Pada kali ini saya akan melanjutkan patch pada session 1. Pada session 1, kita telah berhasil melakukan patch penambahan karakter variabel selain INT atau pemasukan kode kematian..
Ternyata patch tersebut tidak efiesien karena masih ada celah yang bisa saya temukan yaitu Negative Number. Karena saya hanya filter variabel Int aja. Tentu Variabel tersebut mempunya nilai negative.
http://localhost/cmsmadesimple/stylesheet.php?templateid=-10
Terlihat dengan jelas masih menampilkan errornya…
Sekarang saya akan mencoba melakukan filter negative number tersebut.. dengan menambahkan bumbu sedikit pada script tersebut dengan hasilnya sebagai berikut ini :
Lalu kita akan coba lagi dengan menambahkan karakter negative number :
Bingooo… negative number telah di filter. Akhirnya session 2 ini sukses. Silahkan mencoba…
Tentu menjadi pertanyaan kenapa negative number musti kita filter ??? Yoi… ini termasuk salah satu teknik yang di lakukan pada serangan sql injection. Kalau tidak percaya tanya aja sama Team Shackers city. Semoga kali ini bermanfaat..
0 komentar:
Posting Komentar