscan -u http://www.websitekorban.com -qwedsr
Live target : uniscan -u http://www.langkatkab.go.id -qwedsr
-u untuk memasukkan website yang akan discan
-qwedsr adalah kita mau uniscan ini menscan secara penuh website diatas
Ketiga
Kita menunggu uniscan mencari kelemahan website tersebut,diperlukan waktu yang lama untuk melakukan cara ini karena tergantung website tersebut seberapa banyak file yang terdapat pada website tersebut
Keempat memanfaatkan bug pada website
Nah jika sudah selesai kita tinggal menggunakan bug yang sudah dicari oleh uniscan ini dan kita tinggal melakukan serangan pada website tersebut
Nah pada web pada website http://www.langkatkab.go.id ini ketemu bug/kelemahan blind sql injection dan juga xss ,kenapa ane tau kalau ada bug xss padahal discreen shot tadi cuman ada bug blind sql injection?karena kemaren ane udh scan web ini dan lupa ane screen shot :v
Jadi tinggal manfaatin bug tersebut untuk men deface web tersebut
Sekian tutorial dari ane
Jangan lupa klik iklan gan biar tambah semangat update tutorialnya :D
