UNKLAB FORUM

Forum Mahasiswa & Alumni Universitas Klabat
 
HomeSearchRegisterLog in

Share
 

 [tutor] How To Patch SQL Injection Bug

Go down 
AuthorMessage
ZaNo
Whiz
Whiz
ZaNo

Male Number of posts : 245
Location : trace me if u can..
Points : 222
Registration date : 2009-02-02

[tutor] How To Patch SQL Injection Bug Empty
PostSubject: [tutor] How To Patch SQL Injection Bug   [tutor] How To Patch SQL Injection Bug I_icon_minitimeMon Apr 27, 2009 9:46 pm

requirements:
*0t4k
*1nt3rn3t c0n3x10n
*r00t


misalnya bug ada pada string view_news.php?newsID=

berarti bug itu ada di file view_news.php dan di string newsID

lanjut, cari pake CTRL+F $newsID

kalo dah dapet, tinggal kasih filter di atas line-nya..


filter supaya cuman angka saja di inputnya:
Code:
if (!preg_match("/^[0-9]+$/, $newsID)){
echo "message";
exit;
}

filter supaya tidak boleh ada tanda minus - di input:
Code:
if ($newsID < 0){
echo "message";
exit;
}

filter supaya limit input cuman sampe 5 karakter:
Code:
if (strlen($newsID)>5){
echo "message";
exit;
}


sisi positif yang dapet diambil, qt udah nge-patch situsnya dari SQL Injection..
sisi negatif yang dapet diambil, (keuntungan sich) cuman qt yang dapet shellnya..
kalo perlu, edit file-nya trus kasih bug RFI supaya klo shellnya ketauan ma admin trus diapus, bisa langsung injek shell dari file yang ada bug RFI hasil karya kita..


thanx to:
Jesus Christ
SMA Pioneer Manado
y0ng_en9el for da request
Back to top Go down
unaitech
Newbie
Newbie


Number of posts : 5
Points : 5
Registration date : 2011-02-10

[tutor] How To Patch SQL Injection Bug Empty
PostSubject: Re: [tutor] How To Patch SQL Injection Bug   [tutor] How To Patch SQL Injection Bug I_icon_minitimeThu Feb 10, 2011 9:52 am

intinya adalah filter dibuat agar defacer tidak bisa menggunakan simbol yang dapat membuat bug pada website kita,hoho..
Back to top Go down
 
[tutor] How To Patch SQL Injection Bug
Back to top 
Page 1 of 1

Permissions in this forum:You cannot reply to topics in this forum
UNKLAB FORUM :: KLABAT UNIVERSITY :: Computer Science Faculty :: Computer Security :: Hacking, Cracking, Etc.-
Jump to: