Dalam sql injection error bagaikan sebuah emas . error sql injection bisa kita dapatkan dengan memanipulasi url, textbox maupun cokies.
Disini kita akan mencoba berburu error mengunakan Acunetix Web Vulnerability Scanner.
sebelum melakukan scan pastikan pilihan profile adalah sql_injection
gambar disamping adalah Acunetix Web Vulnerability Scanner sedang mencari Vulnerability di sebuah website.
gambar disamping menunjukan acunetix menemukan bug berbahaya yaitu sql injection.
gambar disamping menunjukan patch & file yang mengeluarkan error ketika dimanipulasi dengan ' (single quote).
gambar disamping adalah respon error di browser.
jadi dari hasil scan di atas kita bisa menyimpulkan : http://aircraft-japan.com/default.asp?id=[sql]
ternyata benar dengan menambahkan perintah having ,convert ataupun union kita dapat mencari kolom maupun tabel.
contoh:
http://aircraft-japan.com/default.asp?id=1%20having%201=1
2 komentar:
More n more dunK artikelna..Good Good Om Irvian...makacih..good luck!!
tambah keren aja nih mas irvian... jago banget cari bug.. klo boleh minta soft acuentixnya donk... klo boleh kirim via email link downloadnya di linuxer.scan@gmail.com
Post a Comment