Kamis, 20 Desember 2007

Sql Injection

SQL INJECTION
Oleh : Vbbego
Disadur dari:
Seni Internet Hacking
Teknik Hacking untuk Pemula
Hack

Mungkin kita sering menonton film anak-anak, terutama donal bebek, tapi pernahkah kita perhatikan bahwa Donal sering melakukan Sql injection. Coba perhatikan cerita ini Donal melihat sebuah pengumuan yang ditempel,”Dilarang masuk” diruangan paman Gober. Apa yang dilakukan Donal ? Donal menambahkan kata “Kecuali Donal” pada pengumuman tersebut,sehingga ia bisa masuk dan meminjam uang pada paman Gober. Dalam cerita diatas penambahan kata “kecuali Donal” adalah salah satu contoh Sql Injection.Tetapi sebelum kita membahas Sql Injection kita wajib mengetahui apa yang dimaksud dengan Sql.Sql adalah suatu bahasa yang digunakan untuk mendapatkan atau merubah data yang ada didalam relational database, Salah satu contoh statement sql sederhana yang akan mengambil record nama dari table murid adalah sebagai berikut select nama from murid. Bagaimana caranya kita bisa login tanpa mengetahui username dan password. Saya akan memberi contoh kepada anda serta tentu saja teknik manipulasinya sehingga anda bisa melewati proses login tanpa perlu mengetahui username dan password. Hal yang umum dipakai orang untuk mencocokan user yang login, maka digunakan statement sql sebagai berikut : select * from tbl_user where field_username=input_username and field_password=input_password, jadi ketika kita login terjadi pengecekan apakah user dan password saya benar atau tidak, jika memang terdapat record dengan username nama saya dan password sama dengan password saya maka otomatis sql akan mengembalikan satu record yang berarti kita bisa masuk sebaliknya jika salah kita dianggap gagal. Lalu bagaimana kalau kita merubah isian pada username dengan 'or”=' pada kolom user name dan 'or”=' pada kolom password maka yang dilakukan sql adalah sebagai berikut Operasi logika or yang dimasukan telah menyebabkan perintah sql akan selalu menghasilkan nilai True(Benar). Program telah mengijinkan kita masuk dan dianggap sebagai user yang sah. Lalu sebagai siapa kita? Kita akan menjadi user yang paling atas dari data tersebut biasanya sih administrator.Sangat mudah bukan, oleh karena itu saya hanya ingin mengingatkan bagi pembuat program tolong dibatasi input masuk user atau password kalau bisa jangan dibiarkan user memakai karakter yang special seperti % dan lain-lain. Jangan lewatkan selasa depan yah saya akan mengajarkan bagaimana kita menjadi orang lain.

Tidak ada komentar: