Insane

HACK PASSWORD MYSQL

mysql

Memanen Password MySQL ------------------------ Walaupun ide dasar teknik ini saya temukan dari sebuah forum, namun ada baiknya digunakan untuk menambah pengetahuan bersama. Kecerobohan seorang webmaster dalam membuat file konfigurasi password sql bisa berakibat fatal. Misalnya saja jika konfigurasi password tersebut disimpan dalam ektensi inc, yg mana biasanya file yg disimpan dalam ektensi tersebut akan bisa langsung dibaca isinya oleh client, tidak seperti jika disimpan dalam ektensi php misalnya. Mendapatkan password mysql tersebut akan sangat mudah dilakukan dengan bantuan google, misalkan dengan sintax filetype:inc intext:"mysql_connect" site:id ataupun inurl:"password.inc" intext:"password" . Saya coba memasukkan syntax filetype:inc intext:”mysql_connect” site:id (mencari file berektensi inc yg didalamnya ada kata mysql_connect dan berada di dalam server indonesia, jika syntax site:id dihilangkan maka akan terdapat banyak sekali hasil yg didapat).
Terdapat beberapa hasil, kemudian saya coba www.bxxm.go.id. Saya coba mengakses server tersebut melalui mysql client dari komputer saya, dan ternyata koneksi ditolak. Saya pikir mungkin saya tidak bisa mengakses karena mungkin difilter oleh firewall ataupun memang server tersebut tidak mengijinkan alamat luar untuk mengaksesnya. Kemudian saya coba-coba untuk mengakses server tersebut lewat phpMyAdmin (ternyata phpMyAdmin masih terpasang/digunakan dan membolehkan koneksi dari luar), yaitu http://www.bxxm.go.id/phpmyadmin/ dan ternyata bisa (karena akan dianggap sebagai koneksi dari web servernya sendiri). Sedangkan contoh server yg membolehkan akses melalui mysql client dari alamat luar adalah 203.149.10.200.Dari hal2 diatas mungkin bisa sedikit menambah pengetahuan bagi administrator agar lebih berhati-hati dalam mengamankan mysql servernya.

BACK




Powered by:
[c] Chambaly