[Tanya] Script ini Bisa di Jebol gak Master

PHP:

include "../koneksi/database.php";
function anti_injection($data){
  $filter = mysql_real_escape_string(stripslashes(strip_tags(htmlspecialchars($data,ENT_QUOTES))));
  return $filter;
}
$username = anti_injection($_POST['username']);
$pass     = anti_injection(md5($_POST['password']));

if (!ctype_alnum($username) OR !ctype_alnum($pass)){
  echo "LOGIN FAILED.";
}
else{
$login=mysql_query("SELECT * FROM users WHERE username='$_POST[username]' AND password='$_POST[password]' AND blokir='N'");
$ketemu=mysql_num_rows($login);
$r=mysql_fetch_array($login);

if ($ketemu > 0){
  session_start();
  include "timeout.php";

  $_SESSION[namauser]     = $r[username];
  $_SESSION[namalengkap]  = $r[nama_lengkap];
  $_SESSION[passuser]     = $r[password];
  $_SESSION[leveluser]    = $r[level];


Saya sudah pake Antisql injection, tapi kok masih di bobol hacker ya? Apa script di atas masih belum sempurna? Dimana letak Bug nya master... dan kalau bisa ajarin jug cara nghacknya...

 

lah, forum ini bkn forum hacker kk, jika ingin ngehack2 silahkan di forum tetangga Devilzc0d* ...

jgn yang aneh2 ...

 

bukan ngehack mas,,, tpi klo ada yaang bisa boleh juga.. hehhehe...
Sebelum ane pake CMS WP, ane rakit coding web ane pake script PHP mas
Nah... Pas browsing dapet dah nih code untuk login ke halaman admin...
1 Bulan ane pake... web ane di hack... Ane tanya di forum hacker... kbanyakan mengatakan klo itu udah aman..
Menurut mastah2 disini gimana ney??? Aman apa kagak ane pake?

 

install wp biasa aja lah, ini wp ane masih aman2 aja ... jgn di edit2 sgala klo blom jago ...

 

instal wp, klo setelah itu instal theme,plugin dsb yg gak jelas asal-usulnya juga bs disisipi php nakal

 

sepengetahuan saya kalo passwordnya uda di MD5 ga perlu antisql injection sudah aman kok gan ,, slama ini login cms php buatan saya aman2 aja kok,,

 

vukab ngedit WP mas, tapi ane beralih ke wp stelah ane pake scriot sendiri...

 

sebelumnya ini pake CMS apa ya? .. terus masalah di hack atau tidak nya web mastah TS ya bukan karena SQLi ajah masbro tapi masih banyak teknik yang lain seperti RFI , LFI dan lain lain jadi ya jika agan url nya seperti ini domain. mastah/index.php?c= << disini kadang juga bisa di jadikan ajang pentest ya dengan menambahkan sedikit bumbuh contoh jika vuln LFI index.php?v=member diganti dengan index.php?v=/../ dan muncul sesuatu ya itu lah sang ha*k akan beraksi dan mencari seberapa dalam directori yang ada pada web agan index.php?v=../etc/passwd tara hasil nya bakalan muncul deh isi dari directori root tuh agan dan bisa di gunakan command command lainnya juga loh.. jadi walaupun agan dah pasang anti sql atau apa lah macam namanya ya tetap saja masih ada jalan menuju roma tapi bisa jadi agan mastah ts di hack bukan karena vuln websitenya tapi karena web yang satu server kena hack dan agan jadi korban jumping sang ha*kers atau root nya tuh server udah ada usser baru yang ga di ketahui sama sang pemilik host karena sang ha*kers akan melakukan edit log pada roots agar tidak ketahuan telah di susupi ,, mungkin segitu ajah ya jadi banyak faktor suatu web atau cms vuln dan banyak faktor web di ha*k jadi yang perlu di ingat ngak ada system yang sempurna di dunia ini apa lagi ciptaan manusia yang dasarnya ga sempurna dan yang lebih penting lagi karen ha*ker kita dapet pentest gratis kalo web kita ga aman dan yang penting ha*ker bukan musuh webmaster tapi teman yang memperingati webmaster kalau dia melakukan kecerobahan dalam system yang dia punya kaya temen kamu yang sering kasih tahu kalo kamu ada yang salah dan

 

gak dari SQL injection aja gan, masih banyak, bisa dari xss,rfi,lfi dll

 

Klo hackernya ngingetin,,, gak gitu kali gan... Bisa di omongin baek2 sama ane,,, Kalo ngejebol tanpa pemberitahuan itu mah,,,sama aja dengan nyolong gan... Massa Lapak ane di Obrak2, gan bisa jualan ane gan...
Sebelumnya ane Pake CMS rakitan sendiri gan.... Masih abal-abal sih... Tapi ane konsultasi ama Dosen di Kampus, udah OK Katanya gan.. Tapi kok masih bisa di Bobol ya..?? Kapan ya hacker itu bakalan tobat??? Dosa tu... Gak takut masuk Neraka apa...

 

$login=mysql_query("SELECT * FROM users WHERE username='$_POST[username]' AND password='$_POST[password]' AND blokir='N'");

Itu bukannya udah di buat fungsi untuk antisql, kenapa harus pakai $_POST[username] dan $_POST[password] lagi masbro?

 

itu kira2 kalau dimanipulasi cookie levelusernya jebol gak ya?

 

Sorry boss... Gak pake $_POST[username] and $_POST[password] langsung ==>> $username and $password Ne lagi modifikasi2 boss, sory salah2 kaprah.. Thanks boss sudah mengingatkan saya agar kembali kejalan yang Lurus...

 

Itu cms lokomedia kan?

 

sql injection ga cuma dari query login om,. dari display content ato search, dll. jg bisa,.,,. sama dari sisi server na jg,.,. klo lagi ga di edit error reporting php na matiin aja,.

 

Iya gan... Waktu pertama bikin web, ane pake Perpaduan antara CMS Lokomedia + CMS Aura Pertama sih aman tuk , tpi pas web ane naik jabatan ke top five.. langsung di bobol pke gergaji yang ane sendiri gak tau gan.. Dimanaa kelemahannya itu gan?

 

mudeng gan kalo urusan kayak ginian.....

 

ini script bikinan dewek p gmn c?
klu lokomedia klu g slh dulu kabar na rentan di file downlot.php
yg bs bikin hacker leluasa liat2 direktory korban termasuk liat file config db sama /etc/passwd
namun pihak developer ud upload update-an di web na coba ja sering2 maen ke web na x ja byk info sputar bug ni cms