sql injection pada www.bkpmdsumut.go.id
Lagi lagi banyak terdengar di Jasakom maupun forum atau web lain bahwa telah di deface website pemerintah berdomain .go.id . Mungkin di akibatkan karena kemalasan para orang IT pemerintah , ataupun karena kekurang pedulian mereka pada security website pemerintah sehingga sering di deface .
Awal nya saya iseng iseng baca di Jasakom postingan nya tomahawk_underground yang berjudul "SQL injection (lagi dan lagi) di situs pemerintah" . Dia memasukan perintah sql pada address bar , sedangkan kali ini saya hanya menggunakan sql injection di form login administrator .saya pengen tau semudah apa ngedeface website pemerintah.
iseng - iseng saya buka google trus masukin syntax "inurl:.go.id/admin/index.php" (tanpa tanda kutip), karena standarnya ada di folder admin atau administrator. Lalu mata saya tertuju pada http://www.bkpmdsumut.go.id/admin/ . Akhirnya saya sampai di form login , lalu saya masukan
username : 1' or '1=1'/*
password : 1' or '1=1'/*
akhirnya saya di bawa ke halaman admin seperti gambar di bawah ini .
Lalu saya mengklik menu "Tambah berita terbaru" untuk memposting berita . saya masukan pesan saya seperti gambar di bawah ini .
setelah selesai saya membuka tab baru dan masuk ke halaman http://www.bkpmdsumut.go.id/index1.php untuk melihat hasil potingan . Dan postingan saya terlihat seperti gambar di bawah ini .
Apakah seperti ini sebuah website atas nama pemerintah dengan mudahnya bisa di jebol oleh saya yang sangat tidak paham sql maupun teknik web attack lainnya . Celakanya kalau ada hacker - hacker yang canggih dari luar negeri trus dia ngerusak seluruhnya , mau dikemanain muka pemerintahnya . Sekarang saja saya sering melihat hacker turki lalu lalang dan kadang mendeface website indonesia .
Dan untuk para hacker indonesianya juga harus melindungi website pemerintah jangan diam aja.
Awal nya saya iseng iseng baca di Jasakom postingan nya tomahawk_underground yang berjudul "SQL injection (lagi dan lagi) di situs pemerintah" . Dia memasukan perintah sql pada address bar , sedangkan kali ini saya hanya menggunakan sql injection di form login administrator .saya pengen tau semudah apa ngedeface website pemerintah.
iseng - iseng saya buka google trus masukin syntax "inurl:.go.id/admin/index.php" (tanpa tanda kutip), karena standarnya ada di folder admin atau administrator. Lalu mata saya tertuju pada http://www.bkpmdsumut.go.id/admin/ . Akhirnya saya sampai di form login , lalu saya masukan
username : 1' or '1=1'/*
password : 1' or '1=1'/*
akhirnya saya di bawa ke halaman admin seperti gambar di bawah ini .
Lalu saya mengklik menu "Tambah berita terbaru" untuk memposting berita . saya masukan pesan saya seperti gambar di bawah ini .
setelah selesai saya membuka tab baru dan masuk ke halaman http://www.bkpmdsumut.go.id/index1.php untuk melihat hasil potingan . Dan postingan saya terlihat seperti gambar di bawah ini .
Apakah seperti ini sebuah website atas nama pemerintah dengan mudahnya bisa di jebol oleh saya yang sangat tidak paham sql maupun teknik web attack lainnya . Celakanya kalau ada hacker - hacker yang canggih dari luar negeri trus dia ngerusak seluruhnya , mau dikemanain muka pemerintahnya . Sekarang saja saya sering melihat hacker turki lalu lalang dan kadang mendeface website indonesia .
Dan untuk para hacker indonesianya juga harus melindungi website pemerintah jangan diam aja.
Posting Komentar
Kalau ingin berkomentar paka saja akun anonim