SQL Injection Sederhana untuk bypass Otentifikasi

Dear all,

Di bawah contoh bagaimana sqlI dapat membypass otentifikasi web yg mempunyai celah keamanan SQL injection

Web target yg digunakan adalah mutillidae : http://sourceforge.net/projects/mutillidae/

Masuk ke halaman login mutillidae http://127.0.0.1:8081/mutillidae/index.php?page=login.php

Inputkan tanda petik ‘ pada name

 

 

 

 

 

 

 

keluar error dan mutillidae akan menunjukkan syntax querynya

 

 

 

 

Kemudian inputkan kode berikut : ‘ or 1=1 — (terakhir diberi spasi)

 

 

 

 

 

 

Dan klik login, kita bisa masuk sebagai admin !

 

 

 

 

 

jika kita sudah tahu username nya, coba masukkan syntax query berikut ke dalam field password (gunakan addons firebug unt menambah length pada input text password), misal :

name : samurai

passw : ’ or (1=1 and username=’samurai’) –

dan lain sbgnya..

No comments yet.

Leave a Comment

nonot.in is Stephen Fry proof thanks to caching by WP Super Cache

tips pendek komputer dan rekayasa perangkat lunak