SQL Injection adalah sebuah teknik untuk mengeksporasi aplikasi web dengan
memanfaatkan suplai data dari client dalam sintak SQL. Banyak halaman web
memakai parameter dari web user untuk menggunakan query ke dalam database.
Kita ambil sebagai contoh ketika user akan login, halaman user akan mengirim user
dan login sebagai parameter untuk digunakan sebagai SQL dan mencek apakah user
dan password cocok. Dengan SQL Injection ini sangat mungkin untuk kita mengirim
user nama dan password dan dianggap benar.
Apa yang diperlukan
Untuk keperluan SQL Injection kita hanya membutuhkan browser. Browser yang
dipakai adalah segala macam browser.
Apa yang perlu di cari ?
Kita dapat memanfaatkan halaman-halaman web yang terdapat submit data, contoh:
halaman login, pencarian, feedback, dan lain-lain. Kadang halaman HTML
menggunakan metode POST untuk mengirim parameter ke halaman web yang lain.
Jika model halamnnya seperti ini maka kita harus melihat source code karena kita
tidak dapat melihat pada URL. Mudah untuk mencek source code halaman HTML,
tinggal klik kanan pilih view source (pada Internet Exlorer), kemudian cari kode
“FORM”. Berikut contoh halaman tersebut:
Semua yang terletak diantara mempunyai potensial untuk
digunakan mengekplorasi halaman web tersebut. Karena itu dapat menjadi sebuah
parameter. Halaman diatas berarti akan mengrimkan parameter bernama “login”
dengan nilai (value)=”andi”.
referensi :
http://p3m.amikom.ac.id/p3m/dasi/sept04/01%20-%20STMIK%20AMIKOM%20Yogyakarta%20Makalah%20ANDI%20_metode%20penyerangan_%2010.pdf
Tidak ada komentar:
Posting Komentar