ehhemmm,,
udah lama nih gk beginian,,
wkwkwk
http://alumni.polban.ac.id
itu salah satu domain di website kampus kita tercinta
http://polban.ac.id
hehehe
oke disini saya akan membahas SQL
walaupun itu blum ada dipelajaran kita..
tapi bakalan ada ntar kata si kakak tingkat 2 dan 3 :D
saya akan jelasin tentang sekelumit SQL-Injection
nah SQLi-injection ini bisa diterangkan sebagai berikut
"salah satu jenis pengetesan kepada web user yang mengijinkan user tidak sah(penyerang)untuk mengakses database server. Pada dasarnya,serangan ini difasilitasi oleh kode program anda sendiri.
teknik nya,penyerang mencoba memasukkan query (melalui field atau URL) yang akan menyebabkan database server men-generate query SQL yang tidak valid.
Pada kenyataan nya,SQL injection terbukti merupakan salah satu teknik terbaik yang sering
melumpuhkan sasarannya. Begitu penyerang berhasil menguasai kendali database server,ia bisa
melakukan apa saja,seperti memodifikasi atau bahkan menghapus semua data yang ada. bagaimana pun juga ,
ini bisa dicegah jika kode program anda melakukan validasi yang baik.
Sebenarnya apa bila anda teliti,teknik SQL injection sangat sederhana sekali. Akan tetapi
justru yang sering diabaikan oleh para programer,entah itu tidak tahu atau lupa.
nah kita akan coba di
http://alumni.polban.ac.id dulu yah..
disitu kita mendapatkan http://alumni.polban.ac.id/index.php?act=view&rnum=832
nah kita cek vulnerable atau tidak
ternyata vulnerable :D
kemudian saya mendapatkan informasi SQL nya
[+] Current Database : polbanalumni
[+] Database User : root@localhost
[+] MySQL Version : 5.0.22
dengan database itu kita cek Table nya.
di database polbanalumni
ternyata terdapat table
[+] polbanalumni(5)
1) alumni
2) angkatan
3) login
4) m_kategori
5) ps_polban
nah disini saya berkeinginan memasuki WEb ini
hehehe
kemudian saya cek colom yang ada di table login
dan tarraaaaaaaaaa
trnyata berisikan
[+] login(1)
1) username
2) password
nah skrg tinggal ngedump colomnya
dan saya mendapatkan
login ID dan Passwordnya
user : ***
passw : *****
nih printscreen saya berhasil masuk web adminya
hahahaha
