| Site menu |
|
 |
| Section categories |
|
HACKER
[10]
Disini kita membahas tentang Hacking pada Kartu Kredit, yang disadur dari Jawa Pos.
|
|
|
| Tag Board |
|
|
|
| Our poll |
|
|
| Statistics |
Total online: 1 Guests: 1 Users: 0 |
|
| Login form |
|
|
|
Main » 2011 » January » 30 » HACKING TUTORIAL - 6
11:07:00 HACKING TUTORIAL - 6 |
Shopping.mdb
Salah satu file
database yang paling terkenal adalah shopping.mdb. Nama file database ini yang
dibuat menggunakan MS.Access, biasanya juga terhubung dengan ASP. Berikut
adalah teknik untuk mendapatkan file database tersebut yang berisikan data
customer.
Seperti biasa, gunakan Google untuk mencari targetnya. Langkah detilnya sudah
saya jelaskan pada bagian mencari database yang pertama, jadi saya tidak akan
mengulang-ulang lagi. Maka saya hanya akan menyebutkan syntax-nya saja untuk
bagian berikutnya.
Syntax: inurl:shopping.mdb
Dari link hasil searching, saya hanya perlu mendownload file databasenya.
Isinya bukan hanya data kartu kredit baik customer maupun orders. Ada juga
password user dan administrator di dalamnya.
Proses download bisa berbeda pada
tiap orang, terutama bila menggunakan aplikasi software internet download
manager yang cukup beragam dalam mendownload file database.
Saya tidak mau berpanjanglebar menjelaskan masalah teknik dan nama file secara
spesifik. Saya lebih tertarik untuk mengajarkan konsepnya. Sebab dengan cara
seperti itu, Anda bisa mengembangkan sendiri teknik yang diperlukan. Mengapa
hal ini saya tekankan, karena nama file database bisa saja berbeda-beda.
Tergantung dari nama pembuat filenya dan juga demi alasan keamanan. Sebenarnya,
jika Anda mau sedikit usaha, Anda bisa memodifikasi syntax: inurl:shopping.mdb
, menjadi bentuk lainnya. Dalam hal ini, saya mencoba mengubahnya menjadi:
Shopping350.mdb, shopping400.mdb, dan shopping450.mdb.
Bahkan juga ada shopping.mdb, yang berupa nama file database adalah nama situs
itu sendiri. Ternyata banyak juga hasil searching yang memuaskan untuk menjadi
bahan latihan carding. Ini penting bagi calon ahli webmaster yang mungkin suatu
saat berminat bekerja sebagai webmaster atau penjaga keamanan situs belanja di
internet.
Eipc.mdb
File database
eipc.mdb adalah file default dari ProductCart. Biasanya, file ini disimpan
dalam direktori productcart/database/eipc.mdb. Ada juga dari file tersebut yang
mengalami proteksi password. Untuk mencari situs yang memakai sistem database ini
gunakan syntax berikut untuk mencarinya di google.com
Syntax: allinurl:productcart/database/EIPC.mdb
Expire.mdb
Kalau diterjemahkan secara kasar
maka expire.mdb berarti tanggal berakhirnya sebuah kartu kredit. Walau
sebenarnya maksudnya bukan itu, tapi nyatanya itu tetap berhubungan dengan
carding. Bingung bukan?
Sebenarnya, ini adalah file default dari CatalogIntegrator Cart; yang merupakan
aplikasi e-commerce yang dijual pertama kali oleh pihak Adobe System. Aplikasi
ini lebih bersifat customer friendly, dan mudah digunakan sehingga cukup banyak
pihak yang tertarik untuk menggunakannya.
Syntax: inurl:expire.mdb
Sebagai tambahan saja, pada kebanyakan kasus
password default untuk admin yang menggunakan expire.mdb adalah demo, dengan
nama account admin adalah: admin
Halaman loginnya:
http://www.situs-target.com/Catalog/Admin/admin.asp
Perhatikan dengan benar huruf besar kecilnya pada URL supaya tidak terjadi
error.
Lokasi file expire.mdb itu sendiri bisa Anda perhatikan secara cermat.
Apalagi jika seseorang bisa masuk, maka dia akan dapat melihat berbagai order
pembelian dan tentu saja nomor kartu kredit terdapat di dalamnya. Tapi, saya
rasa dengan mendapatkan file database-nya saja sudah cukup kok.
Products.mdb
Sebenarnya ini adalah nama file database
yang cukup umum digunakan. Oleh karena ini milik umum maka isinya bisa saja
bermacam-macam. Ada yang menampilkan nama produk saja dalam database. Ada pula
yang menampilkan daftar order termasuk nomor kartu kredit pada konsumen.
Namun, jangan ragu jangan takut, banyak juga kok yang berisikan data konsumen.
Tapi ada pula beberapa yang tidak menyertai nomor kartu kredit.
Ha...ha...ha...apa Anda bingung bacanya. Makanya lebih enakan filenya Anda
download sendiri yang banyak biar jelas.
Syntax: inurl:products.mdb
Billing.mdb
File database billing.mdb ini menyimpan data kartu kredit dalam tabel Payments.
Supaya lebih enak, mendingan Anda buka semua tabel dari hasil download yang
Anda dapatkan. Sebab data kartu kredit tidak hanya disimpan dalam tabel Credit
Cards, Orders, dan Customers. Karena bisa saja dimanipulasi oleh pembuat
database, misalnya nama tabel Time (waktu), tapi isinya malah nomor kartu
kredit. Dan hal ini berlaku bagi semua file database dalam buku ini. Makanya
jangan cepat menyerah, tetap semangat untuk memperoleh pengalaman dan
pengetahuan baru mengenai network security ini.
Shop.mdb
Berikut adalah jenis database lainnya yang sering digunakan untuk aktivitas
carding. Shop.mdb, jika diterjemahkan berarti database toko, tentu saja isinya
bisa komplit termasuk kartu kredit customer.
Syntax: inurl:shop.mdb
Setiap file shop.mdb yang saya temukan selalu berupa form. Jika mau, Anda juga
bisa membuka dalam bentuk tabel.
Exploitshop.mdb
Dalam kesempatan ini saya tidak akan banyak berbicara mengenai exploit. Mengapa
hal ini saya batasi, sebab kebanyakan exploit adalah teknik kuno yang sudah
basi sehingga tidak banyak digunakan lagi. Beberapa exploit yang saya bahas
dalam artikel ini, tujuan sebenarnya hanyalah untuk memberikan cara lain sebagai
bentuk variasi, paling tidak untuk memberikan wawasan dan pengetahuan baru bagi
Anda, terutama para calon webmaster. Dan selain itu juga sekaligus untuk
membuka mata Anda supaya tahu bahwa tidak semuanya bisa langsung dengan cara
mendownload database maupun file log. Masih dengan nama database yang sama,
yaitu shop.mdb. Hanya saja model syntax dan teknik yang dilakukan berbeda.
Syntax: inurl:mall/lobby.asp
Dari situs target yang Anda temukan saat searching di Google, bukalah URL yang
ditampilkan oleh Google. Biasanya, nama URL-nya adalah:
http://www.situs-target.com/mall/lobby.asp
Yang harus Anda lakukan adalah mengubah string
mall/lobby.asp
menjadi
fpdb/shop.mdb
Sehingga secara lengkap akan menjadi:
http://www.situs-target.com/fpdb/shop.mdb
Selanjutnya, Anda tinggal mendownload file databasenya. Data mengenai kartu
kredit tersimpan pada bagian Payments (pembayaran).
Store.mdb
File database store.mdb ini adalah nama lain
dari shop, juga nama lain untuk products. Walau demikian, file store.mdb ini
menyimpan cukup banyak nomor kartu kredit. Dan biasanya disimpan dalam tabel
Carthead.
Syntax: inurl:store.mdb
Mystore.mdb
Setelah menggunakan syntax store.mdb,
berikut ini adalah model lainnya, yaitu: mystore.mdb. File database mystore.mdb
ini banyak digunakan pada aplikasi shopping cart FPcartPal. Sistem ini
menangani kartu kredit yang lebih aman. Sebab mereka menggunakan PayPal. Paypal
adalah salah satu alat pembayaran elektronik di internet.
Syntax: inurl:mystore.mdb
Jujur saja, database ini tidaklah berisi nomor kartu kredit, sebab saya hanya
ingin menunjukkan pada Anda bagaimana memodifikasi sebuah syntax. Dalam hal
ini, dari store.mdb menjadi mystore.mdb. Sebenarnya, berhubungan dengan file
mystore.mdb pada sistem yang sama terdapat sebuah file laporan yaitu
reports.mdb. Isinya adalah laporang tentang transaksi, nggak ada kartu
kreditnya. Tapi para carder biasanya memanfaatkan untuk hal lainnya. Sebab
siapa tahu saja, barangkali ada file database reports.mdb yang menyimpan data
kartu kredit karena bukan bagian dari produk FpcartPal, begitu pula untuk
mystore.mdb.
Order.mdb
Saya rasa Anda sudah mengenal dengan jelas
order.mdb yang berarti file database pemesanan. Berarti setiap pesanan akan
disimpan dalam database yang satu ini. Tentu saja untuk berbelanja salah satu
sarananya adalah untuk menggunakan kartu kredit.
Syntax: inurl:order.mdb
Cart.mdb
Ini dia kata-kata yang sering
digunakan dalam online shop. Semua barang belanjaan di internet akan dimasukkan
ke dalam cart (keranjang). Nah, seseorang bisa saja memanfaatkannya untuk
melakukan aktivitas carding.
Syntax: inurl:cart.mdb
Kemungkinan lain dari database ini yang telah dimodifikasi. Misalnya,
shoppingcart.mdb, shopping_cart.mdb, cart.mdb, clickcart.mdb, dan berbagai bentuk
lainnya. Sesuai dengan kesukaan sang pemilik situs. Trik ini digunakan untuk
mengelabui para carder supaya tidak bisa mendapatkan file mdb dengan mudah.
Scart.mdb
Serupa tapi tak sama. Itulah yang
bisa saya jelaskan mengenai database scart.mdb. Ada dua model syntax yang bisa
Anda coba gunakan.
allinurl:admin/scart.mdb
atau
inurl:scart.mdb
Sebenarnya model syntax ini bisa Anda
modifikasi sendiri, termasuk juga untuk syntax-syntax lainnya yang terdapat
dalam artikel ini. Kreatiflah mengubah syntax seperti kasus store menjadi
mystore. Kalau Anda mau lebih jelas, Anda harus banyak belajar mengenai
berbagai syntax google hacking (google dorks).
ExploitScart.mdb
Untuk nama database yang sama, yaitu scart.mdb, akan saya berikan sebuah
exploit. Langsung saja, dengan menggunakan syntax untuk Google:
inurl:shopKart20
Bisa juga dimodifikasi menjadi "/shopKart20/"
(tanda kutip duanya tetap digunakan)
Selanjutnya Google akan menampilkan target-target empuk yang mempunyai celah
keamanan yang belum sempurna. Silakan Anda buka saja. Misalnya:
http://www.situs-target.com/ashopKart20/addprod.asp
Pertama-tama hilangkan tanda string: ashopKart20 dan seterusnya. Kemudian
tambahkan string:
admin/scart.mdb
Jadinya:
http://www.situs-target.com/admin/scart.mdb
Secara otomatis akan muncul pesan apakah Anda akan mendownload file database.
Anda bisa mendownload file database langsung ataupun menggunakan program pihak
ketiga, misalnya internet download manager yang softwarenya banyak ditemui di
internet dan bisa didownload lalu diinstal di komputer Anda.
Dalam database tersebut, nomor kartu kredit berada pada bagian orders.
Sedangkan informasi pembeli berada pada bagian Customers. Sehingga nama pemilik
kartu kredit bisa diketahui dari tabel customers lalu dicocokkan id-nya dengan
orders.
Miscellaneous Database
Berikut ini adalah teknik untuk mendapatkan file
database, yang boleh dibilang nama databasenya acak. Jadi miscellaneous bukan
berarti itu adalah nama sebuah database. Sebenarnya hampir sama saja cara dan
tekniknya dengan beberapa yang ada yang tadi sudah dibahas. Nama database itu
bisa apa saja, misalnya toko.mdb, jual.mdb.
Akan saya suguhkan sebuah contoh kasus.
Syntax: /shop/category.asp/catid
Misalnya, Anda menemukan target dengan url:
http://www.situs-target.com/shop/category.asp?catid=37
Hapuslah shop/category.asp?catid=37 (angkanya bisa berapapun, tergantung situs
target yang Anda peroleh). Kemudian ganti menjadi:
/admin/dbsetup.asp
Maka nama situsnya menjadi:
http://www.situs-target.com//admin/dbsetup.asp
Perhatikan dengan baik dan benar, garis miring (/) yang digunakan sebelum admin
ada dua buah (//admin). Jadi itu bukan karena salah ketik!
Berikut adalah tampilan dua buah target yang saya temukan. Sengaja pada bagian
ini saya memberikan contoh dua buah target untuk menampilkan mana file
databasenya.
Misalnya dari contoh target yang pertama, nama file databasenya adalah
icommerce.mdb. Sedangkan nama file database untuk situs target kedua adalah
worldofwater.mdb.
Urusan download database-nya sekarang saya serahkan pada Anda supaya logika dan
pikiran Anda bisa berkembang. Lagipula nama databasenya sudah ketahuan kok
|
|
Category: HACKER |
Views: 1029 |
Added by: Pendekar
| Tags:
| Rating: / |
|
|
| Search |
|
|
| Calendar |
|
|
| Entries archive |
|
|
|
