Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
7Activity
0 of .
Results for:
No results containing your search query
P. 1
SQL Injection Exposed- Proof of Concept

SQL Injection Exposed- Proof of Concept

Ratings: (0)|Views: 565|Likes:
Published by asopyan
Buku tentang SQL Injection secara mendetail
Buku tentang SQL Injection secara mendetail

More info:

Published by: asopyan on May 04, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

01/08/2011

pdf

text

original

 
Explore Your Brain – SQL Injection Exposed – Proof of Concepthttp://exploreyourbrain.org 1
 
SQL Injection Exposed - Proof of Concept
Author : EVA-00 || eva-00[at]exploreyourbrain.orgDate : November 2008
 
Explore Your Brain – SQL Injection Exposed – Proof of Concepthttp://exploreyourbrain.org 2
 
Chapter 0x01 – Intermezo.
Anda sedang berselancar di situs-situs security dan menemukan berita tentang dipublikasikannya sebuah bugs SQL Injection, attacker berhasil mendapatkaninformasi penting seperti usename dan password administrator, bagaimana attackerbisa menemukan bug tersebut? Dan bagaimana pula attacker bisa mengetahuiusename dan password dengan bermodal SQL Injection???, SQL Injection apaanom??? SQL Injection adalah sebuah bug dimana seoarang attacker bisa memasukanperintah SQL yang dapat menampilkan informasi penting seperti username danpassword. Langsung kita bahas aja yuk….
Chapter 0x02 – Cari bug target
Untuk mengikuti artikel ini anda wajib mendownload sebuah web applikasi sederhanayang telah saya buat, sehingga anda bisa langsung mempraktekkannya padacomputer anda sendiri yang bisa andadownload di siniikuti petunjuk installasinyadidalam file readme tersebut. penjelasan yang saya lakukan mungkin sedikitmembutuhkan pengetahuan seperti pemrograman PHP & MySQL. Dibawah iniadalah salah satu contoh seorang yang attacker berhasil mendapatkan usename danpassword administrator.Seperti yang anda lihat di atas, attacker berhasil mendapatkan usename danpassword dalam bentuk terencrypsi MD5 dan jika password tersebut mudah dicrack, maka attacker bisa leluasa keluar-masuk halaman administrator, atau bahkan
 
Explore Your Brain – SQL Injection Exposed – Proof of Concepthttp://exploreyourbrain.org 3
 
attacker bisa melakukan aksi deface yang belakangan ini marak terjadi. Bagaimanaattacker bisa melakukannya??? Kita bahas langsung aja yuk…Perhatikan url ketika attacker berhasil mendapatkan username dan passworddibawah ini.http://localhost/injector/index.php?id=-4+union+select+1,2,group_concat(user_id,0x3a,password_id),4,5+from+table_user --user_id,0x3a,password_idadalah nama colomn dari database,0x3aadalah tanda titk dua yang diconvert kedalam hexa yang digunakan sebagai pemisah sedangkantable_useradalah nama tablenya. Lalu bagaimana attacker bisa mengetahui namatable dan column yang jelas-jelas tersimpan dibalik firwall, ids, antivirus dan segalamacam pengaman lainnya?? dan bagaimana pula attacker mengetahui adanya bugSQL Injection pada suatu web applikasi?? Ok perhatikan gambar dibawah ini.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->