Memanen Password MySQL

Topik sebelumnya Topik selanjutnya Go down

Memanen Password MySQL

Post  MomotaRo on Wed Nov 21, 2007 1:53 am

Walaupun ide dasar teknik ini saya temukan dari sebuah forum, namun ada baiknya digunakan untuk menambah pengetahuan bersama (maaf bagi kakak2 yg sudah ahli karena tulisan ini ditujukan untuk temen2 yg belum tahu). Kecerobohan seorang webmaster dalam membuat file konfigurasi password sql bisa berakibat fatal. Misalnya saja jika konfigurasi password tersebut disimpan dalam ektensi inc, yg mana biasanya file yg disimpan dalam ektensi tersebut akan bisa langsung dibaca isinya oleh client, tidak seperti jika disimpan dalam ektensi php misalnya.

Mendapatkan password mysql tersebut akan sangat mudah dilakukan dengan bantuan google, misalkan dengan sintax filetype:inc intext:"mysql_connect" site:id ataupun inurl:"password.inc" intext:"password" .

Saya coba memasukkan syntax filetype:inc intext:”mysql_connect” site:id (mencari file berektensi inc yg didalamnya ada kata mysql_connect dan berada di dalam server indonesia, jika syntax site:id dihilangkan maka akan terdapat banyak sekali hasil yg didapat). Terdapat beberapa hasil, kemudian saya coba www.bkpm.go.id.



Saya coba mengakses server tersebut melalui mysql client dari komputer saya, dan ternyata koneksi ditolak. Saya pikir mungkin saya tidak bisa mengakses karena mungkin difilter oleh firewall ataupun memang server tersebut tidak mengijinkan alamat luar untuk mengaksesnya. Kemudian saya coba-coba untuk mengakses server tersebut lewat phpMyAdmin (ternyata phpMyAdmin masih terpasang/digunakan dan membolehkan koneksi dari luar), yaitu http://www.bkpm.go.id/phpmyadmin/ dan ternyata bisa (karena akan dianggap sebagai koneksi dari web servernya sendiri).



Sedangkan contoh server yg membolehkan akses melalui mysql client dari alamat luar adalah 203.149.10.200.



Dari hal2 diatas mungkin bisa sedikit menambah pengetahuan bagi administrator agar lebih berhati-hati dalam mengamankan mysql servernya.

nb: hal ini telah saya beritahukan lewat email kepada pihak www.bkpm.go.id dan sudah ada tanggapan dari pihak bkpm.go.id
avatar
MomotaRo
Moderators
Moderators

Jumlah posting : 44
Age : 36
Location : Ohio, United States
Registration date : 16.11.07

Lihat profil user http://www.stmik-mdp.org

Kembali Ke Atas Go down

Topik sebelumnya Topik selanjutnya Kembali Ke Atas

- Similar topics

 
Permissions in this forum:
Anda tidak dapat menjawab topik