[help] Website kena inject mysql

punjabi · 16 Feb 2016

Terima kasih atas response-nya mastah sekalian,
Untuk domainnya : www dot getjobs dot co -- login lewat /admin/login.php ( Script develop sendiri pakai smarty framework )
Vps pakai Knownhost
Server WHM 54.0 (build 15) , user root

Mohon arahannya ya, beberapa kali kena inject Mysql. Terima Kasih

Salam,
Nugroho

Galaxy Hosting · 16 Feb 2016

punjabi said:
Server WHM 54.0 (build 15) , user root

Coba masuk ke root WHM --> SQL Services --> MySQL Root Password
Lalu rubah passwordnya.

kemudian login ke ssh root anda dan jalankan perintah berikut :
/usr/local/cpanel/bin/updatephpmyadmin --force

Karena jika install dan gk dirubh password SQL-nya, itu SQL servermu memakai password standard.
Selesai.

Dan apakah itu VPS hanya untuk web km sendiri atau juga km jual sebagai shared hosting?

ozancakep · 17 Feb 2016

Mohon ijin maaf apabila salah kesalahan pada login tersebut karena tidak ada filter pada baris sql sehingga ketika memasukan user serta password sperti ini ' or 1=1 limit 1 -- -+ dia tidak terfilter dengan baik , tersebut dalam kasus ini ialah byapass login seperti kasus dalam blog ini
http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html
mungkin referensi juga bisa di lihat di sini http://iddrus-mb.blogspot.co.id/2012/03/sql-injectionlogin-bypass.html

serta sedikit buat patching sql inject http://andrian21.blogspot.co.id/2011/08/sql-injection-patching-for-php-mysql.html

mohon maaf apabila ada salah kata-kata sekian terimaksih

paijo2 · 17 Feb 2016

cara paling mudah dan simple untuk mencegah mysql injection baik blind atau mysql injection biasa, bisa dg mematikan display error di php.ini

punjabi · 17 Feb 2016

Galaxy Hosting said:
Coba masuk ke root WHM --> SQL Services --> MySQL Root Password
Lalu rubah passwordnya.

kemudian login ke ssh root anda dan jalankan perintah berikut :
/usr/local/cpanel/bin/updatephpmyadmin --force

Karena jika install dan gk dirubh password SQL-nya, itu SQL servermu memakai password standard.
Selesai.

Dan apakah itu VPS hanya untuk web km sendiri atau juga km jual sebagai shared hosting?

Sudah saya ganti mas sesuai saran anda dan VPS hanya dipakai sendiri,
untuk /usr/local/cpanel/bin/updatephpmyadmin --force ini maksudnya apa ya mas, sudah saya jalankan di ssh

Abang Noob · 17 Feb 2016

punjabi said:
Assalamualaikum wr wb,

Mohon bantuannya mastah-mastah, bagaimana memprotect supaya website ga kena inject mysql,
Beberapa kali pas peak visitor selalu saja ada yang iseng nginject database saya atau mungkin lewat login.

Saya sudah baca sana sini kok belum ada pencerahan, mungkin kalau lewat sini ada mastah yang bersedia sharing ilmunya bagaimana untuk protectnya,

Yang inject sih orang kita juga, dia bilang securitynya masih bolong tuh..tapi ga mau ngasih tahu gimana protecnya..iseng banget

Terima kasih sebelumnya mastah, saya berharap ada bersedia bantu saya, untuk websitenya nanti saya infokan lewat PM

Salam,
Nugroho

ini kena inject-nya gimana?
cracker bisa ubah isi table tanpa harus login? atau cracker bisa login tanpa pakai username dan password admin?

saran saya itu login.php ditambahin aja HTTP auth, bisa juga untuk mengamankan agar tidak di-bruteforce.

idnix · 17 Feb 2016

ozancakep said:
Mohon ijin maaf apabila salah kesalahan pada login tersebut karena tidak ada filter pada baris sql sehingga ketika memasukan user serta password sperti ini ' or 1=1 limit 1 -- -+ dia tidak terfilter dengan baik , tersebut dalam kasus ini ialah byapass login seperti kasus dalam blog ini
http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html
mungkin referensi juga bisa di lihat di sini http://iddrus-mb.blogspot.co.id/2012/03/sql-injectionlogin-bypass.html

serta sedikit buat patching sql inject http://andrian21.blogspot.co.id/2011/08/sql-injection-patching-for-php-mysql.html

mohon maaf apabila ada salah kata-kata sekian terimaksih

ngerih.. staff m*n emang ngerih2

GPLHosting · 17 Feb 2016

@punjabi penanganan untuk sementara, di filter saja pada form login-nya .. filter terhadap karakter khusus. Kasih maksimum karakter, misalnya 8 karakter.

Mau yg lebih advanced lagi, query SQL-nya harus pakai SP (Stored Procedure) .. dijamin gak bakal ada yang inject2 lagi

Query jg jadi lebih ringan.

punjabi · 18 Feb 2016

ozancakep said:
Mohon ijin maaf apabila salah kesalahan pada login tersebut karena tidak ada filter pada baris sql sehingga ketika memasukan user serta password sperti ini ' or 1=1 limit 1 -- -+ dia tidak terfilter dengan baik , tersebut dalam kasus ini ialah byapass login seperti kasus dalam blog ini
http://www.securityidiots.com/Web-Pentest/SQL-Injection/bypass-login-using-sql-injection.html
mungkin referensi juga bisa di lihat di sini http://iddrus-mb.blogspot.co.id/2012/03/sql-injectionlogin-bypass.html

serta sedikit buat patching sql inject http://andrian21.blogspot.co.id/2011/08/sql-injection-patching-for-php-mysql.html

mohon maaf apabila ada salah kata-kata sekian terimaksih

Supeerr...sudah saya perbaiki mas, Thanks Bangets

GPLHosting · 18 Feb 2016

Good job om @punjabi
Tingkatkan lagi pengetahuan coding PHP nya, terutama pada soal securitynya, authentication, authorization, RBAC, session penting utk di perhatikan.

Dan terimakasih utk tidak langsung men-judge bhw ini kesalahan pihak hosting, sebagaimana para newbie lainnya dgn mudah menuduh.

[help] Website kena inject mysql

punjabi

Beginner 2.0

Galaxy Hosting

Apprentice 2.0

ozancakep

Beginner 1.0

paijo2

Apprentice 1.0

punjabi

Beginner 2.0

Abang Noob

Poster 2.0

idnix

Hosting Guru

GPLHosting

Hosting Guru

punjabi

Beginner 2.0

GPLHosting

Hosting Guru