jump to navigation

Melakukan tracing system database yang digunakan January 16, 2009

Posted by Herwin Anggeriana in IT Knowledge.
trackback

Melakukan tracing suatu system database yang digunakan dalam aplikasi web terkadang jauh lebih rumit daripada melakukan tracing suatu system dari web server.
Perhatikan 2 contoh URL berikut ini :

1.       http://www.contoh.com/private/artikel.php?id=50

2.       http://www.contoh1.com/private/artikel.cfm?id=3&page=1

 

Pada URL yang ke-1, kita dapat mengetahui system web server yang digunakan yaitu PHP, dan untuk URL yang ke-2, kita juga dapat melihat pada exstension terakhir yaitu ColdFusion.
So bagaimana kita melakukan tracing system databasenya ?
http://www.contoh.com/private/artikel.php?id=* ] , kemudian eksekusikan->

Pada URL yang ke-1, mari kita berikan suatu syntax URL yang memaksa web server tersebut memberikan error, tentu saja dengan tujuan web server tersebut memberikan informasi error perihal system database yang digunakan.
Untuk URL yang ke-1, kita coba subtitusikan parameter ID dari sebuah nilai menjadi satuan karakter atau huruf [ contoh :

Maka web server tersebut akan menghasilkan suatu informasi “error” yaitu :
— Warning Supplied argument is not valid MySQL result resources in /home/contoh/www/private/index on line 334

— Warning Supplied argument is not valid MySQL result resources in /home/contoh/www/private/index on line 20

 

Sekarang kita melakukan hal yang sama terhadap URL yang ke-2, yaitu melakukan subtitusi parameter ID dari sebuah nilai menjadi satuan karakter atau huruf [ contoh : http://www.contoh1.com/private/artikel.cfm?id=xx ], kemudian eksekusikan ->

Maka web server akan menghasilkan informasi “error” yaitu :

–Error Diagnostic Information

   ODBC Error code = $00022 (Column not found)

   [Microsoft][ODBC SQL Server Driver][SQL Server] invalid column name ‘xx’

Bla..bla..bla..bla.. dan sebagainya informasi “error” tersebut akan keluar.

 

Dengan informasi “error” pengembalian dari web server tersebut, kita dapat mengetahui system database jenis apa yang digunakan.
Untuk URL yang ke-1 kita dengan mudah dapat melihat bahwa database yang digunakan adalah MySQL.
Untuk URL yang ke-2 adalah database SQL, dengan jembatan koneksinya melalui ODBC.

 

Dengan informasi “error” tersebut, anda bukan saja dapat mengetahui jenis system database yang digunakan, tetapi juga dapat mengetahui berapa besar kerusakan yang ditimbulkan. Bahkan jika anda sungguh kejam, anda dapat melakukan request URL yang menyebabkan eksekusi remote dengan hak akses “Administrator”

 

Comments»

No comments yet — be the first.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s