05-24-2014, 01:31 AM
selamat malam :d
malam ini saya akan mengshare tentang bypass login sebuah website.
perlu di ingat tidak semua website bisa di susupi menggunakan tehnik ini. namun tidak menutup kemungkinan, masih banyak website di sekitar kita yang masih bisa di susupi menggunakan tehnik ini.
sebenarnya tehnikk ini adalah tehnik yang jadul. tapi bagi yang belum tahu, alangkah lebih baiknya kita belajar bersama menggunakan tehnik ini \m/
untuk memberikan pandangan bagaimana membypass sebuah login page agar kita bisa masuk baik sebagai member maupun sebagai administrator, kita harus pahami terlebih dahulu apa yang sebenarnya kita lakukan ini.
bypass login adalah tindakan yang di lakukan oleh attacker untuk masuk kedalam administrator page atau member page menggunakan cheat sheet yang di masukan kedalam form login.
berbeda dengan sql injection yang biasa di gunakan, kita langsung masuk ke administrator page atau member page.
ada banyak cara yang biasa attacker lakukan dalam menggunakan tehnik bypass login website ini. kali ini saya akan membahas 2 di antaranya. yaitu memanfaatkan vuln dari sql injection dan dari kelemahan sebuah CMS.
pertama saya akan membahas yang dari kelemahan sebuah CMS
beberapa website yang menggunakan CMS ini bisa kita tembus menggunakan bypass login. caranya adalah, pertama kita masuk ke login admin terlebih dahulu.
setelah kita masuk ke admin page, kita inspect element dan cari kata hidden, kemudian ganti dengan kata text, dan tekan enter di keyboard.
setelah di ubah menjadi text dan di enter, kita bisa langsung klik login pada login page tersebut.
kita bisa masuk kedalam halaman administrator.
cara yang kedua adalah memanfaatkan kelemahan dari sql injection.
anda bisa mengubah-ubah cheat sheet tersebut sesuai kebutuhan.
antara user dan password bisa di samakan. contoh:
username: ' or'1'='1
pass: ' or'1'='1
jadi antara user dan password sama saja tinggal di copas :d
contoh-contohnya:
NOTE: Tidak semua website bisa di bypass login. silahkan cari target anda sendiri untuk uji coba
:-
sekian spam dari saya, bila ada yang kurang berkenan saya mohon maaf. jika ada yang salah, CMIIW :d
malam ini saya akan mengshare tentang bypass login sebuah website.
perlu di ingat tidak semua website bisa di susupi menggunakan tehnik ini. namun tidak menutup kemungkinan, masih banyak website di sekitar kita yang masih bisa di susupi menggunakan tehnik ini.
sebenarnya tehnikk ini adalah tehnik yang jadul. tapi bagi yang belum tahu, alangkah lebih baiknya kita belajar bersama menggunakan tehnik ini \m/
untuk memberikan pandangan bagaimana membypass sebuah login page agar kita bisa masuk baik sebagai member maupun sebagai administrator, kita harus pahami terlebih dahulu apa yang sebenarnya kita lakukan ini.
bypass login adalah tindakan yang di lakukan oleh attacker untuk masuk kedalam administrator page atau member page menggunakan cheat sheet yang di masukan kedalam form login.
berbeda dengan sql injection yang biasa di gunakan, kita langsung masuk ke administrator page atau member page.
ada banyak cara yang biasa attacker lakukan dalam menggunakan tehnik bypass login website ini. kali ini saya akan membahas 2 di antaranya. yaitu memanfaatkan vuln dari sql injection dan dari kelemahan sebuah CMS.
pertama saya akan membahas yang dari kelemahan sebuah CMS
Spoiler! :
![[Image: 1236526_783160841694219_8001398304526532730_n.jpg]](https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-ash3/t1.0-9/1236526_783160841694219_8001398304526532730_n.jpg)
Spoiler! :
![[Image: 10384030_783160781694225_1262542090772679270_n.jpg]](https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ash4/t1.0-9/q71/s720x720/10384030_783160781694225_1262542090772679270_n.jpg)
Spoiler! :
![[Image: 10325608_783160695027567_3071262469670639332_n.jpg]](https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-frc3/t1.0-9/q71/s720x720/10325608_783160695027567_3071262469670639332_n.jpg)
Spoiler! :
![[Image: 1958310_783160715027565_5858864645985018227_n.jpg]](https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-frc3/t1.0-9/q71/s720x720/1958310_783160715027565_5858864645985018227_n.jpg)
Spoiler! :
![[Image: 10394844_783160565027580_4387265360365498897_n.jpg]](https://scontent-b-sjc.xx.fbcdn.net/hphotos-prn1/t1.0-9/q71/s720x720/10394844_783160565027580_4387265360365498897_n.jpg)
cara yang kedua adalah memanfaatkan kelemahan dari sql injection.
Spoiler! :
antara user dan password bisa di samakan. contoh:
username: ' or'1'='1
pass: ' or'1'='1
jadi antara user dan password sama saja tinggal di copas :d
contoh-contohnya:
Spoiler! :
![[Image: 10383580_783146761695627_6290178965737943117_n.jpg]](https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-prn2/t1.0-9/q71/s720x720/10383580_783146761695627_6290178965737943117_n.jpg)
Spoiler! :
![[Image: 10325581_783166395026997_652503682828806393_n.jpg]](https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/t1.0-9/10325581_783166395026997_652503682828806393_n.jpg)
Spoiler! :
![[Image: 10372114_783146678362302_4418655418395293185_n.jpg]](https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-frc3/t1.0-9/10372114_783146678362302_4418655418395293185_n.jpg)
Spoiler! :
![[Image: 10402857_783146645028972_9182841512703139912_n.jpg]](https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-ash3/t1.0-9/q71/s720x720/10402857_783146645028972_9182841512703139912_n.jpg)
Spoiler! :
![[Image: 10170744_783146625028974_3400226934700009358_n.jpg]](https://scontent-a-sjc.xx.fbcdn.net/hphotos-frc3/t1.0-9/q71/s720x720/10170744_783146625028974_3400226934700009358_n.jpg)
Spoiler! :
![[Image: 1920148_783146528362317_137227529667506962_n.jpg]](https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-prn2/t1.0-9/q71/s720x720/1920148_783146528362317_137227529667506962_n.jpg)
Spoiler! :
![[Image: 10330371_783146388362331_727295219863022706_n.jpg]](https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-ash3/t1.0-9/q71/s720x720/10330371_783146388362331_727295219863022706_n.jpg)
Spoiler! :
![[Image: 10411394_783146378362332_7289828762738443119_n.jpg]](https://scontent-b-sjc.xx.fbcdn.net/hphotos-frc3/t1.0-9/q71/s720x720/10411394_783146378362332_7289828762738443119_n.jpg)
NOTE: Tidak semua website bisa di bypass login. silahkan cari target anda sendiri untuk uji coba
:-sekian spam dari saya, bila ada yang kurang berkenan saya mohon maaf. jika ada yang salah, CMIIW :d