Perhatikan, kita fokus pada "password". Dari proses di atas, kita tahu bahwa setiap password
yang diberikan akan diubah ke dalam bentuk md5, baru kemudian dicocokkan pada data dalam database
user (baca: tabel user). Hal itulah yang akan menjadi teknik sederhana dalam tulisan ini. :D
#3. Contoh Serangan
Untuk melakukan teknik serangan SQL Injection, saya pikir kita minimal tahu fungsi atau tata
cara pemanggilan atau perintah-perintah SQL (SQL Command). Dan saya pikir, semua database memiliki
perintah SQL yang relative sama, :D. Misalnya penggunaan komentar, ada yang menggunakan "--" atau
"/**/". Secara logika, kita bisa melakukan bypass terhadap form login dengan teknik tersebut,,,
sederhana bukan? Misalkan kita masukkan username = ''--', dan password dikosongkan.
maka perintah SQL diatas akan berubah menjadi seperti ini:
SELECT * FROM users WHERE username=''--' AND password='d41d8cd98f00b204e9800998ecf8427e'
ket: 'd41d8cd98f00b204e9800998ecf8427e' adalah bentuk md5 dari karakter kosong / tidak ada.
Maka, perintah SQL yang akan dieksekusi hanya :
SELECT * FROM users WHERE username=''
Sedangkan sisanya menjadi komentar lantaran ini, '--'. Nah, begitulah ceritanya kenapa kita bisa
menggunakan teknik SQL Injection untuk mem-bybass Form Login.
Selanjutnya, agar kita bisa dikenali sebagai user tertentu, maka perintah SQL kita harus bernilai
TRUE. Jika kita hanya menggunakan string " '-- " (tanpa double kutip), maka kita tidak akan
dikenali oleh sistem karena username '' tidak ada. Untuk itu, kita bisa menambahkan pernyataan
yang bernilai TRUE, misalnya:
' or true--
' or 1=1--
' or 'a'='a'--
Di lain pihak, kalau misalnya kita sudah tahu username-nya, namun tidak tahu passwordnya, kita bisa
menggunakan teknik seperti ini:
admin'--
admin' or true--
admin' or '1'='1'--
Dengan teknik yang sederhana tersebut, kita bisa menjadi user (atau bahkan administrator) dalam
website tersebut. :D
#4. Penanggulangan Sederhana
Coba ingat-ingat lagi pada bagian kedua tadi. Saya sudah wanti-wanti agar Anda mengingat suatu
hal terkait proses autentikasi username dan password :D. Ingat, setiap password akan dihash menjadi
md5 baru kemudian dicocokkan.
Nah, mari kita berpikir kritis sejenak. Kenapa perintah SQL untuk mencocokkan username dan password
seperti itu? Kemudian kenapa hanya password yang dihash md5? Haha, tentu saya tidak akan membuat orang
susah dengan meng-hash username menjadi md5... :p. Tapi, coba lihat perintah SQL berikut:
SELECT * FROM users WHERE username='admin' AND password='21232f297a57a5a743894a0e4a801fc3'
Ada yang kepikiran gag? Setiap password, apa saja, akan dihash dan menjadi 32 karakter biasa.
Ya! Selalu 32 Karakter!!! Artinya, perintah SQL yang dimasukkan sebagai tidak akan diterjemahkan sebagai
perintah SQL, tapi akan menjadi 32 karakter yang acak. :D
Sekarang, bagaimana jika perintah SQL tersebut saya ganti begini?
SELECT * FROM users WHERE password='21232f297a57a5a743894a0e4a801fc3' AND username='admin'
Maka, jika ada orang yang mencoba "admin'--", paling tidak akan seperti ini:
SELECT * FROM users WHERE password='di_sini_pasti_karakter_md5' AND username='admin'--'
Artinya, perintah SQL apapun tidak akan bisa dimasukkan karena 'password' harus sesuai dengan password
yang ada dalam tabel :D. Oke, itu dulu, semoga saya bisa tidur dengan tenang malam ini.
Nah, itulah teknik yang saya bilang sederhana. Sangat sederhana bukan? Tapi, semoga banyak orang yang
sadar dengan kesederhanann ini. :D Mungkin, karena terlampau sederhana, jadi tidak terpikirkan.
#5. Ucapan Terima Kasih
- Thx kepada Sang Khaliq yang mengaruniakan Otak 'sederhana' ini :D
- jasakom (haiii, saya masih pembaca biasa eihh..)
- echo (huaa, ezine-nya tiap hari saya baca... thx y3dips dan smua kru di sana??)
- temen-temen komunitas eth0
yang diberikan akan diubah ke dalam bentuk md5, baru kemudian dicocokkan pada data dalam database
user (baca: tabel user). Hal itulah yang akan menjadi teknik sederhana dalam tulisan ini. :D
#3. Contoh Serangan
Untuk melakukan teknik serangan SQL Injection, saya pikir kita minimal tahu fungsi atau tata
cara pemanggilan atau perintah-perintah SQL (SQL Command). Dan saya pikir, semua database memiliki
perintah SQL yang relative sama, :D. Misalnya penggunaan komentar, ada yang menggunakan "--" atau
"/**/". Secara logika, kita bisa melakukan bypass terhadap form login dengan teknik tersebut,,,
sederhana bukan? Misalkan kita masukkan username = ''--', dan password dikosongkan.
maka perintah SQL diatas akan berubah menjadi seperti ini:
SELECT * FROM users WHERE username=''--' AND password='d41d8cd98f00b204e9800998ecf8427e'
ket: 'd41d8cd98f00b204e9800998ecf8427e' adalah bentuk md5 dari karakter kosong / tidak ada.
Maka, perintah SQL yang akan dieksekusi hanya :
SELECT * FROM users WHERE username=''
Sedangkan sisanya menjadi komentar lantaran ini, '--'. Nah, begitulah ceritanya kenapa kita bisa
menggunakan teknik SQL Injection untuk mem-bybass Form Login.
Selanjutnya, agar kita bisa dikenali sebagai user tertentu, maka perintah SQL kita harus bernilai
TRUE. Jika kita hanya menggunakan string " '-- " (tanpa double kutip), maka kita tidak akan
dikenali oleh sistem karena username '' tidak ada. Untuk itu, kita bisa menambahkan pernyataan
yang bernilai TRUE, misalnya:
' or true--
' or 1=1--
' or 'a'='a'--
Di lain pihak, kalau misalnya kita sudah tahu username-nya, namun tidak tahu passwordnya, kita bisa
menggunakan teknik seperti ini:
admin'--
admin' or true--
admin' or '1'='1'--
Dengan teknik yang sederhana tersebut, kita bisa menjadi user (atau bahkan administrator) dalam
website tersebut. :D
#4. Penanggulangan Sederhana
Coba ingat-ingat lagi pada bagian kedua tadi. Saya sudah wanti-wanti agar Anda mengingat suatu
hal terkait proses autentikasi username dan password :D. Ingat, setiap password akan dihash menjadi
md5 baru kemudian dicocokkan.
Nah, mari kita berpikir kritis sejenak. Kenapa perintah SQL untuk mencocokkan username dan password
seperti itu? Kemudian kenapa hanya password yang dihash md5? Haha, tentu saya tidak akan membuat orang
susah dengan meng-hash username menjadi md5... :p. Tapi, coba lihat perintah SQL berikut:
SELECT * FROM users WHERE username='admin' AND password='21232f297a57a5a743894a0e4a801fc3'
Ada yang kepikiran gag? Setiap password, apa saja, akan dihash dan menjadi 32 karakter biasa.
Ya! Selalu 32 Karakter!!! Artinya, perintah SQL yang dimasukkan sebagai tidak akan diterjemahkan sebagai
perintah SQL, tapi akan menjadi 32 karakter yang acak. :D
Sekarang, bagaimana jika perintah SQL tersebut saya ganti begini?
SELECT * FROM users WHERE password='21232f297a57a5a743894a0e4a801fc3' AND username='admin'
Maka, jika ada orang yang mencoba "admin'--", paling tidak akan seperti ini:
SELECT * FROM users WHERE password='di_sini_pasti_karakter_md5' AND username='admin'--'
Artinya, perintah SQL apapun tidak akan bisa dimasukkan karena 'password' harus sesuai dengan password
yang ada dalam tabel :D. Oke, itu dulu, semoga saya bisa tidur dengan tenang malam ini.
Nah, itulah teknik yang saya bilang sederhana. Sangat sederhana bukan? Tapi, semoga banyak orang yang
sadar dengan kesederhanann ini. :D Mungkin, karena terlampau sederhana, jadi tidak terpikirkan.
#5. Ucapan Terima Kasih
- Thx kepada Sang Khaliq yang mengaruniakan Otak 'sederhana' ini :D
- jasakom (haiii, saya masih pembaca biasa eihh..)
- echo (huaa, ezine-nya tiap hari saya baca... thx y3dips dan smua kru di sana??)
- temen-temen komunitas eth0