Teknik Login sebagai siapa saja

Teknik Login sebagai siapa saja
Oleh: Vbbego
Disadur dari : Seni Internet hacking

Kalau minggu lalu kita telah belajar bagaimana mendapatkan password, maka minggu ini kita akan membahas bagaimana kita bahkan bisa login sebagai user manapun tanpa perlu mengetahui password aslinya. Contohnya kalau kemarin kita mendapatkan password yang paling atas, ternyata password tersebut bukanlah user dengan nama administrator maka akan sia-sia bukan, oleh karena itulah kita akan belajar bagaimana mendapatkan password seperti kehendak kita.Contoh apabila dalam databases tersebut adalah seorang yang kita tahu bernama John,maka saya bisa login sebagai John tanpa perlu mengetahuinya. Cara yang digunakan cukup sederhana, pada text box memasukkan “User name” isilah dengan “John” sedangkan pada text box password boleh diisi dengan apa saja atau dengan 'or”=”.Jadi perintah tersebut akan menjadikan statement Sql sebagai berikut : Select * from tbl_user where field_username = 'John' and field_password=' ' or ' '='. Karena kondisi pembanding yang hanya dilakukan pada field username sedangkan pada field password sudah tidak dibandingkan maka anda otomatis bisa login tanpa perlu mengetahui passwordnya. Menarik bukan ? Teknik ini akan semakin berkembang tergantung dari kreasi anda. Mungkin suatu hari anda mungkin bisa membuat , mengahapus, serta merubah isi database orang. Kalau saya berhenti disini pasti banyak orang yang tidak akan mengunjungi Blog saya lagi. Saya akan memberi tahu bagaimana mencegah Sql Injection. Menurut saya pribadi hal yang paling gampang adalah waktu pembuatan program dibatasi penggunaan username dan password tidak boleh menerima special karakter seperti (*,=,-,',”) dan buatlah batasan yang lebih kejam contohnya username dan password hanya bisa menggunakan a sampai z,A sampai Z dan 0 sampai 9, Jadi selain karakter tersebut maka username dan password ditolak.Sayangnya segala yang saya tulis disini menjadi tidak berguna ketika anda mencoba mempraktekkannya dikampus bagi yang masih kuliah dan ditempat kerja bagi yang telah bekerja, Alasannya yang sering saya dengar adalah buat apa nambah-nambahin koding aza, capek tahu mikir sampai kaya gitu emang gaji kita berapa? Sayang bukan saya berharap semua pembaca dapat membantu memberitahukan hal ini kepada programernya masing-masing (Bagi yang sudah kerja), Bagi yang belom biasakanlah membuat program yang bagus.