Patch Sql Injection [ Session 2 ] [cmsmadesimple]
Posted: Tue Nov 02, 2010 7:29 am
[ Filter Karakter Negativ Number ]
Pada kali ini saya akan melanjutkan patch pada session 1. Pada session 1 (http://h4nk.net/hacking/patch/patch-sql ... imple.html )kita telah berhasil melakukan patch penambahan karakter variabel selain INT atau pemasukan kode kematian..
Ternyata patch tersebut tidak efesien karena masih ada celah yang bisa saya temukan yaitu Negativ number. Karena saya hanya filter variabel Int aja. Tentu Variabel tersebut mempunya nilai negativ
http://localhost/cmsmadesimple/styleshe ... lateid=-10
terlihat dengan jelas masih menampilkan errornya…
Sekarang saya akan mencoba melakukan filter negativ number tersebut.. dengan menambahkan bumbu sedikit pada secirpt tersebut dengan hasilnya sebagai berikut ini :
Lalu kita akan coba lagi dengan menambahkan karakter negativ number
Bingooo.. negativ number telah di filter. Akhirnya session 2 ini sukses. Silahkan mencoba.
Tentu menjadi pertanyaan kenapa negativ number musti kita filter ?? yoi.. ini termasuk salah satu teknik yang di lakukan pada serangan sql injection. Kalau tidak percaya tanya aja sama team gerandong ^_^. semoga kali ini bermanfaat..
Mohon maaf jika ada kesalahan, saya harap bisa kita mengerti dan paham dengan maksud saya.. :maaf:
Thanks To :
Nathan Gusti Ryan,Yuni Roza,and Team Gerandong
Pada kali ini saya akan melanjutkan patch pada session 1. Pada session 1 (http://h4nk.net/hacking/patch/patch-sql ... imple.html )kita telah berhasil melakukan patch penambahan karakter variabel selain INT atau pemasukan kode kematian..
Ternyata patch tersebut tidak efesien karena masih ada celah yang bisa saya temukan yaitu Negativ number. Karena saya hanya filter variabel Int aja. Tentu Variabel tersebut mempunya nilai negativ
http://localhost/cmsmadesimple/styleshe ... lateid=-10
terlihat dengan jelas masih menampilkan errornya…
Sekarang saya akan mencoba melakukan filter negativ number tersebut.. dengan menambahkan bumbu sedikit pada secirpt tersebut dengan hasilnya sebagai berikut ini :
Lalu kita akan coba lagi dengan menambahkan karakter negativ number
Bingooo.. negativ number telah di filter. Akhirnya session 2 ini sukses. Silahkan mencoba.
Tentu menjadi pertanyaan kenapa negativ number musti kita filter ?? yoi.. ini termasuk salah satu teknik yang di lakukan pada serangan sql injection. Kalau tidak percaya tanya aja sama team gerandong ^_^. semoga kali ini bermanfaat..
Mohon maaf jika ada kesalahan, saya harap bisa kita mengerti dan paham dengan maksud saya.. :maaf:
Thanks To :
Nathan Gusti Ryan,Yuni Roza,and Team Gerandong