Tuesday, August 14, 2012

Hacking : Sql Injection with Havij

SQL injection merupakan kerentanan yang memungkinkan penyerang untuk mengubah pernyataan SQL backend dengan memanipulasi input pengguna. Sebuah injeksi SQL ini terjadi ketika aplikasi web menerima input pengguna yang langsung ditempatkan ke dalam sebuah pernyataan SQL dan tidak disetting dengan baik untuk menyaring karakter berbahaya, biasanya sql injection menggunakan metacharacter.

Seorang penyerang bisa mengeksekusi pernyataan SQL sewenang-wenang pada sistem yang rentan. Hal ini dapat mengganggu integritas dari database Anda dan/atau mengungkapkan informasi sensitif.

Tergantung pada database backend yang digunakan, SQL injection mengarah pada tingkatan data / level sistem akses yang didapatkan oleh penyerang. Dimungkinkan untuk tidak hanya memanipulasi query yang ada, tetapi untuk UNION dalam data sewenang-wenang, penggunaan subselects, atau append query tambahan. Dalam beberapa kasus, dimungkinkan untuk membaca atau menulis ke file, atau untuk menjalankan perintah shell pada sistem operasi yang mendasarinya.

Iseng-iseng ingin mencoba nge-hack website suatu kampus   >_< , menggunakan tool havij.
Halaman ini berisi error / pesan peringatan yang dapat mengungkapkan informasi sensitif. Impactnya pesan kesalahan ini dapat mengungkapkan informasi sensitif yang dapat digunakan untuk memulai serangan lebih lanjut.


ok, sekarang kita jalankan program havij kita. 
masukkan "url"  tempat error yang kita temukan. Tekan tombol "Analyze"
taraaa.. kita dapat username dan password, password masih dalam bentuk md5hash, jadi perlu di decrypt dulu, biasanya aku suka decrypt di sini. meskipun tidak semua md5hash bisa kita decryptkan lagi menjadi plain text. ok, sekarang coba login.

kalau sukses contohnya seperti ini, mungkin berbeda ditempat web lain. @@

so, sudah amankah websitemu dari sql injection?? be aware guys.



5 comments:

  1. Oh, berarti kowe sing nge-hack web kantorku??? *nuduh* *tatapan mata tajam*

    ReplyDelete
  2. beuh... @@ *bawa cermin buat mantulin tatapan mata tajem

    ReplyDelete
  3. Ikut menyimak ajah sob, gak mudeng masalah ginian :)

    ReplyDelete
  4. punyaku udah aman belum ya? jangan d hack ya Di :D

    ReplyDelete
  5. Salah website saya juga kena serangan sejenis hacking. Tepatnya DDOS dan Deface. Serangdan DDOS (Denial of Service) dan Deface membuat porak poranda website klien saya dan saya sendiri. Sungguh tak elok sikap demikian. Pengalaman yang sangat tidak menyenangkan. :)))))))))

    ReplyDelete

have a question, just spill it :D