ini dia alamat komunitas mahasiswa uksw.
perubahan alamat blog kesitu yang dulu kesitu.blogspot
sekarang menjadi kesitu.komunitas.uksw.edu
27 September 2012
24 Mei 2012
SQL Injection
SQL INJECTION
Sql Injection adalah
kegiatan hacking dengan menyerang website melalui browser dengan memasukkan
sintax-sintax Sql untuk memperoleh informasi tertentu dengan membaca pesan
error yang keluar.
Setiap
website memiliki admin,
user yang terdaftar melalui adminlah yang dapat masuk ke dalam
website melalui login. Disini
ada kelemahan yaitu user dapat masuk kedalam system dengan memasukkan command
SQL injection,disini kami memasukkan command pada username “ ’or’1’=‘1 ” dan passowordnya “’or’1’=‘1” ,command diatas mempunyai arti tertentu,yaitu
sebagai berikut :
Tanda single quote ‘
memiliki arti bahwa user dapat menginputkan command didalam command,atau user
dapat memanipulasi database dengan menyisipkan tanda single quote.Kemudian
untuk or’1’=’1 berarti lemparan
hasil yang akan dimasukkan adalah true,karena semua variable yang di OR kan
dengan true,dalam hal ini 1=1 akan bernilai true,sehingga data yyang akan
dilempar kedalam database adalah nilai true,dan begitu pula dengan password
yang dilempar dengan kembalian true,sehingga database akan meloloskan inputan
user tersebut.Dan User dapat masuk kedalam database sebagai admin, hal tersebut
dapat kita buktikan saat kita masuk kedalam query analyzer milik SQL server
2000,karena sintax pada SQL server 2000 dengan Mikrosoft acces hampir sama
berikut tampilnnya :
apabila dapat masuk kedalam page admin maka,
dapat leluasa memanipulasi data yang ada pada website tersebut.
SQL
Injection juga dapat dilakukan
melalui URL pada browser. Dari
url ditambahkan
tanda single quote (‘) untuk melihat
apakah ada eror yang muncul dengan penambahhan tanda single quote tersebut pada
url,dan akan muncul tampilan seperti berikut :
Dari
tampilan diatas kita dapat melihat adanya pesan eror yang muncul dikarenakan
ada karakter single quote yang dimasukkan pada url,sehingga ini akan memberi
jalan pada hacker untuk mengeksploirtasi lebih jauh.kemudian setelah muncul
eror kita lakukan step selanjutnya yaitu kita masukkan sintax seperti berikut
Kemudian kita urutkan angka order by 1 -
- ,order by 2- - ,order by 3 - - dan seterusnya sampai muncul eror
Disini
muncul eror unknown column ‘5’ in order clause,ini berarti kolom yang tersedia
pada database website tersebut berjumlah 4.
2. Selanjutnya
kita lakukan step selanjutnya yaitu ketikkan (http://192.168.2.1/website/index.php?id=1+UNION+SELECT+1,2,3,4--) dari
perintah tersebut, akan muncul sebuah angka (misalnya angka 2),
3. kemudian
dilanjutkan dengan perintah (
http://192.168.2.1/website/index.php?id=-1+UNION+SELECT+1,@@version,3,4--)
pada angka 2 tersebut kita ganti dengan
@@version untuk melihat versi database yang digunakan karena hanya versi
mysql 5 keatas yang dapat diinject.
5. Step
selanjutnya adalah Ketikan( http://192.168.2.1/website/index.php?id=-2+UNION+SELECT+1,group_concat(schema_name),3,4+from+information_schema.schemata--) untuk berbagai informasi tentang database.
6. kemudian
selanjutnya kita eksploitasi lebih dalam tentang database tersebut dengan mencari nama database
yang digunakan ketikkan (http://192.168.2.1/website/index.php?id=2+UNION+SELECT+1,concat(database()),3,4--)
dan
akan muncul tampilan seperti berikut
7. Dari
tampilan diatas muncul nama database yang digunakan yaitu kamjardb,dari informasi ini kita dapat melihat tabel yang berada
didalamnya dengan mengketikkan (http://192.168.2.1/website/index.php?id=-1+union+select+1,groupconcat(table_name),3,4+from +informationschema.tables+where+table_schema=database%28%29--).
Dengan informasi - informasi yang telah di dapat, maka
tidak lah sulit bagi hacker untuk memanipulasi dat-data yang ada di dalam
website tersebut.
TERIMA KASIH..
untuk full donwload tutorialnya gan
Klik disini
Klik disini
20 Maret 2012
Menghitung Variabel Length Subnet Mask (VLSM)
VLSM (Variabel Length Subnet Mask) adalah suatu teknik
untuk mengurangi jumlah terbuang [ruang;spasi] alamat. kita dapat
memberi suatu subnet ke seseorang, dan dia dapat lebih lanjut membagi
lebih lanjut membagi subnet ke dalam beberapa subnets. Oleh karena lebar
dari subnet akan diperkecil, maka disebut dengan Variable Subnet Length Mask (VLSM).
Perhitungan IP Address menggunakan metode VLSM adalah metode yang berbeda dengan memberikan suatu Network Address lebih dari satu subnet mask, jika menggunakan CIDR dimana
suatu Network ID hanya memiliki satu subnet mask saja, perbedaan yang
mendasar disini juga adalah terletak pada pembagian blok, pembagian blok
VLSM bebas dan hanya dilakukan oleh si pemilik Network Address yang
telah diberikan kepadanya atau dengan kata lain sebagai IP address local
dan IP Address ini tidak dikenal dalam jaringan internet, namun tetap dapat melakukan koneksi kedalam jaringan internet, hal ini terjadi dikarenakan jaringan internet hanya mengenal IP Address berkelas.
Langsung saja ke contoh kasus dalam perhitungan menggunakan metode
vlsm. Dalam contoh kasus ini misalnya kita akan membangun sebuah
jaringan internet dalam sebuah perusahaan besar. Dengan ketentuan Host
yang dibutuhkan antaran lain:
- Ruang utama 1000 host
- Ruang Kedua 500 host
- Ruang ketiga 100 host
- Ruang Server 2host
Dengan alamat jaringan 172.16.0.0/16. Sebelum kita mulai menghitung
vlsm, disini kita akan memcantumkann 8 bit angka ajaib ini:
128 . 64 . 32 . 16 . 8 . 4 . 2 . 1 . Dan membuat tabel-tabel untuk mempercepat proses perhitungan VLSM. Seperti tabel-tabel berikut:
Host ke 2^n | Jumlah Host | Subnet mask | Pre. mask /32-n |
2^0 | 1 | 255.255.255.255 | /32 |
2^1 | 2 | 255.255.355.254 | /31 |
2^2 | 4 | 255.255.255.252 | /30 |
2^3 | 8 | 255.255.255.248 | /29 |
2^4 | 16 | 255.255.255.240 | /28 |
2^5 | 32 | 255.255.255.224 | /27 |
2^6 | 64 | 255.255.255.192 | /26 |
2^7 | 128 | 255.255.255.128 | /25 |
2^8 | 256 | 255.255.255.0 | /24 |
2^9 | 512 | 255.255.254.0 | /23 |
2^10 | 1024 | 255.255.252.0 | /22 |
2^11 | 2048 | 255.255.248.0 | /21 |
2^12 | 4096 | 255.255.240.0 | /20 |
2^13 | 8192 | 255.255.224.0 | /19 |
2^14 | 16386 | 255.255.192.0 | /18 |
2^15 | 32768 | 255.255.128.0 | /17 |
2^16 | 65536 | 255.255..0 | /16 |
2^17 | 131072 | 255.254.0.0 | /15 |
2^18 | 262144 | 255.2520.0 | /14 |
2^19 | 524288 | 255.248.0.0 | /13 |
2^20 | 1048576 | 255.240.0.0 | /12 |
2^21 | 2097152 | 255.224.0.0 | /11 |
2^22 | 4194304 | 255.192.0.0 | /10 |
2^23 | 8388608 | 255.128.0.0 | /9 |
2^24 | 16777216 | 255.0.0.0 | /8 |
contohya seperti kasus berikut:
Dengan IP 172.16.0.0/16
-
Ruang Utama 1000 host Disini dibutuhkan 1000 host yang akan terhubung dengan internet ,untuk mendapat 1000 host atau lebih perhatikan tabel diatas. Karena yang dibutuhkan1000 maka cari hasil pemangkatan 1000 or >= 1000 host. dari tabel diatas yang sesuai dengan kebutuhan host yang dibutuhkan gunakan 2^10 = 1024 dan subnet mask 255.255.252.0.Untuk mencari nilai ip range seperti dibawah ini :255.255.255.255255.255.252. 0 _0. 0. 3.255Dan untuk mengetahui IP broadcastnya yakni hasil dari pengurangan diatas ditambah dengan ip network
172. 16. 0. 0
0. 0. 3.255 +
172. 16. 3.255
Network : 172.16.0.0/22IP Pertama : 172.16.0.1IP Terakhir : 172.16.3.254IP Broadcast : 172.16.3.255Subnet Mask : 255.255.252.0 - . Ruang Kedua 500 host
Untuk Ruangan Kedua host yang dibutuhkan or komputer yang bisa terhubung dengan internet sebayak 500 komputer. Untuk mendapatkan 500 host atau lebih maka kita cari pemangkatan yang menghasilkan Host 500 atau lebih. dari tabel diatas yang menghasilkan 500 host >=500 host yang sesuai dengan kebutuhan host yang digunakan 2^9= 512 dan subnet mask 255.255.254.0.Untuk mencari nilai ip range seperti dibawah ini :255.255.255.255255.255.254. 0 _0. 0. 1.255Dan untuk mengetahui IP broadcastnya yakni hasil dari pengurangan diatas ditambah dengan ip network
172. 16. 4. 0
0. 0. 1.255 +
172. 16. 5.255Network : 172. 16. 4. 0/23IP Pertama : 172.16. 4.1IP Terakhir : 172.16. 5.254IP Broadcast : 172.16.5. 255Subnet Mask : 255.255.254.0 - Ruang Server 100 Host
Nah sekarang untuk Ruang ke 3 yang membutuhkan 100 host, maka konsep perhitungan kita gunakan konsep kelas C atau bermain pada Oktet ke 4. Untuk mendapatkan 100 host atau lebih maka kita cari pemangkatan yang menghasilkan Host 100 atau lebih. dari tabel diatas yang menghasilkan 100 host >=100 host yang sesuai dengan kebutuhan host yang digunakan 2^7= 128 dan subnet mask 255.255.255.127
Untuk mencari nilai ip range seperti dibawah ini :255.255.255.255255.255.255.128 _0. 0. 0.127Dan untuk mengetahui IP broadcastnya yakni hasil dari pengurangan diatas ditambah dengan ip network
172. 16. 6. 0
0. 0. 0.127 +
172. 16. 6.127
Network : 172.16. 6 . 0/25
IP Pertama : 172.16. 6 . 1
IP Terakhir : 172.16. 6 . 126
IP Broadcast : 172.16 .6 .127
Subnet Mask : 255.255.255.128
4. Ruang Server 2 Host
Network : 172.16. 6. 128/30
IP Pertama : 172.16. 6. 129
IP Terakhir : 172.16.6. 130
IP Broadcast : 172.16.6.131
Subnet Mask : 255.255.255.252
Langganan:
Postingan (Atom)