Just another WordPress.com site

>

SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client. SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Hacking web atau biasa disebut web attack sangat banyak caranya, salah satunya dengan cara SQL injection.

SQL injection terjadi ketika attacker bisa meng-insert beberapa SQL statement ke ‘query’ dengan cara manipulasi data input ke applikasi tsb. Maksudnya terjadi, ketika kita bisa memasukkan berbagai karakter huruf, simbol atau kombinasi keduanya ke dalam “query” dengan cara menambahkannya ke addres bar.
1. Pertama kali yang kita lakukan tentu mencari target. Misalnya target kita kali ini adalah http://www.target.com/berita.php?id=100
2. Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.
Contoh :
atau
3. Maka akan muncul pesan error…
“You have an error in your SQL syntax.You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near ”’
at line 1″ Dan masih banyak lagi macamnya.
4. Next step adalah mencari dan menghitung jumlah table yang ada dalam databasenya…
Disini kita akan menggunakan perintah order by
Contoh :
“/*” adalah karakter penutup perintah SQL atau kita juga bisa pake “–“.
Kalo “+” sebagai penghubung perintah…
5. Nah sampe sini langsung dah nyobain satu2…
Sampai muncul error…
Misalkan errornya disini…
Berarti yang kita ambil adalah “9”
6. Untuk mengetahui berapa angka yang ditampilkan, sekarang kita pake UNION
Contoh :
Perhatikan angka berapa yang keluar
7. Misalnya angka yang keluar adalah “3” maka yang bisa akan kita lakukan adalah mengecek versi berapa mysql yang dipake dengan perintah “version()” atau “@@version”
Atau
8. Nah kalo versinya 5 langsung aja pake perintah “information_schema” untuk melihat tabel dan kolom yang ada pada database…
Contoh :
Nah katanya kalo untuk melihat tabel-tabel yang lain kita tambahkan LIMIT pada akhir URL. Tapi waktu itu gua gak pake keliatan kok tabelnya…Apa gua salah? Mungkin tapi sekarang yang gua mau jelaskan adalah VERSI DAN PENGALAMAN GUA. Mungkin agak lain…ya maklum lah baru belajar…Hehehe…
Misalnya yang lo liat adalah table “admin”
Nah sekarang kita liat-liat dulu kolomnya dengan mengganti aja kata “table”-nya…
Contoh:
Misalnya kolom yang keluar adalah “password” dan “username”
Langsung aja kita liat isinya…
Contoh :
dan
Bisa diliat dah username ama passwordnya…Tinggal login…Cari yang asik, terus…Terserah Anda…

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Awan Tag

%d blogger menyukai ini: