Patch Sql Injection [ Session 3/Final ] [Akses Module]

Pada session ke tiga ini ( session Final ), di karena di cms sebagai percobaan dulu akses module-nya dah bagus. Nah saya kebetulan dapat PR dari Kang Nathan kepada sebuah CMS yang mana akses modulenya no filter.

Kali ini terjadi kesalah program yang mana akses sebuah module belum difilter. Perhatikan gambar berikut ini :

Continue reading

Hack Account Speedy dan Pencegahannya

Selamat Berjumpa & MyFIRST Artikel

Note : “Bagi yang udah master-master mungkin dah basi, tapi g apalah untuk memperkuatingatan kita akan bahayanya security Account Speedy. Sebelum kita bahas lebih jauh, Penulis mengharap kepada semua pembaca bahwa ini hanyalah sebagai pembelajaran. Segala penyalah gunaan dari tutorial ini sepenuhnya ditanggung sendiri oleh pribadi masing-masing”

Continue reading

Patch Sql Injection [ Session 2 ] [cmsmadesimple]

[ Filter Karakter Negativ Number ]

Pada kali ini saya akan melanjutkan patch pada session 1. Pada session 1 (http://h4nk.net/hacking/patch/patch-sql-injection-session-1-cmsmadesimple.html or https://xpssolo.files.wordpress.com/2010/11/411.jpgpatch-sql-injection-session-1-cmsmadesimple ), kita telah berhasil melakukan patch penambahan karakter variabel selain INT atau pemasukan kode kematian..

Ternyata patch tersebut tidak efiesien karena masih ada celah yang bisa saya temukan yaitu Negative Number. Karena saya hanya filter variabel Int aja. Tentu Variabel tersebut mempunya nilai negative.

http://localhost/cmsmadesimple/stylesheet.php?templateid=-10

Terlihat dengan jelas masih menampilkan errornya…

Continue reading

Patch Sql Injection [ Session 1 ] [cmsmadesimple]

[ Filter Karakter selain INT ]

Terdapatnya banyak kontroversi pada Team Gerandong, kontra yang terdapat banyak tentang patch websites. Kali ini saya akan mencoba mem-patch websites dengan menggunakan target cmsmadesimple..

Sebelumnya kali ini profil korban adalah sebagai berikut :

Nama : cmsmadesimple

Website : http://www.cmsmadesimple.org/

Host IP: 127.0.0.1

Web Server: Apache/2.2.3 (Win32) PHP/5.1.5

Powered-by: PHP/5.1.6

DB Server: MySQL >=5

Benar, saya melakukan patch di lakukan pada localhost. Karena biar tidak ada kesalah paham nantinya..

Di sini saya belum ada melakukan pengeditan alias masih standart bgt loh 😀

Berikut ini adalah tampilan awalnya :

Perlengkapan perang yang saya gunakan adalah :

Havij 1.2
Acunetix
Adobe Dreamweaver CS4 atau notepad ++ ( terserah apa yang anda gunakan, untuk melakukan pengeditan source )
Kopi segelas
Insting
Doa

Continue reading

Hacking Mesin ATM 2010

Penulis Artikel : Nathan Gusti Ryan

Dalam sebuah Seminar / konferensi BlackHat Security Conference 2010 di Las Vegas, seorang Security Ivestigator bernama “Barnaby Jack” ( Director of Research at IOActive Labs) men-demo-kan Hacking mesin ATM hingga memuntahkan semua ISI uang yang ada dalam mesin ATM tersebut. Tahun 2009 lalu celah keamanan mesin ATM sudah jadi rumor namun Demo Hacking ATM tahun 2009 gagal alias di tunda, sehingga Hacking ATM Machine di anggap issu atau isapan jempol belaka ( khususnya dari pihak Banking yach…). Tapi tahun 2010 ini celah keamanan tersebut di tunjukkan dengan nyata…

Continue reading