Structured Query Language (SQL) adalah bahasa pemrograman khusus untuk mengirim pencarian data (query) ke database. sebagian besar industri kecil dan kekuatan database dapat diakses dengan menggunakan statemen SQL, Baik ANSI dan ISO standart. Namun, ada banyak juga produk yang mendukung database SQL melakukannya dengan ekstensi ekslusif dengan bahasa standart.
METODE PENYERANGAN SQL INJECTION
(info terlarang)
default setting SQL ( dalam hal ini SQL server) yang paling berbahaya adalah penggunaan adminID = sa dan password blank. apabila ada direktori sebuah situs, dimana terdapat input data untuk adminnya maka kalau kita isi id-nya dengan ='sa' dan passwornyua =' ' maka kita akan langsung masuk sebagai admin (ini kalau default settingnya belum diubah).
namun ada lagi string yang bisa kita input untuk diakses sebagai web admin, yaitu dengan string 'OR 1=1--.
sementara itu, apabila ada input web admin yang kita input inboxnya adalah user dan password maka ketika kita memasukkan string 'OR 1=1-- di input box user dan foobar di input box password maka akan membuat sql querynya bingung sehingga SQL query membacanya sebagai
SELECT*FROM USER WHERE USER=* or 1=1-- and password='foobar'
Yang artinya SQL-nya memilih atau SELECT semua query dari user yang usernya '(kosong) atau (OR) 1=1 (TRUE) -- (tanda -- adalah mark dari SQL ( seperti halnya di C/C ++ , Marknya // atau /*))
ada dua metode umu dikenal SQL injection, yaitu
NORMAL SQL INJECTION
BLING SQL INJECTION
METODE PENYERANGAN SQL INJECTION
(info terlarang)
default setting SQL ( dalam hal ini SQL server) yang paling berbahaya adalah penggunaan adminID = sa dan password blank. apabila ada direktori sebuah situs, dimana terdapat input data untuk adminnya maka kalau kita isi id-nya dengan ='sa' dan passwornyua =' ' maka kita akan langsung masuk sebagai admin (ini kalau default settingnya belum diubah).
namun ada lagi string yang bisa kita input untuk diakses sebagai web admin, yaitu dengan string 'OR 1=1--.
sementara itu, apabila ada input web admin yang kita input inboxnya adalah user dan password maka ketika kita memasukkan string 'OR 1=1-- di input box user dan foobar di input box password maka akan membuat sql querynya bingung sehingga SQL query membacanya sebagai
SELECT*FROM USER WHERE USER=* or 1=1-- and password='foobar'
Yang artinya SQL-nya memilih atau SELECT semua query dari user yang usernya '(kosong) atau (OR) 1=1 (TRUE) -- (tanda -- adalah mark dari SQL ( seperti halnya di C/C ++ , Marknya // atau /*))
ada dua metode umu dikenal SQL injection, yaitu
NORMAL SQL INJECTION
BLING SQL INJECTION
Tidak ada komentar:
Posting Komentar
komentar yang baik dan tidak engandung unsur hina, fitnah atau apapun :)