Web Hacking
World Wide Web merupakan bagian dari internet yang paling populer sehingga serangan paling banyak terjadi lewat port 80 atau yang dikenal sebagai web hacking. Web hacking bisa berupa :
1. Deface situs
2. SQL Injection
3. Memanfaatkan kelemahan scripting maupun HTML.

Deface
Deface adalah suatu aktifitas mengubah halaman depan atau isi suatu web sehingga tampilan atau isinya sesuai dengan yang dikehendaki penyerang. Secara garis besar, deface dapat dilakukan dengan 3 cara, yaitu :
1. Memasukkan input illegal
Tujuannya adalah agar user terlempar keluar dari direktori file-file web server dan masuk ke root directory. Dengan demikian, penyerang dapat mengamati struktur direktori dalam server.
2. Melalui TFTP (Trivial File Transfer Protocol)
TFTP adalah protokol berbasis UDP yang listen pada port 69 dan sangat rawan keamanannya. Banyak web server yang menjalankan service TFTP ini.
3. Melalui FTP dengan web yang telah diisi dengan bahan deface.

NETCAT
Netcat memungkinkan kita bisa membentuk port filter sendiri yang menjadikan kita dapat melakukan file transfer tanpa menggunakan FTP. Lebih jauh lagi, Netcat dapat digunakan untuk menghindari port filter pada kebanyakan firewall, men-spoof IP address, hingga melakukan session hijacking.

Mengamankan server IIS dari Deface
Untuk mengamankan server IIS dari deface, beberapa opsi yang bisa lakukan di antaranya :
A. Selalu mengupdate server dengan service pack dan hotfix terbaru
B. Melindungi server dengan firewall dan IDS
C. Menghilangkan opsi tulis (write) pada protokol HTTP (HTTP 1.0 atau HTTP 1.1). Contoh perintah yang didukung HTTP 1.0 dan HTTP 1.1 antara lain CONNECT*, DELETE*, GET, HEAD, OPTIONS, POST, PUT, TRACE

SQL Injection
SQL Injection attack merupakan salah satu teknik dalam melakukakn web hacking untuk menggapai akses pada sistem database. Teknik ini memanfaatkan kelemahan pada bahasa pemrograman scripting SQL dalam mengolah suatu sistem databasae yang memungkinkan seseorang tanpa account dapat masuk dan lolos verifikasi database.
Contoh : memasukkan ekspresi ‘OR = ’ pada username dan password pada suatu situs.

Untuk mengatasi hal ini, atur agar web :
A. Hanya karakter tertentu yang boleh diinput
B. Jika terdeteksi adanya illegal character, langsung tolak permintaan.

JavaScript : Client Side Scripting
JavaScript merupakan suatu scripting language yang dieksekusi dari sisi client sehingga suatu transaksi yang menggunakan JavaScript dapat dipastikan sangat rawan terhadap manipulasi dari sisi pemakai.

Contoh scripting language yang bekerja di sisi client :
A. JavaScript
B. Client side VB Script

Adapun scripting language di sisi server :
A. ASP
B. JSP
C. PHP
Kelemahan Dasar HTML Form
A. Formulir dalam format HTML (HTML Form) adalah tampilan yang digunakan untuk menampilkan jendela untuk memasukkan username dan password
B. Setiap HTML form harus menggunakan salah satu metode pengisian formulir yaitu GET atau POST
C. Melalui kedua metode HTTP ini (GET atau POST) parameter disampaikan ke aplikasi di sisi server
D. Permasalahan dalam penggunaan GET adalah variabel yang digunakan akan terlihat pada kotak URL yang memungkin pengunjung langsung memasukkan karakter pada form process. Selain itu, perintah GET juga dibatasi oleh string sepanjang 2047 karakter dan variabel juga bisa diambil dengan Request.QueryString.
E. POST biasa digunakan untuk mengirim data dalam jumlah besar ke aplikasi di sisi server.

Mencari Informasi mengenai WEB Server
> menggunakan google.com
Caranya, dengan memasukkan keyword allinurl dengan memodifikasi ke berbagai bentuk karena Google bisa menacri semua URL dalam situs.
Contoh :
- allinurl :.co.nz/admin.asp
- allinur; :.co.id atau net atau org, or.id
- allinurl : .fr/admin.asp

Tool untuk memerikasi Vulnerabilities
> Happy Browser adalah software yang digunakan untuk memeriksa, mencari, atau melacak komputer-komputer server yang security-nya sangat lemah (vulnerabilities).
> Hacking tools : Instant Source, Wget, WebSleuth, Black Widow, dan Window Bomb