>How to Patch SQL Injection

February 2, 2011 at 10:10 pm | Posted in computer and high technology, Hacking, Tutorial | Leave a comment

>

SQL Injection adalah salah satu teknik penyerangan ke sebuah web dengan cara memasukkan perintah sql ke url target sehingga attacker bisa memperoleh informasi penting dari website tersebut. Seperti nama user, password, email, dan masih banyak lagi informasi yg bisa didapatkan tergantung kreativitas attacker. Langsung saja kita coba scan bug dengan memasukkan sigle quote di akhir url, misalkan :

http://site.com/index.php?list=berita&de=14

Kalau ada error, bisa dianggap positif vuln terhadap sqli. Lihat gambar dibawah:

Seperti yang kita ketahui bugnya ada di http://site.com/index.php?list=berita&de=14 , lebih tepatnya yg menyebabkan ini semua terjadi adalah file berita.php dan string de, sekarang kita coba buka file ini dengan text editor, bisa notepad, wordpad, atau kalau ane sih sukanya pake editplus. Ini isi dari sebagian filenya :


Bugnya ada di script bagian ini :

$iddetail = $_GET[‘de’];

Tidak adanya filter di $_GET[‘de’] menyebabkan web ini vulnerable. Oke script penyebab ini semua telah kita temukan, sekarang saatnya patching. Tambahkan script ini diatas script vulnerable diatas :

Lalu ganti script $iddetail = $_GET[‘de’]; menjadi $iddetail = $de; Untuk script lengkapnya bias di download disini. Sekarang coba buka lagi page vulnerable dan tambahkan single quote(‘) dan tarra.. proses patching telah berhasil.

Greats :

All Kill-9 Crew and IndonesianCoder Team, Malang-Cyber Crew and All Indonesian Hacker and You

Guest Post : http://kill-nines.blogspot.com/

Leave a Comment »

RSS feed for comments on this post. TrackBack URI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Blog at WordPress.com.
Entries and comments feeds.

%d bloggers like this: