SQL Blind adalah salah satu teknik serangan website yang paling marak saat ini setelah LFI (Local File Inclusion) yang seranganya termasuk bersifat fatal pada web yang vulnerable, dikarenakan dengan tehnik ini scanner bisa mendapatkan username dan password yang tersimpan dalam database baik MySQL, MsSQL dan Ms Access. Tehnik penyerangan biasanya menggunakan bot untuk mengumpulkan target dari search engine dan menyisipkan petik (=> ' <=) pada akhir url target,
Contoh : http://www.target.com/chart.php?orderinfo=4′
Dan bila target yang disisipkan tanda petik pada akhir urlnya memberikan respon error database di tampilan halamanya berarti situs target tersebut rentan terhadap serangan ini. Cara pencegahan SQL Blind edit file php.ini :
- Mengkonfigurasi php.ini dan pastikan tag magic_quote_gpc = on.
- Menyembunyikan pesan error pada tag display_errors = Off atau bisa juga pada source php kita di tambahi script ini error_reporting(0); .
- Menggunakan Framework untuk standarisasi code sebagai contoh mengaktifkan modul curl, dengan modul ini serangan sql blind tidak akan mempan lagi.
- Membuat password admin yang komplek seperti "b1N3k4%1a" serta di encrypt dengan crypter one way yang sulit di decrypt, seperti salt, md5, blowfish dsb.
Demikian sedikit corat coret dari saya semoga bermanfaat.
Tidak ada komentar:
Posting Komentar