Friday, April 6, 2007

My Hacking Archive

Konsep dasar SQL Injection


SQL singkatan dari Structured Query Language yg merupakan bahasa komputer standar yg ditetapkan oleh ANSI (American National Standard Institute) untuk mengakses dan memanupulasi sistem database. SQL bekerja dgn program2 database seperti MS Access, DB 2, Informix, MS SQL Server, Oracle, Sybase dan lain sebagainya.

SQL Injection attack merupakan salah satu teknik dalam melakukan web hacking utk menggapai akses pada sistem database yg berbasis SQL. Teknik ini memanfaatkan kelemahan dalam bahasa pemprograman scripting pada SQL dalam mengolah suatu sistem database. Hasil yg ditimbulkan dari teknik ini membawa masalah yg sangat serius. Mengapa disebut SQL Injection ? seperti yg kita ketahui, injection jika diartikan ke dalam bahasa Indonesia yaitu "suntikan". Yang terjadi memang seperti melakukan suntikan terhadap SQL yg tujuannya adalah tergantung kepada pelakunya dan pada intinya jika disalahgunakan maka akan membawa aspek negatif terhadap korban.

Sudah disinggung diatas bahwa SQL Injection attack memanfaatkan kelemahan dalam bahasa pemprograman scripting pada SQL maksudnya adalah memanfaatkan teknik string building untuk mengeksekusi/menjalankan kode SQL. Jadi prinsip dasar SQL Injection sebenarnya memanfaatkan kode insecure (tidak aman) atas sebuah sistem yg terhubung ke internet dalam upaya melangkahi command (perintah) dan secara langsung menuju ke database untuk kemudian mengambil keuntungan dari sistem yg dijamin aman untuk melakukan pengambilan atau pengubahan atau lain sebagainya oleh penyerang.

Keuntungan yg diambil adalah seperti login akses terhadap server yg bukan haknya atau yg lainnya, tergantung kepada penyerangnya.

Input Query String

Default setting dari SQL menggunakan :

adminID = sa

password ='' (kosong atau blank)

misalnya : http://www.target.com/login.asp?adminID=sa%20password=''

%20 artinya menggantikan "jarak spasi"

Ini merupakan kondisi yg berbahaya jika pengubahan setting tidak segera dilakukan.

Verifikasi yg dilakukan oleh SQL disaat pemakai memasukkan username dan password adalah seperti yg terlihat pada teks sebagai berikut :

SQLQuery="SELECT Username FROM Users WHERE Username="'&strUsername&"'strpassword&"'

Pada verifikasi terdapat kelemahan pada pemprosesan pada string2 tertentu yg sebenarnya string tersebut dapat dikatakan sebagai input ilegal. Verifikasi tetap melakukan proses dan nantinya menghasilkan error page. Error page tersebut justru membuka rahasia struktur database dan bahkan error page tetapi eksekusi terhadap validasi input tetap dijalankan.

Contoh : menggunakan injection string 'OR''= pada username maupun password baik dilakukan dgn metode URL input query string maupun Box input query string maka SQL query akan membacanya sebagai berikut :

SELECT Username FROM Users WHERE Username=''OR''='' AND Password=''OR''=''

Maka yg terjadi adalah SQL query akan menyatakan blank username dan blank password sebagai user yg sah (valid). SQL Injection yg berhasil dilakukan akan ditandai dgn munculnya error page dgn error yg dimunculkan dapat berupa ODBC error, internal server error, syntax error dan lain sebagainya.

Ada banyak variasi dari injection string yg dapat digunakan untuk melakukan SQL Injection :

'or 1=1--

'or 0=0 --

'or 'x'='x

'or a=a-

"or 0=0 --

"or 0=0 #

"or "x"="x

")or("a"="a

admin'--

hi" or 1=1 --

hi' or'a'='a

hi")or("a"="a

or 0=0 #

'or a=a--

'or 0=0 #

'having 1=1--

"or 1=1--

"or "a"="a

')or('a'='a

')or('x'='x

hi" or "a"="a

hi' or 1=1 --

hi')or('a'='a

or 0=0 --

or 1=1--

Serangan dgn menggunakan SQL Injection dapat lebih bervariasi lagi dan itu tergantung kepada situasi dan tujuan dari serangan yg dilakukan oleh penyerang. Contoh :

'UPDATE YEPCell_memberDB set Credits=100 wher UserID='yamakasi'

SQl Injection yg dilakukan seseorg dapat dideteksi dgn menggunakan IDS (Intrusion Detection System). IDS bukan lagi tool yg terlalu asing terdengar ditelinga anda. Anda dapat mencarinya di www.google.com

Tentang Hidup

Tentang teman dan persahabatan :

Kita harus belajar hidup berdampingan sebagai saudara, kalau tidak mau
musnah sebagai orang-orang tolol. (Martin Luther King, Jr.)

Satu-satunya cara untuk mendapat sahabat adalah dengan menjadi sahabat.
(Ralph Waldo Emerson)

Persahabatan yang mengalir dari hati tidak bisa dibekukan oleh kesengsaraan.
(James Fennimore Cooper)

Kita mewarisi sanak keluarga dan bentuk fisik dari nenek moyang tanpa bisa
mengelakkannya; tetapi kita bisa memilih pakaian kita dan teman-teman kita, dan
hendaknyalah kita berhati-hati agar keduanya cocok bagi kita. (Volney Steamer)

Perasaan mempersatukan manusia, pendapat memisahkannya. Persahabatan remaja
dibentuk oleh yang pertama. Klik di usia dewasa sayangnya sering dibentuk oleh
yang kedua. (Johann Wolfgang von Goethe)

Binatang adalah teman yang menyenangkan. Mereka tidak bertanya macam-macam,
mereka tidak mengritik. Apakah tujuan hidup kita, kalau bukan untuk meringankan
hidup orang-orang lain. (George Eliot)

Teman jangan disakiti, juga saat berolok-olok. (Syrus)

Kekuatan bisa berkurang, tetapi cinta bisa bertambah; dan orang yang
memaafkan lebih dulu adalah yang menang. (William Penn)

Bagian terbaik dari hidup seseorang adalah perbuatan-perbuatan baiknya dan
kasihnya yang tidak diketahui orang lain. (William Wordsworth)

Siapa yang tidak menyayangi orang lain maka tidak akan disayangi orang.
(Rasulullah SAW)


Belumlah sempurna iman seseorang diantara kamu sehingga mengasihi saudaranya
sebagaimana mengasihi diri sendiri. (Rasulullah SAW)

My Pictures






My Kamus Malesbanget


1. AA GYM GTL
Agak Agak GYMana GiTu Loh

Contoh dalam kalimat :
eh...tau gak?? gw kalo dideketin ama dia...jadi AA GYM GTL...

2. AA GYM GTL
AA Gym Gtl/Aa Gym Gatel biasa diucapkan sebagai ungkapan bagi ustad"/ahli agama yang genit

Contoh dalam kalimat :
Babi: Eh" loe liat ngga tadi Suhaeli ngegodain cewek"??
Buta: Ho"oh dasar.. Guru agama yang Aa Gym Gtl..

3. AA GYM GTL
aa Gym GTL = aa Gymbrut Gatel, Gymbrut sendiri dalam bahasa jakarta artinya ML.

4. AA GYM GTL
aduh-aduh gayakmu gatel

Contoh dalam kalimat :
bagus tuh kayak AA GYM GTL

5. AA GYM GTL
-Alamat Anda Gymana GiTuLoh...
-Anak Airlangga nge-"GYM" Getol, maksudnya nge"gym" tuh gituannya buset...

Contoh dalam kalimat :
def. 1:
Rin: wah, gw ngirim paket ke rumah lo tuh A GYM GTL
Zecth: sori, bang. wa tempatnya didket rumah bordil ujung sono...

def. 2:
Rina: gw pingin nyobain co" anak unair, katanya mreka AA GYM GTL
Sari: ajak" gw jg dong, byar gw jg bisa nikmatin...

6. AA GYM GTL
aa gym gtl = poligamier"s (aa gym gatel...)

Contoh dalam kalimat :
A: Katanya aa gym bla...bla..bla... ya?
B: Iya!! aa gym gtl... sange mulu kali!!!

7. AA GYM GTL
Alih Alih Gua Yang Minta Gatel

Contoh dalam kalimat :
Co : Suntuk banget sich??
Ce : Dah ah...
Co : napa emangnye?
Ce : AA GYM Gtl taukk, gw dah lama nunggu nihh!!

8. AA GYM GTL
AA GYM gak ATEL, YAHYA Zaini tuh yang gatel

Contoh dalam kalimat :
ati2 ah kalo bikin pengertian

9. AA GYM GTL
Aduh Aduh Gyla Makin Gede Toket Lo ..

Contoh dalam kalimat :
boy : hai nina ...
skrng ko beda ..
nina : apanya ...?
Boy : AA GYM GTL ....

hehehehee...

10. AA GYM GTL
AlAmak GaYaMu koyo GaTel

Contoh dalam kalimat :
fren 1: luama gak ketemu coy, AA GYM GTL
fren 2: kau juga rupanya AA GYM GTL