Tutorial SQL Injection

Assalamu'alaykum wrb. Kali ini saya akan memberikan Tutorial Tentang Hacking dengan POC SQL/SQL Injection.

Pada Akhir - Akhir ini kita dikejutkan salah satu Website Pemerintahan dideface oleh Seorang Hacker Muda, dan Hacker tersebut diberi Beasiswa dan Penghargaan dari pemerintahan, disebabkan dia pantesting Website Pemerintahan yang dia Deface (Merubah tampilan depan-nya) kebanyakan Website Indonesia sangat banyak vuln/bugs dengan SQLInjection sesuai dengan Judul diatas itu tersebut.

Oke kali ini ane akan menjelaskan apa itu SQL ?

 SQL (Structured Query Language) adalah sebuah bahasa yang digunakan untuk mengaksesdata dalam basis data relasional. Bahasa ini secara de facto merupakan bahasa standar yang digunakan dalam manajemen basis data relasional. Saat ini hampir semua server basis data yang ada mendukung bahasa ini untuk melakukan manajemen datanya.

Terdapat 3 (tiga) jenis perintah SQL, yaitu DDL, DML dan DCL. 

1. DDL atau Data Definition Language 

DDL merupakan perintah SQL yang berhubungan dengan pendefinisian suatu struktur database, dalam hal ini database dan table. Perintah SQL yang termasuk dalam DDL antara lain : 

• CREATE
• ALTER
• RENAME
• DROP

2. DML atau Data Manipulation Language 

DML merupakan perintah SQL yang berhubungan dengan manipulasi atau pengolahan data atau record dalam table. Perintah SQL yang termasuk dalam DML antara lain : 

• SELECT
• INSERT
• UPDATE
• DELETE

3. DCL atau Data Control Language 

DCL merupakan perintah SQL yang berhubungan dengan pengaturan hak akses user, baik terhadap server, database, table maupun field. Perintah SQL yang termasuk dalam DCL antara lain : 

• GRANT
• REVOKE

Itulah Penjelasan Sedikit dari SQL dan Saya akan jelaskan SQLInjection

1. SQL injection adalah jenis aksi hacking pada keamanan komputer di mana seorang penyerang bisa mendapatkan akses ke basis data di dalam sistem. SQL injection yaitu serangan yang mirip dengan serangan XSS dalam bahwa penyerang memanfaatkan aplikasi vektor dan juga dengan Common dalam serangan XSS.

2.SQL injection adalah serangan yang memanfaatkan kelalaian dari website yang mengijinkan user untuk menginputkan data tertentu tanpa melakukan filter terhadap malicious character. Inputan tersebut biasanya di masukan pada box search atau bagian-bagian tertentu dari website yang berinteraksi dengan database SQL dari situs tersebut. Perintah yang dimasukan para attacker biasanya adalah sebuah data yang mengandung link tertentu yang mengarahkan para korban ke website khusus yang digunakan para attacker untuk mengambil data pribadi korban.
Untuk menghindari link berbahaya dari website yang telah terinfeksi 
serangan SQL injection, Anda dapat menggunakan aplikasi tambahan seperti NoScript yang merupakan Add-ons untuk aplikasi web browser Firefox. Meskipun tidak terlalu sempurna, setidaknya Anda dapat mengurangi kemungkinan Anda menjadi korban.

inilah Software-Software untuk mendapatkan Bugs/Vuln pada Website Tersebut (Silahkan di Download).
Selanjutnya tanyakan pada Google ^_^

http://sqlsus.sourceforge.net/download.html
http://sourceforge.net/projects/safe3si/
http://sqlninja.sourceforge.net/download.html
http://www.metasploit.com/
http://www.rapid7.com/products/metasploit/download.jsp
https://code.google.com/p/enema/downloads/list
https://labs.portcullis.co.uk/tools/bsql-hacker/

-----------------------------------------

Shoffa Ashhabul Kirom (413M)

-----------------------------------------