Page cover

Perkenalan SQL-Injection

Author: Anonputraid

Apa Itu SQL-Injection: Sebuah Teknik Yang Menyalahgunakan Sebuah Celah Keamanan Yang Terjadi Dalam Lapisan Basis Data Sebuah Aplikasi.

Ada Beberapa Jenis Kerentanan SQL-Injection:

  • Retrieving hidden data: Mengubah Kueri Sql Untuk Mengembalikan Hasil Tambahan.

  • Subverting application logic: Mengubah Query Untuk Mengganggu Logika Aplikasi.

  • Union Attack: Anda dapat mengambil data dari tabel database yang berbeda.

  • Examining The Database: Mengekstrak Informasi Tentang Versi Dan Struktur Database.

  • Blind SQL Injection: Hasil Kueri Yang Anda Kontrol Tidak Dikembalikan Dalam Respons Aplikasi.

How To Detect SQL-Injection Tips By Anonputraid :

SQL Injection Dapat Dideteksi Secara Manual Dengan Menggunakan Serangkaian Tes Sistematis Terhadap Setiap Titik Masuk Dalam Aplikasi. Ini Biasanya Melibatkan:

Simple Stage

  • Mengirim Karakter Kutip Tunggal ` Dan Melihat Apakah Ada Perbedaan Respon Ketika Server Dikirim Menggunakan Tanda Kutip Tunggal.

  • Mengirim Sintax Khusus Pada Setiap Versi Database, Atau Anda Bisa Mencari Tau Terlebih Dahulu Apa Versi Database Tersebut, Menggunakan Alat Pemeriksa Network.

Cheat Sheet:

http://domain.com/index.php?id=1' -> Error
http://domain.com/index.php?id=1\' -> Error
http://domain.com/index.php?id=1 and 0' order by 1--+  -> Loads
http://domain.com/index.php?id=2-1 -> Loads
http://domain.com/index.php?id=-1' -> Error
http://domain.com/index.php?id=-1)' -> Error
http://domain.com/index.php?id=1'-- - -> Loads
http://domain.com/index.php?id=1'-- -> Loads
http://domain.com/index.php?id=1+--+ -> Loads
Boolean Technique

  • Menggunakan Teknik Condisional Boolean Seperti OR 1=1 DAN OR 1=2 Atau AND 1=1 & 1=2 Dan Lihat Apakah Ada Perbedaan Respon Setelah Dan Sebelum Menggunakan Teknik ini.

Time Delays Technique

Mengirim Query Untuk Memicu Penundaan Waktu Saat Dijalankan Dalam Query SQL. Dan Melihat Respon Apakah Ada Perbedaan Waktu Ketika Query Dimasukan.

Out Of Band (OAST)

  • Dapat Dideteksi Secara Manual Dengan Menggunakan Serangkaian Tes Sistematis Terhadap Setiap Titik Masuk Dalam Aplikasi. Ini Biasanya Melibatkan:

Last updated

Was this helpful?