Patch Sql Injection [ Session 2 ] [cmsmadesimple]

Posted: November 2, 2010 in Deface, PHP, Security System, SQL Injection, Tips & Trik Internet, Tips & Triks Internet, Tips, Triks & Teknik Hacking, Web Desain, Websites Hacking, Wireless Hacking

[ Filter Karakter Negativ Number ]

Pada kali ini saya akan melanjutkan patch pada session 1. Pada session 1 (http://h4nk.net/hacking/patch/patch-sql-injection-session-1-cmsmadesimple.html or https://nathangustiryan.files.wordpress.com/2010/11/411.jpgpatch-sql-injection-session-1-cmsmadesimple ), kita telah berhasil melakukan patch penambahan karakter variabel selain INT atau pemasukan kode kematian..

Ternyata patch tersebut tidak efiesien karena masih ada celah yang bisa saya temukan yaitu Negative Number. Karena saya hanya filter variabel Int aja. Tentu Variabel tersebut mempunya nilai negative.

http://localhost/cmsmadesimple/stylesheet.php?templateid=-10

Terlihat dengan jelas masih menampilkan errornya…

Sekarang saya akan mencoba melakukan filter negative number tersebut.. dengan menambahkan bumbu sedikit pada script tersebut dengan hasilnya sebagai berikut ini :

Lalu kita akan coba lagi dengan menambahkan karakter negative number :

Bingooo… negative number telah di filter. Akhirnya session 2 ini sukses. Silahkan mencoba…

Tentu menjadi pertanyaan kenapa negative number musti kita filter ??? Yoi… ini termasuk salah satu teknik yang di lakukan pada serangan sql injection. Kalau tidak percaya tanya aja sama Team Gerandong ^_^.  Semoga kali ini bermanfaat..

Thanks To :

Nathan Gusti Ryan, Yuni Roza, and Team Gerandong

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s