Kami tertarik dengan status yang dipostkan oleh Cyber Security Malasyia pada facebook mereka berkenaan bahayanya kelemahan yang terdedah pada suntikan SQL (sqli | sql injection)
Apa itu SQL Injection?
Sql injection atau Suntikan SQL adalah salah satu teknik yang digunakan untuk menggodam sesebuah laman sesawang dengan menyalah gunakan kelemahan dalam lapisan data sesebuah aplikasi atau terjadi ketika penyerang (attacker) boleh memasukan beberapa SQL statement ke ‘query’ dengan cara manipulasi data input ke applikasi.
Bagaimana ia berlaku?
contoh Sasaran.
http://www.tetikus.net/berita.php?id=100
2.menambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat jika terdapat pesan ERROR
http://www.target.net/berita.php?id=100'
atau
http://www.tetikus.net/berita.php?id=-100
3. jika terdapat pesan error…
“You have an error in your SQL syntax.You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near ”’
at line 1″ Dan banyak lagi.
4. Seterusnya penyerang akan mencari dan mengira jumlah table yang ada dalam pengkalan data
Disini mereka menggunakan perintah order by
Contoh :
http://www.tetikus.net/berita.php?id=100+order+by+1/*
“/*” ? Itu adalah karakter penutup perintah SQL atau juga biasa diguna “–”Serangan secara rawak.
kebanyakan serangan adalah dilakukan secara rambang melalui enjin carian google dengan memasukan dork dork tertentu, contoh google dork yang digunakan penyerang,
trainers.php?id=
article.php?ID=
play_old.php?id=
declaration_more.php?decl_id=
Pageid=
games.php?id=
newsDetail.php?id=
staff_id=
historialeer.php?num=
product-item.php?id=
news_view.php?id=
humor.php?id=
communique_detail.php?id=
sem.php3?id=
opinions.php?id=
spr.php?id=
pages.php?id=
chappies.php?id=
prod_detail.php?id=
viewphoto.php?id=
view.php?id=
website.php?id=
hosting_info.php?id=
gery.php?id=
detail.php?ID=
publications.php?id=
Productinfo.php?id=
releases.php?id=
ray.php?id=
produit.php?id=
pop.php?id=
shopping.php?id=
productdetail.php?id=
post.php?id=
section.php?id=
theme.php?id=
page.php?id=
shredder-categories.php?id=
product_ranges_view.php?ID=
shop_category.php?id=
channel_id=
newsid=
news_display.php?getid=
ages.php?id=
clanek.php4?id=
review.php?id=
iniziativa.php?in=
curriculum.php?id=
labels.php?id=
look.php?ID=
galeri_info.php?l=
tekst.php?idt=
newscat.php?id=
newsticker_info.php?idn=
rubrika.php?idr=
offer.php?idf=
article.php?ID=
play_old.php?id=
declaration_more.php?decl_id=
Pageid=
games.php?id=
newsDetail.php?id=
staff_id=
historialeer.php?num=
product-item.php?id=
news_view.php?id=
humor.php?id=
communique_detail.php?id=
sem.php3?id=
opinions.php?id=
spr.php?id=
pages.php?id=
chappies.php?id=
prod_detail.php?id=
viewphoto.php?id=
view.php?id=
website.php?id=
hosting_info.php?id=
gery.php?id=
detail.php?ID=
publications.php?id=
Productinfo.php?id=
releases.php?id=
ray.php?id=
produit.php?id=
pop.php?id=
shopping.php?id=
productdetail.php?id=
post.php?id=
section.php?id=
theme.php?id=
page.php?id=
shredder-categories.php?id=
product_ranges_view.php?ID=
shop_category.php?id=
channel_id=
newsid=
news_display.php?getid=
ages.php?id=
clanek.php4?id=
review.php?id=
iniziativa.php?in=
curriculum.php?id=
labels.php?id=
look.php?ID=
galeri_info.php?l=
tekst.php?idt=
newscat.php?id=
newsticker_info.php?idn=
rubrika.php?idr=
offer.php?idf=
Video:
Apa yang penyerang dapat lakukan?
1. Deface / mengubah paparan muka laman web anda2. mencuri maklumat privasi
3. Mengubah butiran seperti akaun, jadual, dan sebagainya
4. Mungkin juga merosakan keseluruhan pengkalan data.
jadi bagaimana anda boleh fix atau menetapkan sistem pada kelemahan suntikan sqli ini? baca artikel yang telah diterbitkan oleh Malaysia Computer Emergency Response Team (mycert) DISINI
Posting Komentar