SQL Injection Cheat Sheet
Berikut ini beberapa contoh input yang bisa digunakan untuk melakukan SQL Injection. Gunakan Cheat Sheet ini untuk melindungin website buatan kamu, dan bukan untuk melakukan penyerangan!
Metode ini sudah dicontohkan pada contoh di atas. Input yang dimasukkan diakhiri dengan syntax comment sehingga query menjadi terpotong.
Input ini memotong query target dan mengubah makna dari query tersebut.
iV-Pro Findcam Max App
iV-Pro Findcam Max is a Battery Wi-Fi and Solar Surveillance Monitoring APP available on the Play Store and App Store, to be used with iV-Pro Wireless, Solar and Battery Cameras with Human Detection Intelligent features.
Compatible Models: iV-CA4SDABTR-PR-WF, iV-CA4SDA-PR-WF, iV-CA6SDA-PR-WF-SLR
Updated: 16th Jan 2022
%PDF-1.5
%µµµµ
1 0 obj
<>>>
endobj
2 0 obj
<>
endobj
3 0 obj
<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI] >>/MediaBox[ 0 0 612 792] /Contents 4 0 R/Group<>/Tabs/S/StructParents 0>>
endobj
4 0 obj
<>
stream
xœ¥ZYoÜ8~7àÿ GiѼDI@Ћ±ÇÙõ`ŽdâyšÝÅVìŒãq{fýï·ªHQ¤ZT«w¤–XÅb_êìä}ööíÉOgßg|³ÉN¿?ËN/��NÞ‰L(ÖÊìòóñ‘È8ü™œ)‘ÕÜ°ºÉ.ï��xvƒÿ8>ú=¿,J�ÿŸ2ÿ¥¨ò_/Š²Í¿+J¡ó‹&ÏŠg—?�{ÜÂ3m9ã2dú{þÖ J”óTJ4ÌÄD©
””lÂD«óŸAÈðâv;»Ä+ºÿmüs‚›æ‚™…�³óŸÎ²,P«ÔêEj!3ÓVb"§¶‰
£ÉZ�™ªa\9~Éûü¼)J•÷ߊ6ߥɿàGWHžÓÓ”Þ´®˜ªc¦‘àC!TÒ0ºs¶1Ur‡Z1)âµ %‰õJÙ_RR?ÂÀãyvZ,l½£UiUfB0®#Å
¼ªÌ¨š‰Ê±‰íLUÇkÿULŸ¼SsÛ ™�N•vòNÏQJ³# 3R©“FÚ°V-ïç×Vrgí—BÔÞJ:ïÑæWEY�¥j4”Cµ‘�(¼°šµh'Vi�qVËì[|ôùoÃAg-ÑB¬´¡ÄrAîL7ÑiwÝ}- ¸»[<@aàôñÎóþSŸ/xˆñ©‚8¹Co·k¾ŒÑí[�@“ð8ÞØh£G×_PŽ¯@Õý:6]uÁîvÙ
rzBˆB:ÜÑìwÊ– ¨|›Ô’3‰0LÖNK×}¡†Ã„Á&ȹûVÀÑ3ì…ééóñà7üL.0Ȇ"GòÁ¡G.^k[ZHJMÂ8oBI³ F™ìò
|þC2SHÅ„‰è8‘¤ó…Aç‹TZ202\
!Ê~ñæ‚k«$±úùV˜@«lé>1%K¡ik(¬B¹áOÏd&xðÂ1‘Ë€=ð"Òƒ /¢\
x‹û�€Ç™lãµ…lCÀ»BË`0�B»ª…:
A�‰Ð®i1•2ìE;…I/úÞÇ¡y›…3Ò-œ‚|”¼�|Ûú¢õïºrLÈó
Üj�‰Þ‡É÷·ÞƒwþB×%tµv3noa"áײݱ¸àþ:BÔ•°‡
Äíét¸W:ý0¬ê
Ë’P‰îüÂ)áÅ–!˜îbdp8Ðm;8±ñ¯Ïð%yò=’<¹�Dc…g¼ÇÇÖpv» ‹q„f1'fPb52>Ò"(T3 @ºÎªJ³f³§\Õ`Ñ&«”b¦
cܵùÉ¡¨«W©rýÃ×V9%Z Ö½¢i’&Å"V¨™> ƒdkZÖT1Uºˆ…ú¨Ž×î±XÂ%]
[ª}5lrçU×kkØJHDëU5l´ö@HIw!}V@v!奫®1Ày¼¦dû€µ¦
z¼ _žÆíÆ:ËÅK˜ÀaÎ$‡òí Hxæ6’©¸ñˆ¸%øÜ=F5sU,PÂc¼åüTnÖè@j÷hov[¨£¡!�l«Ï7eƒ5çUµÑîr¸]ÕpÝÐ#ià;WÔÁð‰Ä¦$*ú¾‘:^Wõ[ÇWœmZ»«PñBW|¤ÞH‰7›MY
ËžÖv·‘P�rÐ
xr€/éÂH;=RÊ&à½ñ`ímŽù€lîí-½G\?BMK„”¾0eõät�M¾|%(·0Ÿs ¤€D�`T¾ÖFQ1Z–)ºÚ0Ó-—¯²áLËX3IÏ7–¨.9–C¦îès&·A¼ÙsÚNÉ&±!:÷Ô´¶" Åb
:ߦ°){¬ª§AÙ{·®!ˆ–›˜=Ä�VýÿÖ¤HÞb—:2Z×£HÅY(>”‰˜2�†%wRÇf!ÍŽ[ì$‹&]ñëJ°•¸ô°äR”BÂ�`Øþá>hºí”+nï¨=Tç9EøŽÿÿZ²;,òÓ(ôçB#ôÊDèIÇ>f£‰ßÜ.9ŸdO¸²…¢ÌÈ�lOWÛj†Š´§¾õt4ˆ°½ê¨žgÈiœG´ iÕD¨¹]ΆàäÚ„euGÌI‘®.öÅíìÞœ†ÔIýbå+¡mPñ¦‹±Ñ¦_-8ùåŠaïÎ}Rù‚úu“©¦¡Ù:1<…3½ø1mº�7¬Ž ?âñ—ëXÖžl—¬c¹}EKgËXÅ‚“¸2v¨Ô?¹rWT©ßÒÕP â¿/W½I9wõ,N~ìn²üùÏòãy±¶V¦fͺ8\zÈ…”�\HˆõoçûVŸL1š [†I‘‘Ó�ÓQŒÁ”nMp«ñSÐ _�â渻«›»ûNíÿ�õÅÇb¡Ñ Œ)ëAèi¾ßö÷Žzk÷¶€ã(lén§pÂç%«k¦Càé}ùU*Áx³þ|Á÷YÆQv¶\䉊5*ÚoÙ�eÊ�§Ž©õºô=ÐuCÒÃ|7¤¤ýGÅÞO¿Ý’Ý’&«¦Ú�ߺ|(ÚÇž!Ýž:ðŽOŽìŦ|è‘xóñ!ɦâ±!›°á°ó¦ @ïãt÷ÿg8�ö»øø°å< oœïËhÚD"Ø°s1ÅÕ›5ÁÅ©AY—Ö'e•'GwC®5m°ð”2’f}÷-k‰Ö‹Ž2Œ×¬é $=é»»FK7ØÉ(§cAÒnÏð:™�±RS±LË`¢V‚‰l*6ÌÔ2–„Kƒ’�ò $ O»Û;zï]BëÙ‘¯6ƶçd
Œ$צѓÑDƒ«¡ï½†ýÂÀ »±¡h{U¼k—9ಅ(
1ɶÝvìw½¬@=; öŒù.!O³mñÐO¼YL?ƒ¡›Þ;vÓvidûvÉá\0nsž=¦f·6~í7ªvLž¤ÇIÀ„1}çß#ØÄîÂƽ'Pƒ@Ntäý§íÍ–“¯æ5ÂÂÓ/Ç‹Þ/®ü—Z3³ŽåÂô\JÍä:.{ÆçîU¸äŠ©a\ñÝ“µ•ÙÏFãÀœî½óQ1ô"¥?¹ò=õFÇ;~E'zñÙ+ü=‰5öë6X74÷P@�PÚ×ë"Á&afepÞɲf¢/p Q%w0ôž#Z»f¢?œnO—“”a×V÷E#ðÝïªÎ&Z{¨G¤¡zDyA¾j‹jŠoºì·#�ÿ“ñÝ"¥R7‹Çç'øGå§8
xü«I–`~¨’òïª~aT&pV_¯+Æ£µ*;$=LÙ!å{Ôí™-Bìë²fÚÒůEƲqR¥f¾Wû¡È|)ÝKH'�³«û¹QÌ {ÍñEþªâ%Z{ îCÒÃtR’îQC¶;v#³ñ·#ÛÎ¥~?ù~üŒ¿ÒÃTH-nïðÜ×ãxqkî„obßÚ'‘¼fJ¦Ï·ûËCžNiBrVã"–SšƒFèá4_÷ƒH9#–ãR׬n’%ó>
endobj
6 0 obj
<>
endobj
7 0 obj
<>
endobj
8 0 obj
<>
endobj
9 0 obj
<>
endobj
10 0 obj
<>
endobj
11 0 obj
<>
endobj
12 0 obj
<>
endobj
13 0 obj
<>
endobj
14 0 obj
[ 15 0 R]
endobj
15 0 obj
<>
endobj
16 0 obj
<>
endobj
17 0 obj
<>
endobj
18 0 obj
<>/XObject<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI] >>/MediaBox[ 0 0 612 792] /Contents 19 0 R/Group<>/Tabs/S/StructParents 1>>
endobj
19 0 obj
<>
stream
xœ�YKoÜ6¾ðà¡©¨h¾Iî^ÇN]$h\»§´ÕÞØiüh'mPô¿w†¤Väê±Ú"Xg¥�ù8ÎãÓˆ¼!‡‡¯�Ï^¶X�å‹c²¼Üß;8å„rùn�ÿ8‘º¦Ü˵äò~�‘üórïmqüøPVœÏeeŠÇ’›â¶¬\Aʪ.>–ªx_rY<à-/Ñ”‚ðôR%çÅ9þø
¿ù{ge”~Çû«+�õêí±¬òWrùÃþÞ ØŒv·Æj!(¯cßb'JN^’ì�¼jnHññsuqRfŽP„sÊTæ‹šQ&1ÎR'"þqØzÝnÓú‹Û9¨tŽ@6dNÅÀÚ\h*e®ùÑ;ÿ}épqpøWÿnb®Q´¥6C!lJryõ¶¸85¦g5¹ó*£9N5ÏͽnîðŒ›{ÇAHóEå2a}´Ð(´\íÑ:Úè‚ ª½ ªé.@ÒØÂ*åW“"@g¿rÎ;\a•Á»¶lÔ�óqDÄPù¦£`k‰
ûI6*;!ƒŸ¸…£ÅœTµ f#®°$>]CʃƒŠïfÆKŒeeh]¯ãe�ñ.µSwgŠ>R¶óå®ùÉ»¶<+« É:µ‹&öI(€ßÌ,ßµ¦5Ï0Bý:ÆuóT_ÇCU|y-ï2´H¸lBaÿTVî@õUóÇRB¾ÊDî3ÀHÓüVÂõ|[ùŽúïH6K0ǸÌÇÓ5R&5r³*ÂyqAÄ–ª˜ÊîXSÕ¾ïõD$%š‡>ÑC>Aþ°îZ�´ R$æŽ�-Cùñ¿™x¯Õ‡°óxÂ'»9a‡YåâwHI¡;Xu´®>{Ë¡ÇT‰Õ—1yCõ´]�º�=©�×î §Õ¸•œÝ’;êÔøÙôâHMăLÑDn‰£TvÇ8JUçR0Ó3ðS±éˆØ]Kƾ`+õy(¹*îËÊ͇äöðÖ3Ôòt•yMK�Èô¦)š�Šò|7‰y~Ñô°½Õ%×Åê éx¬URšŽ~¶÷@af‰—RS•Yàû̆œ¬ûlÂD«Âòþ·Zlƒpg1ˆBóˆA^ƒ®ëú®ã6Qÿoïõ©�ˆÔ@’%O8UXÔº´ÿá«ENL×_S®5A@�Ñ�Õ9ÿÛNY°u
R=eoDJ`쌿g-ð€9Òé°`˜
Oq¹ôç9Á. á1lg4Á¤p´©,Ù•6„ÉÖ¬›>¯‹ëU)tÈÀ|°jbæŽØä$Ò²qVuQLQ=dÉØB
ª¹¹£6Kš
(Vœ¼ˆÆŸcé¹¹ºBRãKÏãþ,xÑ=ñ¶¹�‰b5m±K \1ò+¼‰œê'güŒÖ�\`ŒCñZ‚ÿrèÉާdž�P+EE‹¨¦a&»[#ÌTwj„™æýèc¦¦®Îe³.ˆþö×x°ÏÉMÏañf8¨†äÓŽßñOŒ‰Nip$òw8Ù‘6¨kj]jàÌ~ëN&R½-ýRS(;ªÂÓÿv.RÙ@ðCRÜz‰Ã€þCÖû…㶩W×ðà•ÛIËH†
ýç}+%(ã[öÝz3çqÄ£…¤fk´ LRÑ‚¼DWê@ÍÓúùè
2ýñáùñv²RGµNñfNÈ\��½©Þ– <'CeÌ?óvöÂ;”¼‘ ™f“‘Ãy \oB–²=™ùiÎLÌ
x\+†³8© 5¹9ÇV�›ÒZ«Y£Z6�Â,•Ý<Ö¦§`n„_Æcžgt?7,v„DmÛ¬´ÆÙ@º‹6`³A�æÀYG´‰@àèònµ9qÀùxŸÎÐvx°ešŠîÖ¥RÍ�šTªxÇ#1
â›ÿÚa, ÈÉcn éI—Þ ç/©©!0ŸŸJÕY|3TÍNíМט£ b É›º|HWø´±ik¤ßCUÍò¾56»Ù.Ràk¦¾VÏÀаŽßZ§å�ºeB>a/Œ:趇5±ô’«QF¬j*Åh€õSAL¤aæÍÀ2Ù“!UÝ-RÍsHOz½¿¾Ä7wà¿ë•ŠSÄ8Ü ÿqQ4!èˆÉ·³è6£†ö½:4YÔp4¶¶Ëyg34WŠåQ0ÿ
kŠGáÎaE(Ëx}÷©£1LÑ9ž}ð…¥/âÍõûPlàϘã⋶l™ic‡˜•6ÝÏ¡S«YÏ$|‚Zá;K3ÏýCt¡EapÊ_pœšy¤C´|áÏý=«=øC0h’µÇÀR’\ÚÁëÕs#yñH·Ðx‡¦¬õXÒQ´Ë{Ù�³ûæfÅdE¤6‰`¸EA«!©ª]b‘J±þÔT¯
endstream
endobj
20 0 obj
<>
endobj
21 0 obj
[ 22 0 R]
endobj
22 0 obj
<>
endobj
23 0 obj
<>
endobj
24 0 obj
<>
endobj
25 0 obj
<>
endobj
26 0 obj
[ 27 0 R]
endobj
27 0 obj
<>
endobj
28 0 obj
<>
endobj
29 0 obj
<>
endobj
30 0 obj
<>>>/BBox[ 0 0 442.91 46.063] /Matrix[ 0.16256 0 0 1.5631 0 0] /Length 51>>
stream
q
442.02 0 0 46.949 0 -0.88583 cm
/Image31 Do Q
endstream
endobj
31 0 obj
<>
stream
xœíœ;r;E¹íÁKð
´�;wìT©BgN9œ�ùÝâ)Þjð/Jã{9ü� ûïßB!„B!„ð0v!„>
)ú |.®ÆgA’Žµ£êO{$/|–MÎ’èIù¤~©nþ)6 ê2Žr¥ª#š.H%ÎUu%ô¨¹¬è÷äáku¥/–Sv5áÏŸ?ÉSËo}~Þ³šƒfmiÝERpȨº�ÜõR˜sÞó$¯{®ª_óÅT]Èt7Y««Ïuf†À¹ª®™¨)è‚¢ß�‡«úÅ‹äyBÙ\ž£¾Ð_}u¢\+ªþo¢å„�çæª~�!Uï¹`Á|�ª³Ém:ô\««ÉDªÕ};ú µ±ž×¸V#Ϋï8Cò\«qÓ� õ�Þœ¨º÷b wˆÆ°Â÷ö\cŸúÔ`Ž#œd¢Ÿ”JE°µì÷ŒGIU©V[¿R3ITºòá5
çýf�OL wu¤…w\Iv浪½å‰bo9Gd¨äj¶¹^èÅû*Niõ+-ªsî
O@”•G$Úùן\±fÓ=I¢Ï£ÅFíV·ÂŽGÇÉ°ø^Ój>ôªN ˜=)¬ƒ‹Îª–T¡¼É²‡:°eÖËj£›wô‚‡ í¢k¨‰~µ?+[j¾ê9¶$²p½ª+[juðºüTí©¯ŒVüÍ–éÛR…ƒ®ýÙÝAÕå!n¾·¢ò:»+–Ç�ªª�Þq1Ç?‘Ê+#0^«;n©nUÎè’N}qêbO(Ê“á£Æ2\t?ôš…“«‡Åd¢ç~H¹òdBÅš"˜ÂÔl—·!ÁZÕUËãöÔDI”ù¨ƒŒ+¹Z„>ë/U³ŒÕC9빊@óù•$LÓË^1úI*OÏÑ)€BéMw4e1eÛCìH£$sìŠä†þÛ*Ž®w)ÊÙ²ƒ$6¥TRa¼Ñ•ä}jHmÕ5Vxö4+é/IÐyO¬‘ø¬q5ô�Üè±ê9zèÊè!ç�qì<=ó
õêàU¹6#¦³#Ù?]çI[–O¸Ã½‡ª3o6F�aí ô#·ªúê;¨�½K穤êæèii�Àô‚¬n_E½DW]�ê ;NR÷t}%`NH“ç›GýêjPC»n£êîWuÔ;z^§�ÑkM5V‹`,÷Ío¥âVç&¥eT:ù
KM8Ũ‡u=@¹Tc”dŽ/±ÐX¦™‚YB/ûŽ«ÏG†Æ€¨±þ"¤Ô¶Ž²þöŽ•°7‹‹c‹Í½R.·”©jé<‡¥»¿²$8j®ÓiŒƒÿÛa0]Ù˜ËnŒih~"†°š§™¨:ëöziÍÛ@Sc)#ïª" ü=p^öÔ&ô’;ê+Œß?ºˆa«:˜¶ªêuÇáq«rÃãÈF¢=M7Ï«tŒ’œËžÝ`×i›£ÏA£¸zc@ÜÀ¯q(LÇQÙ6ýâàaµª¥ØA+¶«Ú´Úfi<Ç›ÙQÂ+ilد
You can’t perform that action at this time.
Thuốc Aminopoly Injection có công dụng trong điều trị và phòng ngừa bệnh lý não do gan ở người bệnh bị suy gan mãn tính, điều chỉnh sự rối loạn cân bằng acid admin do bệnh lý gan nặng gây ra và cung cấp dinh dưỡng đường tĩnh mạch trong bệnh gan. Tìm hiểu một số thông tin về công dụng, liều dùng và lưu ý khi sử dụng Cefaxil sẽ giúp người bệnh dùng thuốc an toàn và hiệu quả.
Kegunaan SQL Injection
Bagi penyerang, SQL Injection digunakan sebagai salah satu cara untuk mengakses database korban. Di dalam database ini biasanya berisi data-data yang penting. Jika penyerang berhasil masuk ke database dan memiliki akses yang cukup, penyerang dapat mengambil data-data ini.
Data-data ini bisa digunakan untuk di jual kembali di pasar gelap, melakukan blackmailing kepada seseorang, atau kejahatan keuangan seperti carding dan pinjaman online ilegal.
Video Management Software – Thermal Temperature Detection
iV-Pro VMS-TTD software is designed to work with Thermal Temperature Cameras that supports face recognition and temperature detection of multiple people with a view of thermal imaging and video with temperature detection’s. The software is compatible with only iV-Pro Models of Thermal Cameras.
Compatible Models: iV-CO2TMPFD-TH-Ai
Updated: 16th Jan 2022
Device Manager is used to search for IP addresses of iV-Pro DVRs NVRs and iP Cameras. It also gives the access to change the iP addresses and reset.
Updated: 16th Jan 2022
The Player is designed to play all H.264, H.265 and AVI files downloaded from the Video Recorder or the iP Cameras.
Updated: 16th Jan 2022
The tool can be used to convert H.264 and H.265X files to MP4 and AVI Format, so it can be played in general video players
Updated: 16th Jan 2022
Video Management Software – Lite Version
iV-Pro VMS Lite is faster and light on your computer systems designed to work with AHD & Network iP-HD cameras in order to provide video surveillance, recording settings and tour management functions. The interface of iV-Pro’s VMS Lite is very easy to use, intuitive, with easy access to the most common activities, such as viewing live video, searching through recordings and exporting videos and snapshots. The VMS Software is able to integrate with other devices through ONVIF and you can connect up to 64 cameras. The new features include Net detect, Stream Statistics and additional functions for iP-HD Cameras.
Compatible Models: All iV-Pro Video Recorders and iP-HD Cameras
Updated: 16th Jan 2022
Tidak Melakukan Validasi Input
SQL Injection biasanya terjadi karena developer tidak membersihkan input atau masukan dari pengguna. Sebagai developer yang baik, kita harus selalu curiga terhadap input yang berasal dari pengguna. Kita tidak boleh percaya begitu saja apa yang diberikan oleh pengguna.
Tidak Ada Pembatasan Akses Database
Selain itu, SQL Injection menjadi sangat berbahaya kalau berhasil dilakukan jika developer tidak membatasi akses pada database. Akses suatu user pada database haruslah memiliki akses yang sesedikit mungkin (least privilege rule). Jika website kamu hanya dapat membaca database, maka user yang digunakan untuk mengakses database haruslah hanya memiliki akses baca. Jangan berikan juga akses tulis atau bahkan admin!
Thận trọng khi dùng thuốc Aminopoly Injection
Khi sử dụng thuốc Aminopoly Injection cần thận trọng dùng cho các đối tượng sau:
Lưu ý: Việc sử dụng Ceftarol đồng thời với các thuốc khác có thể xảy ra tình trạng tương tác làm ảnh hưởng đến hiệu quả điều trị hoặc gia tăng tác dụng phụ của mỗi loại thuốc. Do đó, để tránh xảy ra các tương tác không mong muốn khi sử dụng Ceftarol, người bệnh hãy thông báo với bác sĩ/ dược sĩ tất cả những loại thuốc, thực phẩm chức năng, vitamin hay thảo dược... đang dùng để có chỉ định phù hợp.
Trên đây là toàn bộ thông tin về thuốc Aminopoly Injection, người bệnh cần đọc kỹ hướng dẫn sử dụng, tham khảo ý kiến của bác sĩ/ dược sĩ trước khi dùng. Lưu ý, Aminopoly Injection là thuốc kê đơn, người bệnh cần sử dụng thuốc theo chỉ định của bác sĩ, tuyệt đối không được tự ý điều trị tại nhà.
Penjelasan SQL Injection
Ditulis 2 Oktober 2020
Sebuah web biasanya memiliki database di belakangnya. Kebanyakan database tersebut menggunakan bahasa SQL untuk membaca dan mengambil data. Web server menggunakan membuat SQL lalu memberikannya kepada database. Namun, kadang, developer lupa bahwa SQL yang dibuat berpotensi disusupi SQL asing yang jahat.
SQL Injection adalah salah satu serangan yang dapat digunakan oleh pihak tidak bertanggungjawab untuk mengakses suatu database dengan cara menyisipkan SQL jahat. Jika berhasil, pihak tersebut dapat memiliki akses ke database target, membaca dan menulis data, bahkan menrusak database target.
Menurut OWASP, penyerangan jenis injection ini adalah penyerangan yang sering terjadi di dunia maya dan pada web application. OWASP adalah salah satu organisasi yang bergerak di bidang keamanan digital dan banyak memberikan rekomendasi serta panduan untuk mengamankan website.
Perang melawan Bulgar
Pada tahun 680, Konstantinus IV memimpin pasukan Bizantium melawan Kekaisaran Bulgar Pertama. Pasukan Bizantium berhasil memenangkan pertempuran, tetapi Konstantinus IV terluka parah dan terpaksa kembali ke Konstantinopel.
Konstantinus IV dikenal sebagai kaisar yang bijak dan adil. Ia memperkuat kekuatan angkatan laut Bizantium dan memperbaiki sistem pertahanan kekaisaran. Ia juga memperkuat kekuasaan patriark Konstantinopel dan memperbaiki hubungan antara Kekaisaran Bizantium dan Gereja Ortodoks.
Konstantinus IV menikah dengan Anastasia, dan mereka memiliki dua orang putra, yaitu Yustinianus II dan Herakleios. Yustinianus II kemudian menjadi Kaisar Bizantium setelah kematian Konstantinus IV.
Konstantinus IV meninggal pada tanggal 10 Juli 685, setelah menderita penyakit yang berkepanjangan. Ia digantikan oleh putranya, Yustinianus II, yang berusia 16 tahun saat itu.
Theophanes, Chronographia.
Media tentang Constantine IV di Wikimedia Commons
Sebelum kita masuk lebih dalam ke arah SQL Injection, kita perlu tahu terlebih dahulu apa itu SQL. SQL merupakan singkatan dari Structured Query Language yang merupakan bahasa pemrograman untuk mengakses dan memanipulasi database. Database atau basis data sendiri merupakan sekumpulan data yang dikelola sedemikian rupa dengan ketentuan-ketentuan tertentu sehingga menjadi data yang terorganisir. Setelah kita memahami apa itu SQL dan database, sekarang kita akan lanjut ke SQL Injection. SQL Injection adalah sebuah teknik penyerangan terhadap kelemahan atau celah yang dimiliki oleh SQL. Penyerangan tersebut memanfaatkan celah dimana user dapat menginputkan karakter apapun yang berarti user dapat memasukkan command atau query SQL dengan tujuan untuk mendapatkan informasi penting yang berada di dalam database, seperti data personal dari user lain, login sebagai user lain, atau bahkan sebagai admin.
Cara Kerja SQL Injection
SQL Injection memanfaatkan input yang tidak difilter oleh suatu website. Oleh karena itu, attacker dapat menginputkan tanda ‘ (petik satu) yang biasanya dimasukkan melalui input bar, seperti yang ada pada login page. Petik satu yang diinputkan akan merusak susunan atau syntax dari command atau query SQL. Misalnya terdapat command atau query SQL sebagai berikut:
passwd = request.POST[‘password’]
sql = “SELECT id FROM users WHERE username=’” + uname + “’ AND password=’” + passwd + “’”
database.execute(sql)
Apabila attacker memasukkan petik satu ke dalam input bar password, maka nantinya petik satu akan masuk ke dalam variabel passwd dan akan digunakan oleh variabel sql untuk validasi login. Petik satu tersebut akan merubah query SQL menjadi seperti berikut:
Query tersebut akan menimbulkan error karena terdapat satu petik yang tidak ditutup dengan petik satu lainnya. Karena attacker dapat menginputkan petik satu, maka attacker dapat memasukkan validasi dimana program akan selalu memberikan nilai true dengan menggunakan query “ ‘ or 1=1 — ”. 1=1 akan selalu memberikan nilai true dan “–” merupakan tanda comment di SQL, yang digunakan untuk membuat query selanjutnya tidak digunakan. Apabila kita coba masukkan ke dalam query SQL di atas, maka akan jadi seperti ini:
Query di atas tidak akan menimbulkan error, karena petik satu yang sebelumnya tidak ditutup menjadi comment dengan menggunakan double dash “–”. Karena program akan memberikan nilai true, maka attacker dapat login menjadi user lain hanya dengan menggunakan SQL Injection sederhana.
Exploit SQL Injection
Setelah Mengetahui apa itu SQL dan cara kerja dari SQL Injection, sekarang kita lihat bagaimana sih contoh SQL Injection sederhana. Di sini, saya akan mempraktikkan cara menyelesaikan challenge picoCTF 2019 yang bernama “Irish-Name-Repo 3” yang dapat diakses di link berikut (http://2019shell1.picoctf.com:12271/).
Pada halaman utama web tersebut hanya ditemukan gambar-gambar dan sedikit text. Namun, ketika membuka menu, didapatkan sebuah pilihan yang menarik, yaitu “Admin Login”.
Ketika dibuka, terlihat sebuah form password untuk menjadi admin. Menarik sekali!
Pertama-tama, kita melakukan Inspect Element pada bagian form tersebut dan didapatkan hasil seperti berikut.
Dari form tersebut, didapat dua buah input yang dikirim ke dalam server. Pertama adalah password dan yang kedua adalah debug yang bernilai default 0. Menarik, kita coba ubah nilai debug menjadi 1 dan memasukkan password “test”.
Didapatkan hasil yang menarik, password awal kita “test” berubah menjadi “grfg”, sepertinya password tersebut telah dienkripsi dan terlihat SQL query-nya.
Kita coba masukkan password “abcdef” dan mengubah nilai debug menjadi 1 dan didapatkan hasil yang lebih jelas. Hasil enkripsi password menjadi “nopqrs” yang mana berurutan dan dapat disimpulkan bahwa enkripsi yang digunakan adalah ROT13 (menggeser input sebanyak 13 karakter).
Kita coba masukkan SQL Injection sederhana ‘ OR 1=1 —. Namun, sebelum melakukan injection, terlebih dahulu kita melakukan enkripsi ROT13 ke dalam SQL Injection kita sehingga menjadi ‘ BE 1=1 —. Kemudian, kita masukkan injection tersebut ke dalam form password dan mengubah nilai debug menjadi 1 sehingga didapatkan hasil sebagai berikut.
SQL Injection berhasil dilakukan dan kita sekarang berhasil menjadi admin.
