[close]
..::Personal Site::..
Bruteforce dengan shell
sebetulnya teknik ini sama dengan postingan itu sama2 jumping buat ngebrote user dan password cpanel, ftp, ataupun whm oke langsung aja yah : (more…)
Tutorial Dos Attack untuk menjurus ke DDOS
kali ini ane mau buat tutor dos yah tau kan dos kalo belom tau bisa berkunjung ke http://id.wikipedia.org/wiki/Serangan_DoS oke langsung aja yah :D : (more…)
Tutorial buat para jumper
inget pilem jumper yg suka lompat kalo ini teknik sama suka lompat ke user lain satu server oke mulai aja yah tutornya :D (more…)
Ngedit Script b374k
nih scriptnya copas ke notepad terus save dengan file tipe php :D (*yg udah tau pasti ) http://xjamesx.tk/404.txt ngedit b374k biar 4 in 1, ga perlu banyak3 upload cukup 1 file sudah mematikan, fitur yg ditambahkan = bruteforce, readable, DOS, dan pengunaan password untuk mengakses shell tersebut :D (more…)
Steganografi Audio
—Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau menyembunyikan pesan dengan suatu cara sehingga selain si pengirim dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa ada suatu pesan rahasia. —Teknik steganografi meliputi banyak sekali metode komunikasi untuk menyembunyikan pesan rahasia (teks, audio atau gambar) di dalam berkas-berkas lain yang meng...
POC buat ngedeface++
Wah dah lama ga ngeblog kali ini gw mau share beberapa teknik2(POC) buat ngedeface . kalo yang sudah pada tau teknik2 ini jangan pada ngina yah maklum nubie mau coba bikin artikel :p yang sudah baca yah jangan lupa komen2nya yah itung2 belajar bareng :) ok mulai aja deh ke tutor (more…)
Mencegah serangan Syn & Ping Flood Attack (DOS)
1. Mencegah paket Syn Flood Attack (more…)
SQL Injection Flaw Patching
dan diambil dari http://www.indonesianhacker.org/showthread.php?t=529 yang diposting oleh v4mp Jangan cuma bisa attack. Tapi juga harus bisa defend.  Langsung aja.. Ini patch untuk mencegah serangan SQL Injection di halaman dinamis pada PHP + MySQL. (more…)
Web Security Yin-Yang (Attacking & Defending)
WEB SECURITY YIN-YANG Ditulis oleh: gentoo, foobar4joo@gmail.com "If you know both yourself and your enemy, you can win a hundred battles without a single loss." Di berbagai segi kehidupan, sangatlah di butuhkan keseimbangan. Bahkan yang sangat terkenal adalah sebuah ungkapan dari Sun Tzu yang saya tuliskan diatas, mengenali kelemahan musuh adalah penting, tetapi lebih penting lagi mengenali ...
Manifesto Seorang Hacker
Ini adalah dunia kami sekarang, dunianya electron dan switch, keindahan sebuah baut. Kami mendayagunakan sebuah system yang telah ada tanpa membayar, yang bisa jadi biaya tersebut sangatlah murah jika tidak dijalankan dengan nafsu tamak mencari keuntungan, dan kalian sebut kami criminal. (more…)

SQL Injection Flaw Patching

dan diambil dari http://www.indonesianhacker.org/showthread.php?t=529 yang diposting oleh v4mp

Jangan cuma bisa attack. Tapi juga harus bisa defend. 

Langsung aja..

Ini patch untuk mencegah serangan SQL Injection di halaman dinamis pada PHP + MySQL.

Biasanya halaman dinamis ini
bentuknya kayak gini http://uhui.com/vuln.php?id=[Input_Angka]

Bentuk umum kode di halaman dinamis php untuk membaca database melalui MySQL :

PHP Code:
$id = htmlentities($_GET['id']);
$variabel = mysql_query("select *from tabeltarget where idtarget='$id'")

Injection Flaw terjadi karena inputnya gak kefilter dengan baik. Sehingga input ‘$id’ yang seharusnya diisi dengan (biasanya) angka bisa diisi dengan query SQL.. Yang mengakibatkan query SQL tersebut dieksekusi sehingga injector bisa melakukan berbagai hal misalnya membaca isi database, membaca suatu file di situs tersebut, dll.

Nah, untuk mencegah hal tersebut sebaiknya kita memfilter inputnya sebelum diproses dengan SQL.

Contoh kode filternya :

PHP Code:
error_reporting(0);
class filter{
function filtering($id){
$idfilter = mysql_real_escape_string($id);
if (!ctype_digit($idfilter))
{
echo "Can't process your request, dude :P ";
exit;
}
else if ($idfilter <= 0)
{
echo "Can't process your request, dude :P  ";
exit;
}
else
{
return $id;
}
}
}
$Filter2 = new filter();
$id = htmlentities($_GET['id']);
$secured = $Filter2->filtering($id);
$variabel = mysql_query("select *from tabeltarget where idtarget='$secured'")

Penjelasan :

Pertama-tama menggunakan error_reporting(0); . Kode tersebut digunakan untuk mendisable error reporting sehingga jika terjadi error tidak keluar pesan error.

Selanjutnya variabel $id disaring dulu menggunakan mysql_real_escape_string yang berfungsi untuk menambahkan slash (\) apabila ada tanda kutip pada input $id.

Setelah disaring dengan mysql_real_escape_string, disaring lagi dengan melakukan pengecekan apakah inputnya berupa angka atau bukan dengan menggunakan kode !ctype_digit . Jika ternyata bukan angka maka akan ditolak. Selain pengecekan input apakah angka atau bukan, dilakukan juga pengecekan apakah inputnya sama atau lebih kecil dari 0 (minus) jika iya maka akan ditolak.

Abis itu baru deh aplikasikan ke syntax SQL-nya.

Untuk lebih jelasnya silahkan baca ulang kode sebelum difilter dan setelah difilter berkali-kali sampai paham. 

3 Responses

You can follow any responses to this entry through the RSS 2.0 feed.

You can leave a response, or trackback from your own site.

  1. andromeda says:

    pertamax,,
    nice inpoh gan,,
    andaikan saya bisa membaca query Sql diatas seperti membaca C++
    ~_~
    keep posting gan,,
    nice web

  2. zet says:

    scriptnya tu di pasang pd bagian mna gan? penjelasany?! thnx

    • admin says:

      di tempat yg memiliki vulnerability sql injection . nah di situkan di kasih script tentang query yg belom di filter. nah query ntuh di patch jadi ke filter :)

Leave a Reply

[+] kaskus emoticons nartzco

..::james0baster::..

..::james0baster::.. (15)
Berita dan Pengumuman (11)
Hacking (11)
Hacking (8)
ICT (4)
Internet (6)
Jaringan Komputer (7)
Java (1)
Keamanan (5)
Keamanan & Perbaikan WEB (9)
Komputer (8)
Local (3)
Pemerograman (8)
PHP (6)
Tips and Trick (6)

WP Cumulus Flash tag cloud by Roy Tanck and Luke Morton requires Flash Player 9 or better.



James Baster Tamba | Buat Lencana Anda


Update status via Facebook for BlackBerry® smartphones

Update status via james0baster




Foto

Put To Your Site



..::james0baster::..


Find me at

CODER - Indonesian IT Community



james0baster on Facebook Jasakom Community - Powered by vBulletin



james0baster on Twitter Logo



Logo

Iklan



Lokasi Pengunjung

free counters

ID Pengunjung

IP

Sponsor

Web Hosting

Logo Pandi

Iklan

Copyright - All Rights Reserved / Developed By james0baster
Get Adobe Flash player