Assalamualaikum,Yo gan kembali lagi dengan gw #F.4hmad yang Gans ini :v

Kali ini gw mau share tutorial patch bug SQLI & Penyebab Terjadinya Bug Tersebut

langsung aja

penyebab terjadinya bug sqli:

SQL Injection umumnya terjadi karena programmer (pengembang aplikasi) tidak mengimplementasikan filter terhadap metakarakter seperti (&, ;, `, ‘, \, “, |, *, ?, ~, <, >, ^, (, ), [, ], {, }, $, \n, dan \r) yang digunakan dalam sintaks sql pada form input aplikasi, sehingga penyerang(heker) dapat menginputkan metakarakter tersebut menjadi instruksi pada aplikasi untuk mengakses database. Selain itu serangan SQL Injection juga dapat terjadi, jika personil back end tidak mengimplementasikan atau tidak mensetting Web Application Firewall (WAF) atau Intrusion Prevention System (IPS) pada arsitektur jaringan dengan baik, sehingga database aplikasi dapat diakses langsung dari celah kerawanan yang ditemukan.

dan disini gw mau kasih tau tutorial patch bug tersebut
sebenernya ada banyak sih :v
gw mau share 2 tutorial aja

tutorial pertama:

buka text editor, notepad++, dll atau apalah,lalu copy script dibawah ini.

<?php
if (ereg("%20union%20", $_GET['id'])||ereg("union",$_GET['id']) ||ereg("\*union\*",$_GET['id']) || ereg("\+union\+",$_GET[id]) || ereg("\*",$_GET['id'])){ob_start();header("location:http:/xnxx.com");
 //bisa kalian ganti dengan url website lain/halaman yang kalian inginkan//
ob_flush();
}
?>

(Aowkkwkw mampus keredirect ke web b*kep :V)

Kemudian paste script diatas kedalam notepad, dll, lalu simpan dengan nama contoh disini gw namain patch.php atau terserah kalian.
Selanjutnya, upload file patch.php tadi kedalam Directory Website melalui file manager pada Cpanel kalian.
Langkah selanjutnya adalah buka url yang ada error sqlinya. Contoh:
http://4dsec.my.id/gallery?id=9
Berarti yang error diatas file gallery.php jadi yang diedit file gallery.php
Kemudian masukan code berikut ini kebarisan code file gallery.php dan letakan dibawah.
include ‘patch.php’;
Terus kalian save dan liat hasilnya

Tutorial Ke Dua:

tutorial ini cukup mudah, langsung aja

contoh script yang vuln terhadap sqli

<php // (nama host, username mysql, password, nama table)
$conn = mysqli_connect("localhost","root","","sqli"); 
if ($conn->connect_errno) { 
echo die("Failed to connect to MySQL: " . $conn->connect_error);
}
$id = $_GET['id']; 
$stmt = mysqli_query($conn, "SELECT * FROM user where id ='$id' "); while($row = mysqli_fetch_array($stmt)){
?>

nah cara patchnya Gimana? dengan menambahkan script dibawah ini:

if($id = 0){
echo "bro, lu heker?";
exit;
}if(!is_numeric($id)) {
 echo "mau ngapain si goblok,dah tau dipatch masih ngeyel aja!.";
 exit;
}

note: jika nilai $id bukan merupakan angka (numeric) maka akan tampil “mau ngapain si goblok,dah tau dipatch masih ngeyel aja!”

maka kalo di satuin dengan script diatas akan menjadi seperti ini:

<?php // (nama host, username mysql, password, nama table)
$conn = mysqli_connect("localhost","root","","sqli"); 
if ($conn->connect_errno) { 
echodie("Failed to connect to MySQL: " . $conn->connect_error);
}$id = $_GET['id']; 
if($id = 0){
echo "bro lu heker?";
exit;
}if(!is_numeric($id)) {
echo "mau ngapain si goblok,udah tau dipatch masih ngeyel aja!"; exit;
}
$stmt = mysqli_query($conn, "SELECT * FROM user where id ='$id' ");
while($row = mysqli_fetch_array($stmt)){
?>

Semoga  bermanfaat ,sekian dari,gw assalamualaikum

Last modified: October 16, 2020

Author

Comments

Write a Reply or Comment

Your email address will not be published.