Kenapa di Facebook Bisa Begitu

Tadi ada temen gw yang nanya soal kasus kayak gambar di atas ini ke gw. Belakangan ini kayaknya di FB mulai rame nyuruh-nyuruh orang copas gabungan simbol & angka kayak yang di gambar itu & disuruh ngehapus tanda ‘+’ yang dijepit tanda ‘@’ & tanda ‘[‘ sejak triknya dimuat di 9gag & MemeBase.

Buat kasus temen gw ini, dia ngopas string “@+[221963043603:0]” & ngehapus tanda ‘+’ yang ada di situ. Tapi pas tanda ‘+’ udah dihapus & status atau komen yang diketik dipost, yang keluar bukan “@[221963043603:0]”, tapi link ke grup FB Saya BANGGA menjadi orang INDONESIA! (I am PROUD to be INDONESIAN!). Kenapa bisa begitu? JENG JENG JENG!

Continue reading

SQL Injection

SQL injection ini salah satu cara yang bisa dipake buat ngejebol website, tapi sekarang-sekarang ini sih kebanyakan website securitynya udah lumayan bagus & rada susah buat make SQL injection. Buat ngelakuin SQL injection, kita bisa pake inputan text box di web page yang jadi target. Anggep aja kita mau nyoba SQL injection di halaman login website X yang punya text box untuk login form & tabel user yang isinya field user_id & password. Query SQL yang dijalanin dalam databasenya kira-kira begini nanti.

SELECT * FROM user WHERE user_id='(isi text box username)' AND password='(isi text box password)';

Untuk password, kemungkinan isi databasenya udah dienkripsi (biasanya pake enkripsi MD5), jadi yang dibandingin dengan isi databasenya nanti data password yang udah dienkripsi juga. Tapi anggep aja kita nggak pake enkripsi untuk passwordnya kali ini. Kalo kita login sebagai user yang punya username “bocah” & password “sial”, query yang dijalanin nanti kayak begini.

SELECT * FROM user WHERE user_id='bocah' AND password='sial';

Continue reading