• Membuat Situs Web

Cara ketiga, ini yang paling banyak digunakan peretas, adalah membobol data administrator sebuah situs web. Metodenya bisa banyak. Bisa lewat program khusus semacam Comersus dan SQL Injection. Program ini tersebar di berbagai situs dan bisa diperoleh secara gratis. Tapi cara ini sudah terlalu umum,sudah banyak yang menggunakan, kata John. Feb 18, 2013 - Kali ini saya akan share tools untuk melakukan SQLi terhadap web yang rentan keamanannya. Dan tentu saja tools ini lebih powerfull untuk melakukan injeksi daripada tools. Tapi untuk masuk ke protokol website disuruh register dlu. Gmana cara serang web orang pake zombe dan software nya?

Selamat datang kembali, Sobat!

Meskipun jenis hacker ada banyak yang berbeda, salah satunya menargetkan semua database. Saya sering merujuk ke database sebagai hacker Holy Grail, atau hadiah utama untuk hack efektif.

Hampir definisi database adalah repositori dari semua barang yang sedang para hacker kejar. Barang ini mungkin termasuk data kartu kredit, informasi pribadi, username dan password, dan properti intelektual. Masing-masing item dapat dijual untuk sejumlah besar uang di pasar gelap.Misalnya, nomor kartu kredit dapat dijual antara $ 5 sampai $ 50 tergantung pada kualitas (kartu emas danplatinum yang bernilai lebih dari kartu biasa) dan batas kredit mereka. Jadi, hack dapat menuai 200.000 kredit nomor kartu bernilai di mana saja dari $ 1 sampai $ 10 juta!Pada saat yang sama, negara yang disponsori hacker seperti Cina, kekayaan intelektual ini akan mencakup desain, formula, teknik, dan hal-hal lain yang mereka curi dan membawa ke Cina untuk dengan pembuat perusahaan di Cina. Hal ini terjadi setiap hari dan beberapa menganggapnya pencurian terbesar dalam sejarah dunia!

Sebelum kita meneliti cara hack database, kita perlu memahami dasar-dasar bagaimana database bekerja, apa SQL, dan kerentanan apa yang umum untuk database. Jadi, mari kita mulai sehingga kita bisa cepat sampai ke beberapa DB peretasan!

Apa itu Database?

Database adalah suatu sistem dari perangkat lunak untuk menyimpan dan mengambil informasi dalam format yang terstruktur. Awal database adalah flat file, jenis seperti file besar Excel. Sebagai database menjadi lebih besar dan lebih besar lagi, struktur sederhana ini terbukti tidak efisien.

Akibatnya, seorang ilmuwan di IBM, Dr. Codd, mengembangkan struktur yang kemudian dikenal sebagai model basis data relasional. Ini adalah model sekitar 97% dari semua database yang sekarang digunakan, dan ini termasuk semua perusahaan perangkat lunak besar.

Dasar-dasar dari model relasional adalah bahwa data harus ditempatkan dalam tabel terpisah dengan tombol unik menghubungkan tabel untuk menghindari duplikasi data dan untuk memudahkan pengambilan data ini.

Struktur Database

Model dari database relasional ini menghubungkan data dari tabel terpisah dengan menggunakan kolom bersama atau 'kunci'. Diagram di bawah dari model database relasional sederhana di mana semua tabel dihubungkan oleh kolom 'ID'.

Vendor utama dalam database Market

Pada Pasar database perusahaan memiliki beberapa vendor menawarkan produk-produk yang dapat menyelesaikan tugas yang sama, tetapi dengan cara yang berbeda. Pemain utama di pasar ini adalah:

• Oracle. Mereka adalah raksasa di pasar ini dengan pangsa pasar hampir 50%. Mereka memiliki beberapa produk perangkat lunak database yang berbeda, termasuk senama dan MySQL mereka.

• Microsoft SQL Server. Microsoft memasuki pasar ini di awal 90-an dengan bekerja sama dengan Sybase untuk mengembangkan persembahan database perusahaan. Akibatnya, MS SQL Server dan Sybase masih berbagi banyak kesamaan. Awalnya, Microsoft hanya pemain di pasar usaha kecil, namun perlahan-lahan mendapatkan traksi di pasar perusahaan yang lebih besar.

• MySQL. Ini adalah database open-source yang Anda akan menemukan di belakang begitu banyak situs web, sebagian, karena gratis.

• IBM DB2. IBM adalah penyedia database perusahaan asli dan membuat banyak perkembangan utama dalam desain database, tapi seperti segala sesuatu tentang IBM, telah menurun dalam beberapa dekade terakhir.

Membuat Situs Web

Vendor besar lainnya termasuk Sybase, SAS, PostgreSQL (open source), dan banyak lainnya. Umumnya, seperti hack apapun, kita perlu melakukan pengintaian yang baik untuk menentukan perangkat lunak dan versi untuk menjadi sukses karena kebanyakan dari hacks database vendor tertentu.

Structured Query Language (SQL)

IBM mengembangkan database awal, mereka juga mengembangkan bahasa pemrograman untuk mengelola dan manipulasi data ini. Mereka menyebutnya 'Structured Query Language,' atau seperti yang umum dikenal, SQL.

Ini adalah bahasa sederhana yang menggunakan kata-kata bahasa Inggris dengan cara yang sama bahwa manusia yang berbahasa Inggris menggunakannya. Contohnya..

• SELECT berarti 'memilih beberapa data dari kolom dalam tabel'

Everyone appreciates you!-PeskyAdvisor. Hey everyone, i am really into halo and this game but am really absolute trash at making mods. So i have come to you, community. I CHALLENGE YOU TO MAKE A HALO MOD WITH:-3 factions (UNSC, Covenant, and Flood)-Infantry, vehicles and air vehicles (Flood can just use vehicles of both sides)-The Flood should have 1 or more units capable of infecting enemies-the Covenant NEEDS to have all the major races (Elite, jackal, grunt, hunter, brute)but should also have less common races if possible (Drone, prophet, skirmisher)-I would mostly use this for editor but a couple skirmish missions and multiplayer would be greatThank you Modders! Winter contingency mod.

• FROM berarti 'mendapatkan data dari tabel ini'

• WHICH berarti memilih data yang memenuhi kondisi ini (nama belakang = 'smith').

Selain itu, kata-kata seperti UPDATE, INSERT, dan DROP berarti dalam SQL persis apa yang Anda harapkan mereka berarti.

SQL tidak pilih-pilih tentang sintaks, tapi pilih-pilih tentang logika. Meskipun praktek terbaik adalah untuk memanfaatkan semua kata kunci (SELECT, FROM, WHICH), itu tidak diperlukan. Selain itu, spasi diabaikan. Semuakecuali Microsoft, meskipun, mengharuskan pernyataan SQL untuk mengakhiri di titik koma (;). Pada produk Microsoft, itu opsional.

SQL distandarisasi oleh ANSI, tapi standarisasi ini hanya mencakup sekitar 80% dari bahasa atau inti dari SQL. penerbit perangkat lunak bebas untuk menambahkan perintah tambahan dan fitur yang bukan bagian dari standar. Hal ini terkadang dapat membuat sulit untuk mengangkut kode SQL antara DBMS. Hal ini jugamembuat penting untuk melakukan pengintaian baikpada database untuk mengetahui produsen dan versisebelum menyerang sebagai serangan sering khususuntuk produsen dan versi.

Masing-masing DBMS dapat digunakan dari baris perintah, tetapi masing-masing memiliki GUI sendiri. Baru-baru ini, MySQL merilis GUI disebut Workbench baru seperti yang terlihat di bagian sebelumnya. Oracle, Microsoft, dan lain-lain memiliki GUI yang sama yang memungkinkan administrator untuk mengaksessistem mereka.

SQL Query dasar

Ketika kita perlu untuk mengambil data dari database, dikatakan bahwa kita 'query' database. Sebagai database repositori untuk data, kemampuan untuk mengekstrak atau data permintaan adalah salah satu fungsi yang paling penting. Sebagai seorang hacker, kita ingin mengambil data, sehingga query sangat penting untuk mendapatkan barang.

Struktur dasar dari query terlihat seperti ini:

# SELECT

# FROM

# WHICH

Pernyataan ini 'memberi saya data di kolom yang tercantum dalam laporan SELECT dari tabel yang datang setelah DARI kata kunci tetapi hanya memberi saya baris yang memenuhi kondisi yang datang setelah WHERE kata kunci.'

Jadi, jika kita ingin mendapatkan nama depan, nama belakang, username, dan password dari tabel staf untuk karyawan dengan nama terakhir 'Hillyer,' kita bisa membangun sebuah pernyataan seperti ini:

SELECT first_name, last_name, username, password FROM stafWHICH last_name = 'Hillyer ';Seperti yang Anda lihat dalam gambar di atas, kita telah diekstrak rekor Mike Hillyer dari meja staf dengan nama pengguna dan kata sandi (password sebenarnya hash dari password).

SQL Injection

SQL injection adalah serangan database yang paling umum dan mungkin bertanggung jawab untuk volume dolar terbesar dari kerugian dari kejahatan cyber dan canggih ancaman terus-menerus (APT).

Pada dasarnya melibatkan menempatkan perintah SQL dalam bentuk data halaman web yang terhubung ke database. Bentuk-bentuk kemudian mengirim perintah SQL tersebut kembali ke database dan database akan baikmengotentikasi pengguna (ya, otentikasi adalah fungsidatabase) atau menyerah data target.

Dalam tutorial masa depan, kita akan menghabiskan cukup banyak waktu menggunakan alat injeksi SQL dan mengeksekusi serangan injeksi SQL.

Kerentanan lainnya

Selain menunjukkan Anda bagaimana melakukan SQL injection, kita akan memeriksa beberapa yang lain dari kerentanan dalam database. Ini melibatkan otentikasi, menggunakan database untuk mengorbankan sistem operasi, dan beberapa lainnya.

Sekarang kita telah menutupi terminologi dasar dan teknologi yang berkaitan dengan database, dalam tutorial masa depan saya akan menunjukkan cara untuk hack ke dalam database ini, sehingga terus datang kembali!