S SIMAREMARE
NIM : 67051740009
2. Install Python agar dapat membuka SQLMAP type python pada folder yang sudah kita
download tadi
3. Jika sudah buka SQLMAP pada folder tersebut, sehingga muncul tampilan seperti berikut
4. Akses halaman website http://www.altoromutual.com/ selanjutnya kita cari bagian dari halaman
website tersebut yang mengandung url “php?id=……” agar dapat melakukan sql injection yaitu
teknik menginjeksi kode SQL kedalam sebuah web yang memiliki kelemahan dalam penyaringan
input data ke database
5. Karena disini belum diketahui url pada website yang terdapat “php?id=……” maka pilih bagian
REST API -> POST -> COPY USSER NAME DAN PASSWORD agar kita dapat login ke
website tersebut
6. Selanjutnya kita akan memahami tentang Google Dork. Google Dork adalah mesin pencari/ search
engine, sehingga dapat memudahkan google untuk mencari alamat, password,dll yang terindex di
google. Ada beberapa google dork salah satunya adalah
Inurl: Berarti “In URL” atau “dalam url” gunanya untuk mencari website yang di url-nya terdapat
suatu string atau kata yang kita masukkan.
7. Selanjutnya cari website yang dapat login menggunakan username dan password ‘=”or’ agar
kita dapat mengakses website tersebut. Berikut adalah beberapa contoh website yang berhasil
diakses menggunakan username dan password tersebut
8. Selain menggunakan “In URL” kita dapat juga menggunakan views_item.php?id= untuk
mencari kelemahan website lain menggunakan SQL. Contoh disini kita ingin mengetahui
kelemahan website PT Kabelindo
9. Copy alamat url yang mengandung “php?id=….” Pada SQL dengan command sqlmap.py -u “isi
alamat url nya” untuk mengetahui kelemahan kelemahan website tersebut
10. Selain menggunakan views_item.php?id= untuk mencari kelemahan website kita dapat
juga menggunakan public-list.php?id= contoh kita akan melakukan sql injection pada
website berikut cara nya sama seperti langkah sebelumnya
Selain command sqlmap.py -u “isi alamat url nya” ada beberapa command lainya pada sql injection
seperti :
Sqlmap -u “alamat url” –dbs (digunakan untuk mengakses database atau melihat ada database apa
sqlmap -u “alamat url” –tables –coloums (digunakan untuk mengakses table dan coloums pada
database)
Sqlmap -u “alamat url” –dump -D /namadatabase/ -T /nama table yang ingin diakses/ (digunakan
untuk melihat table yang dapat berisi informasi seperti username, email atau password)