__ ________ ____ ________ _____
____ _____ |__| ___________ ____ ____/ __ \/_ / __ \/ | |
/ _ \ / \| |/ ___\_ __ \/ _ \ / \____ / | \____ / | |_
( <_> ) Y Y \ \ \___| | \( <_> ) | \ / / | | / / ^ /
\____/|__|_| /__|\___ >__| \____/|___| //____/ |___| /____/\____ |
\/ \/ \/ |__|
|
[ sqli-patch ]
By omicron9194
[at] 2009-08-18
>> Cari bugnya misal :
www.bugsite.com/berita_selengkapnya.php?id=$id
>> berarti bug terdapat pada file berita_selengkapnya.php
>> masuk ke berita_selengkapnya.php
>> perhatikan line 92,string code pada id adalah bugnya
patch..patch...tambahkan filter di atas line tsb,yaitu di line 91
>> ada banyak cara yg di lakukan,beberapa diantaranya :
>> mencegah agar nilai id tdk ada minus :
if ($id<0)
{ echo "pesan";
}
>> buat pembatasan length input pada id :
if ($id>3) {
echo "pesan";
}
utk pesan,bisa dgn javascript,dll , terserah dgn kreativitas masing2.
more secure >>
+ buat $id sebagai karakter,jgn berupa angka
+ tambahkan filter seperti yg di atas
+ buat halaman admin dengan nama dan location yg tidak lazim
+ buat fake admin page di dalamnya buat script maenan biar si attacker jadi stres :p
your ip is 38.107.191.104
with CCBot/1.0 (+http://www.commoncrawl.org/bot.html)
omicron9194
send all submissions to omicron9194@yahoo.com
Copyright © 2010 omicron9194 | |
|