Kebanyakan dari teman saya yang suka empes-empes website gak ada salahnya donk kita membantu sesama warga dunia maya buat pacth bug sql pada webnya, jangan mau enaknya aja =)) ok ini tutorial cupu dari saya bagaimana cara patch bug Sqli pada script PHP dan MySQL, Bagi yang master di lewat saja, Tutorial untuk Patch Bug Sqli ini sebenernya sangat banyak, dan saya rasa 1 aja untuk malam ini udah cukup, ok langsung saja ke tutorialnya :)
Dalam contoh ini, saya menemukan bug pada salah satu website negara India :D
ini alamatnya >> http://www.radiancetour.in/foreigntours_details.php?content_id=12
jika di tambahkan string ' (kutip ganda) akan memperoelah hasil erorr pada Mysqlnya :D kira-kira seperti ini penampakannya Notice: Use of undefined constant SB_TBL_DYNAMIC - assumed 'SB_TBL_DYNAMIC' in /home/content/29/6201829/html/radiancetour/foreigntours_details.php on line 99
Warning : mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/content/29/6201829/html/radiancetour/foreigntours_details.php on line 99
Warning : mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /home/content/29/6201829/html/radiancetour/foreigntours_details.php on line 99
Web tersebut sudah jelas Vuln serangan Sql Injection, sekarang kita coba untuk memPatchnya aja ya, gak usah di obrak-abrik :D
Dari keterangan Error di atas dapat kita simpulkan errornya berada di file foreigntours_details.php
Ok, langsung kita cek, dan liat isi filenya,
<?php
$content=mysql_fetch_object(mysql_query("SELECT * FROM ".SB_TBL_DYNAMIC." WHERE content_id ='".$_GET['content_id']."'")); ?>
Jelas terlihat bahwa pada content_id tidak ada filternya =)) pantesan web lu kena pepes mlu =)) =)) selanjutnya mari kita kasih filter, Tambahkan Code ini di dalam Filenya,
Code:
<?php
error_reporting(0);
function filtering($content_id){
$idf = mysql_real_escape_string($content_id);
if (!ctype_digit($idf) || $idf < 0){ exit; } else { return $content_id; } } $id = $_GET['content_id'];
function filtering($content_id){
$idf = mysql_real_escape_string($content_id);
if (!ctype_digit($idf) || $idf < 0){ exit; } else { return $content_id; } } $id = $_GET['content_id'];
Kira-kira menjadi seperti ini :
<?php
error_reporting(0);
function filtering($content_id){
$idf = mysql_real_escape_string($content_id);
if (!ctype_digit($idf) || $idf < 0){ exit; } else { return $content_id; } } $id = $_GET['content_id']; $content=mysql_fetch_object(mysql_query("SELECT * FROM ".SB_TBL_DYNAMIC." WHERE content_id ='".$_GET['content_id']."'")); ?>
function filtering($content_id){
$idf = mysql_real_escape_string($content_id);
if (!ctype_digit($idf) || $idf < 0){ exit; } else { return $content_id; } } $id = $_GET['content_id']; $content=mysql_fetch_object(mysql_query("SELECT * FROM ".SB_TBL_DYNAMIC." WHERE content_id ='".$_GET['content_id']."'")); ?>
Nah, kalau sudah tinggal save dan lihat hasilnya :D
Error nya sudah hilang :D kwkkwkwkw demikian tutorial cupu dari saya, wassalam :))
Terkait
Tutorial
- Cara Membuat Blog Terbaru
- Cara Membuat Blog SEO Terbaru
- Tutorial Blind SQL Injection Versi 4
- Base SQL Injection
- Mendapatkan Domain Gratis .in
- Tanam BackDoor di Website Joomla
- Upload Shell atau BackDoor Di Website Wordpress Part 2
- Upload Shell Di Website Wordpress Part 1
- Mengetahui Teman Yang Telah Menghapus Pertemanan Anda Di Facebook
- Tak Bisa Menemukan letak Shell Yang Sudah Kita Tanam
- Melihat Domain dan User Yang Satu Server
- Jumping Server di perm drwxr-xr-x Atau Read Only
- Hack Facebook dengan Halaman Fake Login
- Script Virus .bat Sederhana
- Forgot Your Password Facebook.com (Hack Facebook dengan cara Forgot Password)
- Tutorial Hacking Website dengan metode RFD(Remote File Disclosure)
- Auto/Bom Like Status atau Comment Di Facebook
- Mengetahui Driver yang Belum terinstall pada Laptop atau PC Anda
- Step By Step Sql Injection (newbie)
Hacking
- Hacking Tools : Penetration Testing Tools
- Tutorial Blind SQL Injection Versi 4
- Base SQL Injection
- Free Download Havij v1.16 Portable Cracked
- Reported Attack Site ( Malware )
- Google Dork Carder 2012
- Tanam BackDoor di Website Joomla
- Upload Shell atau BackDoor Di Website Wordpress Part 2
- Upload Shell Di Website Wordpress Part 1
- Deface Page Generator V1.0
- Deckript Password Md5 dengan CainAble
- Tak Bisa Menemukan letak Shell Yang Sudah Kita Tanam
- Melihat Domain dan User Yang Satu Server
- Jumping Server di perm drwxr-xr-x Atau Read Only
- Setan dari Surga Owned You
- Google Dork RFI 2012 (Remote File Inclusion)
- Hack Facebook dengan Halaman Fake Login
- Google Dork Joomla Scan Pake V6
- Google Dork Asp 2012 (sql Injection)
- Forgot Your Password Facebook.com (Hack Facebook dengan cara Forgot Password)
- Tutorial Hacking Website dengan metode RFD(Remote File Disclosure)
- Google Dork Sql Injection, LFI 2012
- Step By Step Sql Injection (newbie)
Mantap... pertamax.. ^_^
ReplyDeleteyee asu cuma dikasih error_reporting(0); -_-
ReplyDelete