Jumat, 16 November 2012

SQL Injection, apa dan bagaimana? Follow this guyss~~

Baiklah, kali ini tugas saya adalah melakukan SQL Injection.
hey, saya syok! karna ini pengalaman pertama saya..
dududuuuuu~~
Bismillah, yukkk kita simak..

A. Apa itu SQL Injection??
Sebelum kita melakukan suatu hal, alangkah baiknya bila kita berkenalan dahulu dengan hal tersebut. Yagak? hehehe :D
SQL Injection adalah sebuah teknik yang menyalahgunakan sebuah cela keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain. (For detail)

B. Bagaimana melakukan SQL Injection?
Saya kira melakukan SQL Injection itu langsung ser ser aja, ternyata harus pake aplikasi lagi loooohh..
Baiklah, inilah serangkain cara melakukan SQL Injection:
1. Install aplikasinya, kali ini yg saya gunakan adalah HAVIJ. Bisa anda download disini.
2. Kemudian buka. Dan seperti ini tampilnnya.
Lalu di-minimize dulu yaa.. hehe :D

3. Kemudian cari dork.
Apa itu Dork? Dork adalah kata kunci yang ditulis dalam search engine.Biasanya google dan yang  jabarkan ini hanya untuk google. Yang bermanfaat untuk mencari kelinci percobaan dalam proses penyerangan , biasanya yang muncul ialah yang bermasalah dalam sistem keamanan servernya. contoh dork yang saya gunakan untuk penyerangan : inurl://group_concat(table_name)from information_schema-- (For detail)


Lalu pilih website mana yang akan diserang.

4. Buka kembali aplikasi Havij. Masukan link target tersebut kedalam aplikasi kemudian klik Analyze.



5. Setelah terbaca database-nya, lalu mulai cari dimana ID dan password admin dengan cara klik database tersebut kemudian klik get tables.



6. Selanjutnya setelah table-table tersebut terbuka, cari lalu pilih dimana ada ID dan password admin.
Setelah itu klik get columns centang apa saja yang mau ditampilkan datanya lalu klik get data.


7. Setelah ID dan password admin didapatkan, lalu mulai cari tempat dimana admin login dengan cara klik find admin.



8. Klik kanan pada yang disorot, lalu open url, dan mulai lah login menggunakan ID dan password admin.



9. Selesai. :D
Maaf bila masih terdapat kesalahan. Namanya juga belajar kan.. hehe :D
See you on the next post.



Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)