[Tutor] Beberapa mamfaat Respone Header HTTP Non-Standart

[Regel]

Sebenarnya dah sering kali dibahas diforum-forum mengenai protokol dan service HTTP ini.
Realitanya ketika kita mengklik sebuah link/atau membuka sebuah situs tanpa kita ketahui
browser kita mengirim beberapa informasi ke server yang dikenal dengan istilah Reguest Header,
Sedang Pesan yang kirim oleh server ke browser disebut dengan respone header.

Perhatikan contoh reguest header sederhana berikut:

Code:

GET /index.php HTTP/1.1
Host: localhost
User-Agent: Firefox
Connection: close

Sedangkan respone header kira-kira bentuknya seperti ini:

Code:

HTTP/1.1 204 No Content
Date: Fri, 01 Mar 2013 16:33:37 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/html; charset=UTF-8
Server: cafe
Content-Length: 0

Perhatikan Seksama ilustrasi dialog Browser = Bro dengan Server = Servi berikut:

Bro: Hi servi, nih user pengen buka fb. (reguest)
Servi: Ok bro, ini saya kirimkan panjang data sekian blabla, saya bungkus pake gzip, nah kata bos fb musti login dulu, sessionya saya kirim (respone)
Bro: Kata si user ini sandi sama passwordnya, saya kirim ya.. (reguest)
Servi: Sandi ma username benar bro, catat di cookies hingga 2 jam mendatang. (respone)

Nah begitulah kira-kira komunikasi antara browser dengan server.
Mungkin ada yang bertanya jika kita bisa meniru/mencontoh reguest tersebut
berarti bisa doank membuat fake browser/grabbing. yup benar dengan konsep dasar HTTP dan
Socket bisa membuat fake browser biasanya untuk kepentingan exploitasi dan grabing.
Namun sayang dengan banyaknya Library yang bertebaran di internet Konsep Dasar ini telah dilupakan.
Seperti contoh library socket untuk HTTP sekarang dimayoritas curl. Simpel dan praktis,
walaupun kita mengenal stuktur http tersebut kita bisa membuat grabing site.


awal mula ketika saya browsing situs2 besar saya menemukan respone header yang berbeda dengan kebanyakan situs2 standart
karna penasaran akhirnya saya menemukan informasi terkait. Banyak respone header yang tidak kita ketahui namun memiliki fungsi yang lumayan bermamfaat.

Berikut ini diantaranya yang saya dapat:

Mencegah Clickjacking, ada 2 option value yakni deny dan sameoriginal

Code:

X-Frame-Options: SAMEORIGINAL
X-Frame-Options: DENY

Mencegah Cross-site scripting (XSS)

Code:

X-XSS-Protection: 1; mode=block

Melindungi sniffing MIME pada browser (Chrome/IE)

Code:

X-Content-Type-Options: nosniff

Memanipulasi versi technology yang digunakan.

Code:

X-Powered-By: PHP/5.4.0

Content Security Policy

Code:

X-Content-Security-Policy: default-src 'self'; img-src *; object-src media.kursur-ol.com *.cdn.kursus-ol.com; script-src *.scripts.kursus-ol.com

P3P Policy

Code:

P3P: policyref="http://kursus-ol/p3p.xml", CP="NOI DEV PSA PSD IVA IVD OTP OUR OTR IND OTC"

Untuk code xml-nya perpatokan disini:

Code:

http://www.w3.org/2000/12/P3Pv1

Do Not Track
Code yang ini gak tau berlaku atau tidaknya, saya tidak menemukan referensi yang pasti. Namun pernah diajukan.

Code:

X-Do-Not-Track: 0
DNT:0

Bagaimana cara menerapkannya ada 3 cara namun saya cuma menjelaskan 2 cara yang bisa dilakukan web admin. dan 1 cara hanya bisa dilakukan admin server yakni melalui config server.
Menggunakan PHP dengan menuliskan code seperti berikut:

Code:

<?php

/**
* @author Jasman
* @copyright http://kursus-ol.com 2013
*/


header("X-Server: OMG!, You have got r00t");
header("X-Frame-Options: DENY");
header("X-Content-Type-Options: nosniff");
header("X-XSS-Protection: 1; mode=block");
header("X-Powered-By: PHP/7.5"); //fake version :D
header("X-Content-Security-Policy: default-src 'self'; img-src *; object-src media.kursur-ol.com *.cdn.kursus-ol.com; script-src *.scripts.kursus-ol.com");

?>

Tentu kalau dengan PHP tidak ikut seperti konten gambar,
js, css nah dengan htaccess bisa dilakukan.

Code:

Header set X-Powered-By "Ihsana IT Solution"

atau kita menentukan sendiri ektensi yang pengen di tambah respon headernya:

Code:

<FilesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|js|css|txt)$">
Header set X-Powered-By "Ihsana IT Solution"
</FilesMatch>

referensi:
- kursus-ol.com
- wikipedia
- w3.org

Saya post jg di:
ExploreCrew

[uchiha_sasuke]

(03-26-2013 08:55 AM)Regel Wrote:  Sebenarnya dah sering kali dibahas diforum-forum mengenai protokol dan service HTTP ini.
Realitanya ketika kita mengklik sebuah link/atau membuka sebuah situs tanpa kita ketahui
browser kita mengirim beberapa informasi ke server yang dikenal dengan istilah Reguest Header,
Sedang Pesan yang kirim oleh server ke browser disebut dengan respone header.

Perhatikan contoh reguest header sederhana berikut:

Code:

GET /index.php HTTP/1.1
Host: localhost
User-Agent: Firefox
Connection: close

Sedangkan respone header kira-kira bentuknya seperti ini:

Code:

HTTP/1.1 204 No Content
Date: Fri, 01 Mar 2013 16:33:37 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/html; charset=UTF-8
Server: cafe
Content-Length: 0

Perhatikan Seksama ilustrasi dialog Browser = Bro dengan Server = Servi berikut:

Bro: Hi servi, nih user pengen buka fb. (reguest)
Servi: Ok bro, ini saya kirimkan panjang data sekian blabla, saya bungkus pake gzip, nah kata bos fb musti login dulu, sessionya saya kirim (respone)
Bro: Kata si user ini sandi sama passwordnya, saya kirim ya.. (reguest)
Servi: Sandi ma username benar bro, catat di cookies hingga 2 jam mendatang. (respone)

Nah begitulah kira-kira komunikasi antara browser dengan server.
Mungkin ada yang bertanya jika kita bisa meniru/mencontoh reguest tersebut
berarti bisa doank membuat fake browser/grabbing. yup benar dengan konsep dasar HTTP dan
Socket bisa membuat fake browser biasanya untuk kepentingan exploitasi dan grabing.
Namun sayang dengan banyaknya Library yang bertebaran di internet Konsep Dasar ini telah dilupakan.
Seperti contoh library socket untuk HTTP sekarang dimayoritas curl. Simpel dan praktis,
walaupun kita mengenal stuktur http tersebut kita bisa membuat grabing site.


awal mula ketika saya browsing situs2 besar saya menemukan respone header yang berbeda dengan kebanyakan situs2 standart
karna penasaran akhirnya saya menemukan informasi terkait. Banyak respone header yang tidak kita ketahui namun memiliki fungsi yang lumayan bermamfaat.

Berikut ini diantaranya yang saya dapat:

Mencegah Clickjacking, ada 2 option value yakni deny dan sameoriginal

Code:

X-Frame-Options: SAMEORIGINAL
X-Frame-Options: DENY

Mencegah Cross-site scripting (XSS)

Code:

X-XSS-Protection: 1; mode=block

Melindungi sniffing MIME pada browser (Chrome/IE)

Code:

X-Content-Type-Options: nosniff

Memanipulasi versi technology yang digunakan.

Code:

X-Powered-By: PHP/5.4.0

Content Security Policy

Code:

X-Content-Security-Policy: default-src 'self'; img-src *; object-src media.kursur-ol.com *.cdn.kursus-ol.com; script-src *.scripts.kursus-ol.com

P3P Policy

Code:

P3P: policyref="http://kursus-ol/p3p.xml", CP="NOI DEV PSA PSD IVA IVD OTP OUR OTR IND OTC"

Untuk code xml-nya perpatokan disini:

Code:

http://www.w3.org/2000/12/P3Pv1

Do Not Track
Code yang ini gak tau berlaku atau tidaknya, saya tidak menemukan referensi yang pasti. Namun pernah diajukan.

Code:

X-Do-Not-Track: 0
DNT:0

Bagaimana cara menerapkannya ada 3 cara namun saya cuma menjelaskan 2 cara yang bisa dilakukan web admin. dan 1 cara hanya bisa dilakukan admin server yakni melalui config server.
Menggunakan PHP dengan menuliskan code seperti berikut:

Code:

<?php

/**
* @author Jasman
* @copyright http://kursus-ol.com 2013
*/


header("X-Server: OMG!, You have got r00t");
header("X-Frame-Options: DENY");
header("X-Content-Type-Options: nosniff");
header("X-XSS-Protection: 1; mode=block");
header("X-Powered-By: PHP/7.5"); //fake version :D
header("X-Content-Security-Policy: default-src 'self'; img-src *; object-src media.kursur-ol.com *.cdn.kursus-ol.com; script-src *.scripts.kursus-ol.com");

?>

Tentu kalau dengan PHP tidak ikut seperti konten gambar,
js, css nah dengan htaccess bisa dilakukan.

Code:

Header set X-Powered-By "Ihsana IT Solution"

atau kita menentukan sendiri ektensi yang pengen di tambah respon headernya:

Code:

<FilesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|js|css|txt)$">
Header set X-Powered-By "Ihsana IT Solution"
</FilesMatch>

referensi:
- kursus-ol.com
- wikipedia
- w3.org

Saya post jg di:
ExploreCrew

pa le ne izin

[Regel]

sip gan..

[sotbot]

om jasman, thread anda keren2 semua

[eM.eL]

bacaan yg menarik om... ijin

[abuabu_hat10]

Keren nih, Web Developer yah Om

[KotoM]

memang om regel top markotop

[Regel]

(03-26-2013 01:37 PM)abuabu_hat10 Wrote:  Keren nih, Web Developer yah Om

Ane cuman teknisi komputer kang.,. klw da yg mw order baru berubah jadi Web Developer,

(03-26-2013 07:05 PM)KotoM Wrote:  memang om regel top markotop

tangkiyu cendolnya.. hehehe...

[hakimoxz]

g bisa bilang apa2 lg ilmunya