Rabu, 12 Oktober 2011

Ada dengan website Gramedia

Sebelum makan siang, ane mau nulis dulu ah di blog ini. Pembahasan kali ini tentang errornya website Gramedia Online. Saya juga bingung ada apa dengan website toko buku yang besar ini. Berikut saya tampilkan outputnya :

Mohon maaf apabila contoh gambar diatas agak kurang jelas sekali dan untuk ip remote address saya hilangkan soalnya itu ip saya, hehehee. Mungkin database web tersebut gagal mengeksekusi query yang saya perintahkan dan "Sesuatu Banget" keluarlah script SQL beserta nama tabel2nya seperti ini :

SELECT Products.*, ProdCustom.Custom1, ProdCustom.Custom2, ProdCustom.Custom3, ProdCustom.Custom4, ProdCustom.Custom5, ProdCustom.Custom6 FROM Products WITH (INDEX(IX_Products_CategoryProductPull)) INNER JOIN Item_Category ON Products.Product_ID = Item_Category.Product_ID LEFT OUTER JOIN ProdCustom ON Products.Product_ID = ProdCustom.Product_ID WHERE Item_Category.Category_ID = (param 1) AND Products.NumInStock > 0 AND Products.Display = 1 ORDER BY Products.GO_IMAGE DESC, Products.Priority, Products.Base_Price, Products.Retail_Price DESC, Products.Name 

Nah klo kaya gtu efeknya apa yah kira-kira ?? mungkin calon attacker akan tertarik mencoba untuk bermain SQL Injection. Klo saya sih ga mampu maenan kaya gtu, ane mampunya maen Pro Soccer 2012 saja, hehehe.  Semoga bapak atau ibu admin web tersebut bisa memperbaiki apabila web itu terdapat celah2 yg harus ditambal karena web itu klo merespond perintah utk query yang melebih limit = 500ms dan langsung deh masuk ke rule "Long Request". Coba diperbaiki lagi utk respond time atau jika melebihi limit, sebaiknya jangan menampilkan nama tabel dan perintah SQL nya yah.

Ayo Semangat para admin2 website. Caiyooo kalian bisa dan tunjukkan pada dunia, klo programmer Indonesia hebat2 dan ga kalah tuh sama orang asing. Semangat 45 didadaku

Reaksi:

0 komentar: