PDF download Unduh PDF PDF download Unduh PDF

Cara terbaik untuk memastikan pangkalan data ( database ) Anda aman dari serangan peretas adalah dengan berpikir layaknya peretas. Jika Anda adalah peretas, informasi seperti apa yang dicari? Bagaimana cara mendapatkan informasi tersebut? Ada berbagai jenis pangkalan data dan beragam cara untuk meretasnya, tetapi sebagian besar peretas akan mencoba menemukan kata sandi akar atau menjalankan eksploitasi pangkalan data yang telah diketahui. Anda bisa meretas pangkalan data jika terbiasa dengan pernyataan SQL dan memahami dasar-dasar pangkalan data.

Metode 1
Metode 1 dari 3:

Menggunakan Injeksi SQL

PDF download Unduh PDF
  1. [1] Anda harus mengerti pernyataan-pernyataan pangkalan data untuk dapat menggunakan cara ini. Buka layar log masuk web pangkalan data di peramban web Anda dan tik (tanda kutip tunggal) ke kotak nama pengguna. Klik “ Login .” Jika Anda melihat pesan galat yang bertuliskan “ SQL Exception: quoted string not properly terminated ” atau “ invalid character ,” artinya pangkalan data rentan terhadap SQL.
  2. [2] Kembali ke halaman log masuk pangkalan data (atau URL lainnya yang berakhiran “id=” atau “catid=”) dan klik pada kotak alamat peramban. Di akhir URL, tekan spasi dan tik order by 1 , kemudian tekan Enter . Tingkatkan angkanya menjadi 2 dan tekan Enter . Teruskan menambah angka sampai mendapatkan pesan galat. Angka kolom sebenarnya adalah angka yang dimasukkan sebelum angka yang memunculkan pesan galat.
  3. Di akhir URL pada kotak alamat peramban, ubah catid=1 atau id=1 menjadi catid=-1 atau id=-1 . Tekan tombol spasi dan tik union select 1,2,3,4,5,6 (jika terdapat 6 kolom). Angkanya harus berurut sampai ke jumlah total kolom, dan setiap angka dipisahkan koma. Tekan Enter dan Anda akan melihat angka-angka dari setiap kolom yang menerima permohonan.
  4. Sebagai contoh, kalau Anda ingin mengetahui siapa pengguna saat ini dan meletakkan injeksi di kolom 2, hapuskan semua teks di URL setelah id=1 dan tekan tombol spasi. Setelah itu, tik union select 1,concat(user()),3,4,5,6-- . Tekan Enter dan Anda akan melihat nama pengguna pangkalan data saat ini di layar. Gunakan pernyataan SQL yang diinginkan untuk mengembalikan informasi, misalnya daftar nama pengguna dan kata sandi untuk diretas.
    Iklan
Metode 2
Metode 2 dari 3:

Meretas Katas Sandi Akar Pangkalan Data

PDF download Unduh PDF
  1. Sebagian pangkalan data tidak memiliki kata sandi akar (admin) awal sehingga Anda mungkin bisa mengosongkan kotak kata sandi. Sebagian pangkalan data memiliki kata sandi awal yang bisa diperoleh dengan mudah dengan mencari di forum layanan bantuan teknis dari pangkalan data.
  2. Apabila admin mengunci akun dengan kata sandi (kemungkinan besar demikian), coba kombinasi nama pengguna/kata sandi yang biasa digunakan. Beberapa peretas mengeposkan daftar kata sandi ke sarana publik yang mereka retas menggunakan perangkat audit. Cobalah berbagai kombinasi nama pengguna dan kata sandi.
    • Situs tepercaya yang memiliki daftar kata sandi terkait adalah https://github.com/danielmiessler/SecLists/tree/master/Passwords.
    • Mencoba kata sandi satu per satu dapat memakan waktu lama, tetapi layak dicoba sebelum menggunakan cara yang lebih drastis.
  3. [3] Anda bisa menggunakan berbagai perangkat untuk mencoba ribuan kombinasi kata dalam kamus dan huruf/angka/simbol secara paksa sampai kata sandi terpecahkan.
    • Perangkat seperti DBPwAudit (untuk Oracle, MySQL, MS-SQL dan DB2) dan Access Passview (untuk MS Access) merupakan perangkat audit kata sandi yang populer dan dapat digunakan untuk sebagian besar pangkalan data. [4] Anda juga bisa mencari perangkat audit kata sandi terbaru yang khusus untuk pangkalan data Anda melalui Google. Sebagai contoh, coba cari password audit tool oracle db jika ingin meretas pangkalan data Oracle.
    • Jika memiliki akun di server yang mengehos pangkalan data, Anda bisa menjalankan program hash cracker seperti John the Ripper pada berkas kata sandi pangkalan data. Lokasi berkas hash tergantung pada pangkalan data terkait. [5]
    • Unduh program hanya dari situs yang tepercaya. Riset perangkat dengan saksama sebelum digunakan.
    Iklan
Metode 3
Metode 3 dari 3:

Menjalankan Eksploitasi Pangkalan Data

PDF download Unduh PDF
  1. [6] Sectools.org telah mendokumentasi perangkat keamanan (termasuk ekploitasi) selama lebih dari 10 tahun. Perangkat ini umumnya tepercaya dan banyak digunakan oleh administrator sistem di seluruh dunia untuk pengujian sistem keamanan. Tengoklah pangkalan data “ Exploitation ” (eksploitasi) di situs ini atau situs tepercaya lainnya untuk menemukan perangkat atau berkas teks lainnya yang membantu Anda mengeksploitasi titik lemah di sistem keamanan pangkalan data.
    • Situs lain yang mendokumentasi eksploitasi adalah www.exploit-db.com. Kunjungi situs tersebut dan klik tautan Search (pencarian), lalu cari jenis pangkalan data yang ingin diretas (misalnya, “oracle”). Tik kode Captcha di kotak yang diberikan dan lakukan pencarian.
    • Pastikan Anda meriset semua eksploitasi yang ingin dicoba untuk mengetahui cara mengatasi semua masalah yang dapat terjadi.
  2. [7] Wardriving adalah berkendara (atau bersepeda, atau berjalan-jalan) di sekeliling area sembari menjalankan perangkat pemindaian jaringan (misalnya NetStumbler atau Kismet) untuk mencari jaringan yang keamanannya lemah. Cara ini secara teknis ilegal.
  3. Jika Anda melakukan sesuatu yang tidak semestinya, sebaiknya jangan lakukan dari jaringan pribadi Anda. Gunakan jaringan terbuka secara nirkabel yang ditemukan sembari melakukan wardriving dan jalankan eksploitasi yang telah diriset dan dipilih.
    Iklan

Tips

  • Selalu simpan data sensitif di balik firewall .
  • Pastikan Anda melindungi jaringan nirkabel dengan kata sandi sehingga para pelaku wardrive tidak bisa menggunakan jaringan rumah Anda untuk menjalankan eksploitasi.
  • Minta berbagai kiat dari peretas lain. Terkadang, ilmu peretasan terbaik tidak disebarluaskan di internet.
Iklan

Peringatan

  • Pahami hukum dan konsekuensi peretasan di negara Anda.
  • Jangan pernah mencoba mendapatkan akses ilegal terhadap mesin dari jaringan Anda sendiri.
  • Mendapatkan akses pada pangkalan data yang bukan milik Anda termasuk tindakan ilegal.
Iklan

Tentang wikiHow ini

Halaman ini telah diakses sebanyak 60.023 kali.

Apakah artikel ini membantu Anda?

Iklan