Thursday, April 24, 2008

Hacking Website menggunakan Sql Injection statement "or"

SQL (Structured Query Language) adalah sebuah bahasa yang dipergunakan untuk mengakses data dalam basis data relasional. Bahasa ini secara de facto merupakan bahasa standar yang digunakan dalam manajemen basis data relasional. Saat ini hampir semua server basis data yang ada mendukung bahasa ini untuk melakukan manajemen datanya.

Kali ini saya ingin memberikan sedikit panduan mengenai cara hacking website menggunakan sql injection secara mudah, tanpa software dan hanya menggunakan statement "or".
Dengan cara ini, seseorang yang menamakan dirinya sebagai xnuxer pernah mendeface website kpu

Sebagaimana kita ketahui, hampir semua website meliki halaman khusus yang hanya dapat dimasuki oleh administrator. Dan tiap orang yang masuk ke directory tersebut harus memasukan username dan password sebagai admin, dan dengan tutor ini, kita mencoba untuk membye-pass password tersebut.

Baiklah untuk tidak memperpanjang mukadimah, kita langsung saja masuk pada topik. . Perhatikan penjelasan saya berikut ini: Misalnya saya memiliki website dan untuk dapat melakukan konfigurasi, maka saya harus masuk sebagai admin. Dan anggep aja usernamenya adalah Admin, dengan password kucing belang dan untuk login, maka kira - kira sql statemennya sebagai berikut:
Select * from admin where username = ‘Admin’ and Password = ‘kucing belang’

Kalo saya masuk ke root admin dan mengisikan username dan pasword tersebut, secara otomatis dan pasti saya dapat "ngutak-ngatik" website saya. Tapi bagaimana kalo gak tau passwordnya? nah ini die, inti dari tutor kali ini, dimana kita coba membyepass atau melewati perintah password tanpa mengetahui password tersebut.

Sebelumnya saya perlu sedikit menjelaskan mengenai logika pemakaian statement "or" dimana statemen tersebut dapat membalik nilai "false" menjadi "true" sehingga, walaupun kita salah memasukan password, tetap dianggap benar. Misalnya, saya menggunakan statemen or untuk masuk sebagai admin, maka statemen yang saya masukan adalah mengisi "or ‘’=" (tanpa tanda petik di awal dan akhir) pada username dan password. Hanya dengan memasukan statemen tersebut, saya dapat masuk ke website saya tanpa perlu tau apa username dan passwordnya Dan silahkan anda berimprovisasi untuk mencari root admin page pada suatu website. Atau lihat pada tulisan saya sebelumnya. Dan selamat mencoba

*Glosarry:
Statemen pada tutorial ini, sama artinya dengan command atau perintah.

Catatan: Lagi-lagi saya mengingatkan anda agar menggunakan proxy atau setidaknya jangan lakukan di tempat dimana biasa anda browsing (rumah, kantor) atau warnet yang sudah anda kenal, mendingan cari warnet yang tidak pernah anda kunjungin.. klo bisa cari dipelosok

Lihat artikel yang berkaitan

Download Basic Sql Statement

0 Lihat / Isi Komen Postingan Ini: