sql payload for login page

SQL injection adalah kerentanan keamanan web yang memungkinkan penyerang untuk mengganggu kueri yang aplikasi buat ke database-nya. Ini biasanya memungkinkan penyerang untuk melihat data yang sebenarnya tidak dapat mereka akses. Hal ini mungkin termasuk data milik pengguna lain, atau data lain yang aplikasi tersebut sendiri dapat akses. Setelah kita mengkonfirmasi bahwa situs rentan terhadap SQL injection, langkah selanjutnya adalah mengetikkan masukan yang tepat (payload) pada kolom kata sandi untuk memperoleh akses ke akun. Masukkan perintah yang disebutkan di bawah ini pada kolom yang rentan dan ini akan menghasilkan Bypass Otentikasi yang berhasil. Daftar berikut berisi payload untuk mengatasi login melalui XPath, LDAP dan SQL injection (secara berurutan). Cara menggunakan daftar ini adalah dengan memasukkan 200 baris pertama sebagai nama pengguna dan kata sandi. Kemudian, masukkan daftar lengkap pada kolom nama pengguna terlebih dahulu dan kemudian pada kolom kata sandi sambil memasukkan beberapa kata sandi (seperti Pass1234.) atau nama pengguna yang diketahui (seperti admin). Kita dapat menguji payload ini secara manual melalui halaman web dan melalui ZAP. Pada halaman login, jika kita mencoba mengirimkan ini sebagai nama pengguna: [email protected]' OR NOT 1120=1120--, maka akan mengevaluasi menjadi SELECT * FROM users WHERE login='admin' AND password='1' OR '1'='1'; sehingga akan memilih baris di mana nilai kolom login adalah admin. Ini dapat digunakan untuk melewati login. Hal ini memiliki kerentanan SQL injection yang serius. Lebih baik menggunakan Penyata Persiapan. Payload SQL Injection untuk Melanggar Halaman Login. Anda dapat menemukan beberapa trik untuk melewati login melalui injeksi SQL. Payload SQL Injection adalah potongan kode berbahaya yang dimasukkan oleh penyerang ke dalam bidang masukan yang rentan, biasanya ditemukan dalam formulir web, bilah penelusuran, atau halaman login. Payload ini mengeksploitasi validasi masukan yang buruk, memungkinkan penyerang untuk mendapatkan akses tidak sah ke database situs web dan menjalankan kueri SQL sembarangan. Dalam banyak kasus, seorang penyerang dapat memodifikasi atau menghapus data ini, menyebabkan perubahan yang persisten pada konten atau perilaku aplikasi. Dalam beberapa situasi, penyerang dapat meningkatkan serangan SQL injection untuk mengambil alih server dasar atau infrastruktur belakang lainnya, atau melakukan serangan penolakan layanan. (Cuplikan dari sini). Basis data NoSQL menyediakan batasan konsistensi yang lebih longgar dibandingkan basis data SQL tradisional. Dengan mengharuskan sedikit batasan relasional dan pemeriksaan konsistensi, basis data NoSQL sering menawarkan kinerja dan manfaat skalabilitas. Namun, database ini masih rentan terhadap serangan injeksi, bahkan jika tidak menggunakan sintaksis SQL asli. Payload SQL Injection Berdasarkan Waktu. Anda dapat menggunakan teknik ini terutama ketika Anda akan mengeksploitasi kerentanan buta di mana Anda menggunakan kueri kedua untuk memicu pencarian DNS, kesalahan yang bersyarat, atau jeda waktu. 1 dan (select sleep (10) from users where SUBSTR (table_name,1,1) = 'A')#.