Showing posts with label Tutorial PHP. Show all posts
  • Cara Patch Bug SQL Injection



    Assalamuallaikum.. kali ini saya mau berbagi tutorial Patch bug SQLi atau SQL Injection.


    Bug ini merupakan bug yang terlihat terlalu sepele namun sangat besar bahayanya. karena dengan bug ini, hacker dapat mengeksrtak serta mencuri dan semua data pada database situs, termasuk user admin serta password atau juga data valid kartu kredit jika website yang diserang berupa shopping Web.

    Salah satu kasus di Indonesia adalah website resmi Polri yang kena bobol berkali-kali karena sang admin yang bisa dibilang tidak tahu security karena bug se tenar SQLi aja tidak tahu.

    Ada juga server balitbang juga kena retas. Penyebabnya adalah exploit 0day pada CMS Balitbang yang sering digunakan situs sekolah. Exploitnya ditemukan oleh team sec7or. Dan parahnya lagi, si attacker/hacker berhasil melakukan rooting atau previledge escallation dengan memanfaatkan exploit kernel. Sehingga web yang satu server dengan balitbang akan terkena dampaknya. Ibarat kata, tumbang satu, tumbang semua. Berikut adalah daftar situs yang terkena imbas dari rooting server balitbang tersebut: http://pastebin.com/j0tirM4G

    Nih Mirrornya : http://www.zone-h.org/mirror/id/23402942?zh=2  

    Percuma kalo tampilan web bener lagi, tapi ujung-ujungnya juga ntar masih ada bug SQLi-nya. Untuk itu saya membuat artikel ini. Semoga admin-admin di indonesia bisa lebih sadar akan ancaman cyber crime dan selalu belajar mengenai security.




    Langsung ssaja... 
    target saya : http://www.mohiniwebsolution.in/csl/gallery.php?id=2' 


    sekarang kita coba buka file ini dengan text editor, bisa notepad, wordpad, atau kalau ane sih sukanya pake notepad++ just info ;) hehehehe. Ini dia sebagian isi dari filenya : (disini saya file galerry.php)

    <?php include 'admin/db.php' ?>
    <?php
    $id=$_GET['id'];

    if($id!="")
    {
    $sql6=" WHERE category=$id";
    }
    ?>

    Bugnya ada di script bagian ini : <?php $id=$_GET['id'];

    tidak adanya filter di $_GET[postid] menyebabkan web ini vulnerable. Oke script penyebab ini semua telah kita temukan, sekarang saatnya patching. Tambahkan script ini diatas script vulnerable diatas :

    <?php include 'admin/db.php' ?>
    <?php
    //filter start here
    $postid= $_GET['postid'];
    $ip = GETENV("REMOTE_ADDR");

    if($id!="")
    {
    $sql6=" WHERE category=$id";
    }
    ?>


    sekarang coba buka lagi page vulnerable dan tambahkan single quote(‘) dan tarra proses patching telah berhasil

     
     
    Kenapa saya katakan vuln-nya sudah hilang ? Karena untuk tanda vulnerability pada sql adalah, ketika di akhir url saya beri tanda ' , halaman menunjukkan peringatan error sseperti "Warning: mysql_fetch_array........." , tapi setelah saya set ulang untuk sksrip parameter gallery.php nya. Peringatan Warning tidak muncul meski saya beri tanda ' di akhir URL. 
     
    Ada juga tanda vuln SQLi yang lain, biasanya adalah ada bagian konten web yang menghilang secara misterius :D , seperti gambarnya berkurang atau rusak.
     
    Cukup ssekia dari saya, semoga bissa bermanfaat untuk anda.

  • Menampilkan Hari, Tanggal, Bulan dan Jam Saat Ini dengan PHP


    Sebenarnya dari kemarin mau posting di blog ini, mau lebih bertanggung jawab atas apa yg sudah di buat. hehe
    Tapi karena akhir-akhir ini pembaharuan template website kantor lagi dikejar deadline, dan jam kuliah yang lumayan padat jadi ditunda terus deh update blognya.
    Kebetulan tadi baru saja menambahkan fungsi yang terlupa di website baru. yaitu menampilkan hari, tanggal, bulan dan jam saat ini di header. Nah, sekalian saja deh saya share di sini.
    <?php
    /* script menentukan hari */  
     $array_hr= array(1=>"Senin","Selasa","Rabu","Kamis","Jumat","Sabtu","Minggu");
     $hr = $array_hr[date('N')];

    /* script menentukan tanggal */   
    $tgl= date('j');
    /* script menentukan bulan */
      $array_bln = array(1=>"Januari","Februari","Maret", "April", "Mei","Juni","Juli","Agustus","September","Oktober", "November","Desember");
      $bln = $array_bln[date('n')];
    /* script menentukan tahun */ 
    $thn = date('Y');
    /* script perintah keluaran*/ 
     echo $hr . ", " . $tgl . " " . $bln . " " . $thn . " " . date('H:i');
     ?>
    Dari script diatas, akan muncul tampilan seperti ini :Jumat, 11 Oktober 2013 15:18
     Untuk penjelasan script, sengaja saya membuatnya menjadi warna-warni. semoga dapat dimengerti dengan baik ya. Kalau masih ada yang bingung dengan fungsinya, silahkan tinggalkan komentar dan dengan senang hati saya jelaskan. hhihiiii 
    Semoga bermanfaat dan CMIIW :) 
     
    Sumber 
  • how to make mass scanners without http: // or https: // "PHP"

    How to make mass scanners without http: // or https: //  in php ?
    I use example revslider scanners mass use http:// to mass not use http://
    Script by Magnom Codersleet team
    This easy but for beginner ? 
    This example  screenshot  using http: // or https: //
    See Script 


    how to make mass scanners without http: // or https: //  ?
    Look Screen shot
    Add "$http="http://"; in ur script and add get ($http)
    Example in ScreenShot

    This Simple :D
    Ok thanks
    To met another time
    I Love U All
  • Nisekoi Template Designed by Johanes Djogan

    ©2016 - ReDesigned By Ani-Sudo