Thursday, November 15, 2012

- SQL INJECTION -

Hayy Hayy Hayy ..
Balik lagi mengisi entrian blog saya ini karna saya mendapat tugas ketiga pada mata kuliah Network Security saya untuk mengimplementasikan tentang SQL Injection kepada website website yang kurang terjaga keamanannya. Sebenarnya saya sendiri pun masih sangat tidak memahami apa itu SQL Injection. Katanya sih baru minggu depan bakalan praktek praktek gitu. Hhehehe .. Sebelum kita melihat cara cara pengimplementasian mengenai SQL Injection saya akan membahas sekilas mengenai pengertian SQL Injection. Cekidotttt guyssss ~

SQL Injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client. SQL Injection merupakan teknik mengeksploitasi web aplikasi yang di dalamnya menggunakan database untuk penyimpanan data. Dari pengertian diatas saya dapat menyimpulkan bahwa SQL Injection adalah cara untuk meng-hack suatu website agar dapat masuk atau login ke dalam sistem dan mengetahui database yang ada di dalam sistem tersebut. Kita bisa menghapus, merubah maupun menambahkan data-data ke dalam database sesuai dengan keinginan kita.  Kalau masih salah harap maklum yaa , saya kan masih belajarrr .. hhehehe .. #ngelesss :) menggunakan cara SQL Injection ini kita mendeteksi keamanan website dalam batasan yang positif.

Hal - hal yang diperlukan pada saat melakukan SQL Injection antara lain :
1. Mozilla Firefox atau web browser lainnya.
2. PC yang terhubung dengan internet
3. Program atau software seperti havij, softice, dll.

Mari kita mulai langkah-langkah untuk melakukan SQL Injection .. Cemonnn Guyssss ~
1. Kita harus menginstall terlebih software yang akan kita gunakan yaitu Havij 1.15. Havij ini merupakan software sebagai pendeteksi keamanan jaringan. Link untuk men-download softwarenya >> silahkan download :) . Setelah itu kita harus mencari dorknya, dork adalah kata kunci yang ditulis dalam search engine. Tujuannya untuk mencari link sebagai pencarian dalam proses penyerangan.

2. Selanjutnya buka aplikasi Havij, seperti pada tampilan di bawah ini :


3. Kita menggunakan dork : inurl://group_concat(table_name)from information_schema-- Lalu buka google.com setelah itu masukkan dork diatas pada search enginenya.

4. Selanjutnya, pilih website yang akan kita uji keamanan jaringannya. Copy link-nya dan masukkan ke dalam aplikasi Havij lalu klik Analyze seperti pada tampilan di bawah ini :


5. Setelah database dapat terbaca, klik database-nya kemudian klik pada get tables. Sehingga muncul gambar seperti di bawah ini :


6. Selanjutnya kita cari tabel login, klik get coloumns, seperti pada tampilan di bawah ini :


7. Lalu atribut dalam tabel login akan ditampilkan, beri tanda ceklis pada atribut (username, passname, name, email, hak, online) lalu get data. Tujuannya adalah untuk bisa membaca username dan password serta hak akses pengguna, seperti pada tampilan di bawah ini :


8. Setelah itu, username dan password pengguna akan didapatkan. Lalu mulai mencari tempat dimana admin login dengan cara meng-klik find admin, seperti pada tampilan di bawah ini :


9. Selanjutnya, klik kanan pada link yang telah dipilih lalu open url dan memulai login menggunakan id dan password adminnya. Maka hasilnya adalah sebagai berikut :


Begitulah sekilas mengenai penggunaan SQL Injection menggunakan Havij 1.15 meskipun masih banyak sekali kekurangannya.
Mohon dimaafkan apabila ada kesalahan yang disengaja maupun yang tidak disengaja karena saya masih dalam tahap pembelajaran..
Sekian dan semoga bermanfaat bagi kita semua .. Aminnnn ~
Terima Kasihh :)

Referensi :