Kita bisa mengakalinya dengan cara meng-MD5 kan password.
Kita bisa memanfaatkan Javascript untuk meng-md5 passwordnya sebelum di kirim ke Server.
begini kasusnya :
Halaman website -> Login (masukkan username + password (no-Encrypt)) -> dilihat tukang sniff/langsung ke Server - Login Ok! (tapi sniff tau password user)
kl di Md5 kan
Halaman wesbite -> Login (masukkan username + password(di md5 terlebih dahulu)) -> dilihat tukang sniff (bingung dah nih tukang sniff passwordnya di md5)/ Langsung ke Server -> Login Ok!
Wow! Gimana caranya?
kita lihat web abang-abang satu ini (Paul Johnston) pajhome.org.uk/crypt/md5/scripts.html
kita buat terlebih dahulu filenya login.php :
<?php
if($_GET==1) {
print_r($_POST); // hasil output setelah di klik Login.. dan hasilnya?
} else {
?>
<!DOCTYPE HTML>
<html>
<head>
<title>test login md5</title>
<script src="http://code.jquery.com/jquery-1.7.1.min.js" type="text/javascript"></script>
<script src="http://pajhome.org.uk/crypt/md5/2.2/md5-min.js" type="text/javascript"></script>
<script>
var md5nya;
function md5kan() {
md5nya = hex_md5($('#password').val()); // peran dari script bang pajhome = hex_md5();
$('#passwordMD5').val(md5nya);
}
</script>
</head>
<body>
<form action="?login=1" method="post">
Username : <input type="text" name="username"><br/>
<input type="hidden" name="passwordnya" id="passwordMD5">
Password : <input type="text" id="password" onkeyup="md5kan()"><br/>
<input type="submit" value="login!">
</form>
</body>
</html>
<?php
}
?>
ayo di coba
teknik ini juga di gunakan oleh Yahoo non-SSL jg [:
CMIIW
Tidak ada komentar:
Posting Komentar