Iv Injection Adalah
Tidak Ada Pembatasan Akses Database
Selain itu, SQL Injection menjadi sangat berbahaya kalau berhasil dilakukan jika developer tidak membatasi akses pada database. Akses suatu user pada database haruslah memiliki akses yang sesedikit mungkin (least privilege rule). Jika website kamu hanya dapat membaca database, maka user yang digunakan untuk mengakses database haruslah hanya memiliki akses baca. Jangan berikan juga akses tulis atau bahkan admin!
Perang melawan Bulgar
Pada tahun 680, Konstantinus IV memimpin pasukan Bizantium melawan Kekaisaran Bulgar Pertama. Pasukan Bizantium berhasil memenangkan pertempuran, tetapi Konstantinus IV terluka parah dan terpaksa kembali ke Konstantinopel.
Konstantinus IV dikenal sebagai kaisar yang bijak dan adil. Ia memperkuat kekuatan angkatan laut Bizantium dan memperbaiki sistem pertahanan kekaisaran. Ia juga memperkuat kekuasaan patriark Konstantinopel dan memperbaiki hubungan antara Kekaisaran Bizantium dan Gereja Ortodoks.
Konstantinus IV menikah dengan Anastasia, dan mereka memiliki dua orang putra, yaitu Yustinianus II dan Herakleios. Yustinianus II kemudian menjadi Kaisar Bizantium setelah kematian Konstantinus IV.
Konstantinus IV meninggal pada tanggal 10 Juli 685, setelah menderita penyakit yang berkepanjangan. Ia digantikan oleh putranya, Yustinianus II, yang berusia 16 tahun saat itu.
Theophanes, Chronographia.
Media tentang Constantine IV di Wikimedia Commons
Sebelum kita masuk lebih dalam ke arah SQL Injection, kita perlu tahu terlebih dahulu apa itu SQL. SQL merupakan singkatan dari Structured Query Language yang merupakan bahasa pemrograman untuk mengakses dan memanipulasi database. Database atau basis data sendiri merupakan sekumpulan data yang dikelola sedemikian rupa dengan ketentuan-ketentuan tertentu sehingga menjadi data yang terorganisir. Setelah kita memahami apa itu SQL dan database, sekarang kita akan lanjut ke SQL Injection. SQL Injection adalah sebuah teknik penyerangan terhadap kelemahan atau celah yang dimiliki oleh SQL. Penyerangan tersebut memanfaatkan celah dimana user dapat menginputkan karakter apapun yang berarti user dapat memasukkan command atau query SQL dengan tujuan untuk mendapatkan informasi penting yang berada di dalam database, seperti data personal dari user lain, login sebagai user lain, atau bahkan sebagai admin.
Cara Kerja SQL Injection
SQL Injection memanfaatkan input yang tidak difilter oleh suatu website. Oleh karena itu, attacker dapat menginputkan tanda ‘ (petik satu) yang biasanya dimasukkan melalui input bar, seperti yang ada pada login page. Petik satu yang diinputkan akan merusak susunan atau syntax dari command atau query SQL. Misalnya terdapat command atau query SQL sebagai berikut:
passwd = request.POST[‘password’]
sql = “SELECT id FROM users WHERE username=’” + uname + “’ AND password=’” + passwd + “’”
database.execute(sql)
Apabila attacker memasukkan petik satu ke dalam input bar password, maka nantinya petik satu akan masuk ke dalam variabel passwd dan akan digunakan oleh variabel sql untuk validasi login. Petik satu tersebut akan merubah query SQL menjadi seperti berikut:
Query tersebut akan menimbulkan error karena terdapat satu petik yang tidak ditutup dengan petik satu lainnya. Karena attacker dapat menginputkan petik satu, maka attacker dapat memasukkan validasi dimana program akan selalu memberikan nilai true dengan menggunakan query “ ‘ or 1=1 — ”. 1=1 akan selalu memberikan nilai true dan “–” merupakan tanda comment di SQL, yang digunakan untuk membuat query selanjutnya tidak digunakan. Apabila kita coba masukkan ke dalam query SQL di atas, maka akan jadi seperti ini:
Query di atas tidak akan menimbulkan error, karena petik satu yang sebelumnya tidak ditutup menjadi comment dengan menggunakan double dash “–”. Karena program akan memberikan nilai true, maka attacker dapat login menjadi user lain hanya dengan menggunakan SQL Injection sederhana.
Exploit SQL Injection
Setelah Mengetahui apa itu SQL dan cara kerja dari SQL Injection, sekarang kita lihat bagaimana sih contoh SQL Injection sederhana. Di sini, saya akan mempraktikkan cara menyelesaikan challenge picoCTF 2019 yang bernama “Irish-Name-Repo 3” yang dapat diakses di link berikut (http://2019shell1.picoctf.com:12271/).
Pada halaman utama web tersebut hanya ditemukan gambar-gambar dan sedikit text. Namun, ketika membuka menu, didapatkan sebuah pilihan yang menarik, yaitu “Admin Login”.
Ketika dibuka, terlihat sebuah form password untuk menjadi admin. Menarik sekali!
Pertama-tama, kita melakukan Inspect Element pada bagian form tersebut dan didapatkan hasil seperti berikut.
Dari form tersebut, didapat dua buah input yang dikirim ke dalam server. Pertama adalah password dan yang kedua adalah debug yang bernilai default 0. Menarik, kita coba ubah nilai debug menjadi 1 dan memasukkan password “test”.
Didapatkan hasil yang menarik, password awal kita “test” berubah menjadi “grfg”, sepertinya password tersebut telah dienkripsi dan terlihat SQL query-nya.
Kita coba masukkan password “abcdef” dan mengubah nilai debug menjadi 1 dan didapatkan hasil yang lebih jelas. Hasil enkripsi password menjadi “nopqrs” yang mana berurutan dan dapat disimpulkan bahwa enkripsi yang digunakan adalah ROT13 (menggeser input sebanyak 13 karakter).
Kita coba masukkan SQL Injection sederhana ‘ OR 1=1 —. Namun, sebelum melakukan injection, terlebih dahulu kita melakukan enkripsi ROT13 ke dalam SQL Injection kita sehingga menjadi ‘ BE 1=1 —. Kemudian, kita masukkan injection tersebut ke dalam form password dan mengubah nilai debug menjadi 1 sehingga didapatkan hasil sebagai berikut.
SQL Injection berhasil dilakukan dan kita sekarang berhasil menjadi admin.
Video Management Software – Thermal Temperature Detection
iV-Pro VMS-TTD software is designed to work with Thermal Temperature Cameras that supports face recognition and temperature detection of multiple people with a view of thermal imaging and video with temperature detection’s. The software is compatible with only iV-Pro Models of Thermal Cameras.
Compatible Models: iV-CO2TMPFD-TH-Ai
Updated: 16th Jan 2022
Device Manager is used to search for IP addresses of iV-Pro DVRs NVRs and iP Cameras. It also gives the access to change the iP addresses and reset.
Updated: 16th Jan 2022
The Player is designed to play all H.264, H.265 and AVI files downloaded from the Video Recorder or the iP Cameras.
Updated: 16th Jan 2022
The tool can be used to convert H.264 and H.265X files to MP4 and AVI Format, so it can be played in general video players
Updated: 16th Jan 2022
Video Management Software – Lite Version
iV-Pro VMS Lite is faster and light on your computer systems designed to work with AHD & Network iP-HD cameras in order to provide video surveillance, recording settings and tour management functions. The interface of iV-Pro’s VMS Lite is very easy to use, intuitive, with easy access to the most common activities, such as viewing live video, searching through recordings and exporting videos and snapshots. The VMS Software is able to integrate with other devices through ONVIF and you can connect up to 64 cameras. The new features include Net detect, Stream Statistics and additional functions for iP-HD Cameras.
Compatible Models: All iV-Pro Video Recorders and iP-HD Cameras
Updated: 16th Jan 2022
Storage Calculation Tool
The Storage calculator gives you a idea of how much storage space you would require, for the number of cameras you are going to install in a project and helps decide on the Hard disks to be installed.
Updated: 16th Jan 2022
iV-Pro is a HD-CCTV Surveillance Monitoring APP available on the Play Store and App Store, to be used with iV-Pro Video Recorders that are connected to AHD Cameras or iP-HD Cameras.
Compatible Models: All iV-Pro Video Recorders and iP-HD Cameras
Updated: 16th Jan 2022
iV-Pro 4G is a Wi-Fi and 4G Surveillance Monitoring APP available on the Play Store and App Store, to be used with iV-Pro Wireless and 4G Cameras with Human Detection Intelligent features.
Compatible Models: iV-DA2WSDA-WF, iV-D21VWSDA-WF, iV-CA4WSDA-WF, iV-CA4WSDA-4G
Updated: 16th Jan 2022
SQL Injection Cheat Sheet
Berikut ini beberapa contoh input yang bisa digunakan untuk melakukan SQL Injection. Gunakan Cheat Sheet ini untuk melindungin website buatan kamu, dan bukan untuk melakukan penyerangan!
Metode ini sudah dicontohkan pada contoh di atas. Input yang dimasukkan diakhiri dengan syntax comment sehingga query menjadi terpotong.
Input ini memotong query target dan mengubah makna dari query tersebut.
Bagaimana SQL Injection Bekerja
Cara kerja SQL Injection adalah dengan menyisipkan perintah SQL jahat ke dalam suatu SQL yang akan dijalankan oleh suatu database. Cara SQL Injection ini bekerja dalam suatu sistem sangatlah bergantung pada implementasi sistem tersebut. Masing-masing sistem memiliki cara yang mungkin berbeda-beda.
Salah satu contoh cara menggunakan SQL Injection untuk mengetahui cara kerjanya,
Kamu memiliki suatu website yang dapat melakukan login. SQL paling sederhana untuk melakukan pengecekan apakah username dan passwordnya benar atau salah adalah seperti ini,
Pengguna akan memasukkan username dan password pada suatu formulir login yang kamu sediakan. Username dan password tersebut akan dijadikan variabel untuk mengisi nilai $username dan $password.
Apa yang terjadi jika pengguna jahat memasukkan username yang isinya seperti ini?
Saat sistemmu menggunakan data masukan pengguna jahat tanpa dicek maupun divalidasi, maka SQL yang terbentuk akan seperti ini:
Bagian SQL setelah tanda -- dianggap sebagai komentar dan SQL tersebut akan menjadi:
Karena SQL yang dijalankan adalah yang bawah tersebut, bisa-bisa pengguna jahat tersebut mendapatkan akses ke user “admin” tanpa perlu tahu password-nya!
Penjelasan SQL Injection
Ditulis 2 Oktober 2020
Sebuah web biasanya memiliki database di belakangnya. Kebanyakan database tersebut menggunakan bahasa SQL untuk membaca dan mengambil data. Web server menggunakan membuat SQL lalu memberikannya kepada database. Namun, kadang, developer lupa bahwa SQL yang dibuat berpotensi disusupi SQL asing yang jahat.
SQL Injection adalah salah satu serangan yang dapat digunakan oleh pihak tidak bertanggungjawab untuk mengakses suatu database dengan cara menyisipkan SQL jahat. Jika berhasil, pihak tersebut dapat memiliki akses ke database target, membaca dan menulis data, bahkan menrusak database target.
Menurut OWASP, penyerangan jenis injection ini adalah penyerangan yang sering terjadi di dunia maya dan pada web application. OWASP adalah salah satu organisasi yang bergerak di bidang keamanan digital dan banyak memberikan rekomendasi serta panduan untuk mengamankan website.
Kenapa SQL Injection Bisa Terjadi
Penyerangan ini bisa berhasil biasanya karena dua hal utama yakni developer tidak melakukan validasi input, dan tidak ada pembatasan akses database.
Konstantinus IV (bahasa Yunani: Κωνσταντῖνος Δ', Kōnstantinos IV; bahasa Latin: Constantinus IV) adalah Kaisar Romawi Timur yang berkuasa dari tahun 668 hingga 685. Ia adalah putra dari Kaisar Konstans II dan Fausta, serta ayahanda dari Kaisar Yustinianus II.
Konstantinus IV lahir pada sekitar tahun 652. Ayahandanya, Konstans II, adalah Kaisar Bizantium yang berkuasa dari tahun 641 hingga 668. Konstantinus IV memiliki dua orang saudara laki-laki, yaitu Tiberius dan Herakleios.
Pada tahun 668, Konstans II dibunuh oleh para tentara yang memberontak di Sirakusa, Sisilia. Konstantinus IV, yang saat itu berusia sekitar 16 tahun, naik takhta sebagai Kaisar Bizantium. Ia dinobatkan sebagai kaisar oleh Patriark Konstantinopel, Theodore I.
Pada masa pemerintahan Konstantinus IV, Kekaisaran Bizantium terus-menerus diserang oleh Kekhalifahan Arab. Pada tahun 669, pasukan Arab menyerang Konstantinopel, tetapi dapat dipukul mundur oleh pasukan Bizantium. Konstantinus IV juga berhasil memenangkan pertempuran lainnya melawan Arab, termasuk Pertempuran Syllaeum pada tahun 678.