Sedikit Mengenai Sql Injection
Kali ini saya akan memposting mengenai SQL Injection, beserta cara menggunakan nya. Nah sebelum kita membahas mengenai cara menggunakan Sql Injection kita harus tau apa itu Sql Injection?.
Dikutip dari Wikipedia , bahwa Sql Injection adalah "Sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi".
Kalau menurut saya pribadi Sql Injection itu adalah salah satu cara dalam dunia hacking yang mana proses penghackingan nya menggunakan celah-celah keamanan yang ada pada database nya, nah si celah dalam database yang akan dihack ini dimanfaatkan oleh Sql Injection kemudian difilter isi dalam databasenya , kemudian nantinya akan ter sharing database yang sudah difilter berikut dengan tabel-tabelnya didalam databasenya tentunya bersama isi-isi didalam tabelnya.
yang saya lakukan dalam memulai suntik menyuntik/Injection menggunakan Sql
1. Download dulu Sql Injectionnya , nih yang saya gunakan >>>> download
2. Cari dork nya,
apa itu dork?. Dork adalah kata kunci yang ditulis dalam search engine.Biasanya google dan yang jabarkan ini hanya untuk google. Yang bermanfaat untuk mencari kelinci percobaan dalam proses penyerangan , biasanya yang muncul ialah yang bermasalah dalam sistem keamanan servernya. contoh dork yang saya gunakan untuk penyerangan : inurl://group_concat(table_name)from information_schema--
3. Setelah step-step diatas dilakukan, jalan kan aplikasinya dan mari kita coba....
>Buka aplikasinya
>Kita kesampingkan dulu , buka Google setelah itu masukan dork pada mesin pencari google
inurl://group_concat(table_name)from information_schema--
pilih website mana yang mau kita serang :)
>Setelah Klik targetnya, masukan link target tersebut kedalam aplikasi kemudian klik Analyze
>Setelah terbaca Databasenya , lalu mulai cari dimana id password si adminnya dengan cara klik databasenya kemudian klik get tables
>Selanjutnya setelah table-table terbuka cari lalu pilih dimana ada id password milik adminnya
setelah itu klik get columns centang apa saja yang mau ditampilkan datanya lalu klik get data
>Setelah Id dan password admin didapatkan lalu mulai cari tempat dimana admin login dengan cara klik find admin
klik kanan pada yang disorot lalu open url, dan mulai lah login menggunakan id dan password adminnya
maka hasilnya akan seperti ini
Begitulah konsep Sql injection yg saya gunakan untuk aplikasinya saya menggunakan Havij
Sekian dan trimakasih kalau ada salah-salah mohon dibantu, karena saya juga masih belajar :)