Modifikasi Perintah SQL
Injection
Pada bab sebelumnya , Anda sudah mengetahui apa saja yang akan dilakukan untuk melakukan
aksi SQL Injection.Namun, terkadang dalam aksinya perintah tersebut tidak
semuanya bisa berhasil. Sebagai contoh, kita ambil perintah UNION, tidak
bekerjanya perintah tersebut bisa saja karena tidak di perbolehkan oleh system
atau karena alas an lainya yang dibuat oleh system. Oleh karena itu, disini
dituntut yang namanya kreativitas ‘ hacking is creativity’. Salah satu cara mengatasinya adalah dengan menambahkan beberapa perintah, seperti chr ,
atau hex, atau tanda /**/ pada URL injeksi kita.
Kita ambil contoh:
Supaya
penjelasan nya nanti lebih mudah dipahami, URL diatas akan saya perpendek dan
ganti terlebih dahulu , misalnya situs target nya adalah:
http://www.situs
web.com/index.php?id=-77 UNION SELECT 1,2,3,4,5—
pertama-tama
kita akan memodifikasi tampilan nya menggunakan /**/. Maka bentuk URL nya
menjadi Atau
http://www.situsweb.com/index.php?id=-77
/**/UNION/**/1,/**/2,/**/3,/**/4/**/5/**/--
Menggunakan Hexadesimal
http://www.situsweb.com/index.php?id=-77 UNION SELECT unhex(hex(1)),unhex(hex(2) ),unhex(hex(3)),unhex(hex(4)),
,unhex(hex(5))—
Bentuk
modifikasi lainnya adalah menggunakan tanda tambahan sebagai pengganti karakter
spasi .
http://www.situs
web.com/index.php?id=-77
/**/UNION/**/SELECT/**/1,2,3,4,5—
Intinya adalah
bagaimana kita menggunakan perintah tersebut untuk menghasilkan nilai true
dalam eksekusinya.
Perlu Anda
ketahui pula, apabila sebuah kasus mengharuskan Anda untuk menggunakan perintah
unhex maka seluruh tekhnik injeksi
atau semua kegiatan SQL Injection akan menggunakan metode yang sama pula. Oleh
karena itulah, jika dalam beberapa latihan atau aksi SQL Injection, Anda akan
menemukan sedikit perbedaan pemakaian perintah dalam SQL Injection.
Walaupun
terdapat perintah SQL yang berbeda untuk melakukan aksinya, seperti penggunaan
perintah unhex dan hex, concat
Dengan cara
yang sama, juga bisa kita gunakan untuk mengatasi halaman eror berupa Forbidden Page 403 atau seperti gambar
dibawah ini.
i This
program cannot read this webpage format
What can you
try:
Go back to the
previous page
More information
Hati-Hati Perbedaan Karakter
Dari
kebanyakan kasus yang saya temukan adalah terkadang kode atau syntax yang
digunakan tidak menunjukkan hasil. Sebab, kalau Anda lupa menulis satu buah
tanda titik saja, tidak akan memberikan hasil apapun. Dan yang paling sering
terjadi adalah kesalahan dalam memasukkan tanda petik tunggal dan apostrof.
Selain itu ada
pula kasus yang mengetikkan syntax terlebih dahulu pada Microsoft Word,
sehingga tanda yang digunakan seharus nya double minus (--) berubah menjadi
satu buah tanda minus yang panjang dan Nampak seperti doublr minus(--)
Contoh
sederhana, setiap baris pada contoh dibawah ini akan memberikan hasil yang
berbeda, termasuk pula error ayng terjadi . Karena nya bentuknya hamper sama,
perhatikan perbedaan bentuk tanda kutip dibawah ini, yang memberikan hasil
adalah yang saya tebalkan. Sedangkan syntax lainnya akan memberikan hasil eror.
BY = Efvy Zam
Penerbit PT ELEX MEDIA KOMPUTINDO
KARYA = KOMPAS
GRAMEDIA
JUDUL BUKU =
SQL INJECTION
PENULIS = SITI ROHMAH
This is dummy text. It is not meant to be read. Accordingly, it is difficult to figure out when to end it. But then, this is dummy text. It is not meant to be read. Period.
ConversionConversion EmoticonEmoticon