Patch SQL Injection Session 2 cmsmadesimple
Sumber: http://www.xp-solution.com/patch-sql-injection-session-2-cmsmadesimple/
Filter Karakter Negativ Number
Pada kali ini saya akan melanjutkan patch pada session 1. Pada session 1 (http://h4nk.net/hacking/patch/patch-sql-injection-session-1-cmsmadesimple.html or http://www.xp-solution.com/patch-sql-injection-session-1-cmsmadesimple ), kita telah berhasil melakukan patch penambahan karakter variabel selain INT atau pemasukan kode kematian..
Ternyata patch tersebut tidak efiesien karena masih ada celah yang bisa saya temukan yaitu Negative Number. Karena saya hanya filter variabel Int aja. Tentu Variabel tersebut mempunya nilai negative.
http://localhost/cmsmadesimple/stylesheet.php?templateid=-10
Terlihat dengan jelas masih menampilkan errornya…
Sekarang saya akan mencoba melakukan filter negative number tersebut.. dengan menambahkan bumbu sedikit pada script tersebut dengan hasilnya sebagai berikut ini :
Lalu kita akan coba lagi dengan menambahkan karakter negative number :
Bingooo… negative number telah di filter. Akhirnya session 2 ini sukses. Silahkan mencoba…
Tentu menjadi pertanyaan kenapa negative number musti kita filter ??? Yoi… ini termasuk salah satu teknik yang di lakukan pada serangan sql injection. Kalau tidak percaya tanya aja sama Team Gerandong ^_^. Semoga kali ini bermanfaat..
Thanks To :
Nathan Gusti Ryan, Yuni Roza, and Team Gerandong
Referensi
- http://artikel.xcode.or.id/patch-sql-injection-session-2-cmsmadesimple/
- http://www.xp-solution.com/patch-sql-injection-session-2-cmsmadesimple/