SlideShare una empresa de Scribd logo
1 de 3
Descargar para leer sin conexión
Tips dan Trik IlmuKomputer.Com
Copyright © 2003 IlmuKomputer.Com




Miskonfigurasi Pada SQL Server,
Awal Dari Bencana Besar !!
Sony Arianto Kurniawan
sonyarianto@yahoo.com
The Sony AK Knowledge Center




   Lisensi Dokumen:
   Copyright © 2003 IlmuKomputer.Com
   Seluruh dokumen di IlmuKomputer.Com dapat digunakan, dimodifikasi dan
   disebarkan secara bebas untuk tujuan bukan komersial (nonprofit), dengan syarat
   tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang
   disertakan dalam setiap dokumen. Tidak diperbolehkan melakukan penulisan ulang,
   kecuali mendapatkan ijin terlebih dahulu dari IlmuKomputer.Com.




Bagi Anda orang IT pasti sudah tidak asing lagi mendengar nama Microsoft SQL Server. Produk
RDBMS terkenal buatan Microsoft ini memang sangat banyak dipakai di seluruh dunia oleh
perusahaan-perusahaan untuk menyimpan informasi dan aset digital mereka. Banyak yang
menggantungkan nasib perusahaan pada sang SQL Server.

Namun kesalahan konfigurasi atau miskonfigurasi dari SQL Server bisa menyebabkan suatu
keadaan yang fatal bagi sistem database dan bahkan mengakibatkan efek yang berbahaya bagi
sistem komputer tempat SQL Server diinstall. Bisa hapus file dan shutdown sistem lho hueheheh ;)

Sebelumnya penulis perlu menjelaskan bahwa artikel ini tidak mempunyai maksud tertentu selain
untuk ilmu pengetahuan dan kebebasan dalam berbagi ilmu pengetahuan. Penulis tidak bertanggung
jawab apapun terhadap segala sesuatu yang terjadi akibat artikel ini. Artikel ini bersifat terbuka
yang berarti Anda bisa memberikan kritik dan saran terhadap artikel ini melalui
article@sony-ak.com. Anda dilarang keras mengutip sebagian atau seluruh artikel ini tanpa
sepengetahuan penulis.

SQL Server yang akan kita bahas disini menggunakan SQL Server 7 atau bisa juga versi 2000 nya.
SQL Server 7 memberikan dua jenis autentikasi untuk mengakses server database yaitu:

1. Windows NT Authentication Mode
2. Mixed Mode

Jika Anda menginstall SQL Server dengan menggunakan Windows NT Authentication Mode maka
secara otomatis login ke SQL Server akan mengikuti login Windows NT dan user dari Windows
NT sajalah yang berhak untuk mengakses SQL Server.

Jika SQL Server diinstall pada Mixed Mode maka setiap user yang login ke SQL Server bisa
diautentikasi oleh Windows NT atau oleh SQL Server itu sendiri. User login yang diautentikasi
oleh SQL Server harus memberikan username dan password yang dimaintenance sendiri oleh SQL
Server dan ini merupakan salah satu awal bencana.




                                                                                                 1
Tips dan Trik IlmuKomputer.Com
Copyright © 2003 IlmuKomputer.Com



Ketika Anda menginstall SQL Server pada Mixed Mode maka secara otomatis SQL Server
memiliki default account SA (system administrator) dengan password kosong (blank password).
Jika Anda login dengan account "sa" ini maka Anda sudah memiliki hak akses sangat luar biasa
terhadap SQL Server yang meliputi semua database, tabel, stored procedure, security dan bahkan
secara sadar atau tidak Anda juga otomatis memiliki akses besar ke sistem komputer tempat SQL
Server diinstall.

Menurut pengamatan penulis dilapangan menunjukkan bahwa masih sangat banyak sekali SQL
Server baik yang bersifat production server atau experiment server yang ternyata belum
dikonfigurasi dengan benar. Salah satu contoh miskonfigurasi di SQL Server ya seperti yang sudah
disebutkan diatas, yaitu DBA nya lupa memberi password untuk account "sa" dan SQL Server
diinstall pada Mixed Mode. SQL Server memiliki extended stored procedure xp_cmdshell yang
sangat mematikan. xp_cmdshell ini bisa menjalankan perintah shell pada SQL Server seperti jika
Anda mengetikkan perintah-perintah shell pada layar console Windows NT. xp_cmdshell ini berada
pada database master dan ini juga harus diatur hak pemakaiannya atau jika memang tidak perlu bisa
dihapus. Tulisan mengenai SQL Server security check list akan disampaikan pada kesempatan yang
lain.

Oh ya, SQL Server bisa diakses oleh berbagai protokol seperti Named Pipe Net-Library atau
melalui TCP/IP. SQL Server melalui TCP/IP akan membuka port 1433.

Para pembaca mungkin masih ada yang bingung mengenai bencana apa saja akibat miskonfigurasi
diatas. OK, penulis akan memberi contoh beberapa bencana yang mungkin terjadi jika Anda sudah
bisa login ke SQL Server sebagai user "sa":

1. Bisa membuat user pada Windows NT dengan level sekelas Administrator.
Ini bisa dicapai dengan cara mengeksekusi command seperti berikut pada SQL Server

use master
xp_cmdshell 'net user adminbaru admin /add'
go
xp_cmdshell 'net localgroup Administrators adminbaru /add'
go

Dengan perintah diatas maka Anda membuat user adminbaru dengan password admin pada
Windows NT dan sekaligus menjadikannya sekelas Administrator.

2. Bisa men-start atau men-stop service pada Windows NT
Ini bisa dilakukan dengan perintah net start atau net stop, contoh berikut adalah untuk men-stop
service HTTP pada Windows NT yang berakibat matinya web server :)

use master
xp_cmdshell 'net stop w3svc'
go

3. Bisa membuat FTP script untuk melakukan suatu download file dari server lain.

4. Bisa digunakan untuk men-deface website ;) Nah kalo yang ini mungkin banyak yang suka ;)
Karena men-deface lewat SQL Server jauh lebih mudah daripada lewat bug unicode. Kalo pada bug
unicode kita masuk ke sistem sesuai denganhak akses dari user IUSR_MACHINENAME, maka
jika kita masuk ke sistem dengan SQL Server maka kita akan masuk dengan hak akses
LocalSystem sehingga kita bisa melakukan apa saja di server, termasuk bisa men-shutdown sistem
kalo mau :)

5. Bisa untuk mass-defacing, ah masak? Lho iya, penulis sendiri pernah masuk ke host SQL Server




                                                                                                2
Tips dan Trik IlmuKomputer.Com
Copyright © 2003 IlmuKomputer.Com



yang kebetulan adalah milik suatu perusahaan web hosting di Israel dan kebetulan didalamnya
terdapat puluhan wwwroot untuk beberapa domain yang berbeda. Tinggal copy aja file kita ke
masing-masing folder tadi, jadilah sudah mass defacing yang ternyata cuman masuk ke satu host
saja huehehe ;)

6. Bisa mengakses registry windows yang berakibat dengan mengambil password Windows NT
atau juga membuat key dan value pada registry.

Demikian beberapa bencana yang dapat menimpa sistem Windows NT yang terdapat SQL Server
yang belum dikonfigurasi dengan benar. Sebenarnya masih banyak lagi bencana-bencana lain yang
dapat muncul dan itu memang tergantung dari imajinasi Anda para hacker ;) Semakin Anda
mengerti dan menguasai suatu sistem maka semakin banyak pula trik dan kemampuan Anda untuk
mengeksploitasi sistem.

Jika Anda berminat untuk mencoba maka sekarang mulai saja men-scan host yang port 1433 nya
terbuka dan jika sudah menemukan host yang port 1433 nya terbuka cobalah akses kesana dengan
menggunakan program Query Analyzer atau Anda juga bisa menggunakan SQL Server query
dalam mode dos yaitu isql.exe.

Jika Anda ingin mencobanya dengan ISQL maka coba ajah ketikkan perintah berikut untuk login ke
SQL Server dari command prompt:

C:>isql -S targethost -U sa

Kemudian tekan enter, dan akan muncul inputan password, terus tekan enter saja. Jika host tersebut
masih menggunakan password blank maka akan muncul SQL prompt seperti dibawah

1>

Pada prompt tersebut Anda bisa mengetikan perintah SQL anda, misalnya seperti dibawah

1>select * from sysusers
2>go

OK, akhirnya penulis berpesan bahwa jaga baik-baik SQL Server Anda, jangan lupa untuk mengisi
password pada account "sa" (account "sa" tidak bisa di-rename atau dihapus). Sebenarnya masih
banyak lagi yang harus diperhatikan pada SQL Server daripada sekedar mengganti password
account "sa", tetapi dengan begitu saja sudah meminimalkan intrusion pada sistem Anda.




                                                                                                 3

Más contenido relacionado

La actualidad más candente

Menciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSLMenciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSLMunir Putra
 
tugas 2
tugas 2tugas 2
tugas 2fhino
 
Modul 123 delphi
Modul 123 delphiModul 123 delphi
Modul 123 delphiandrialwit
 
Tugas artikel bahasa indonesia
Tugas artikel bahasa indonesiaTugas artikel bahasa indonesia
Tugas artikel bahasa indonesiaTeknikInformatika2
 
Buku tutorial visual basic 6
Buku tutorial visual basic 6Buku tutorial visual basic 6
Buku tutorial visual basic 6Nie Andini
 
Tutorial cara backup aktivasi windows 8
Tutorial cara backup aktivasi windows 8Tutorial cara backup aktivasi windows 8
Tutorial cara backup aktivasi windows 8Fakhri Cool
 
Squid (Proxy) Windows Server 2008
Squid (Proxy) Windows Server 2008Squid (Proxy) Windows Server 2008
Squid (Proxy) Windows Server 2008Iman Trianto
 
Pre-test modul1 sistem operasi
Pre-test modul1 sistem operasiPre-test modul1 sistem operasi
Pre-test modul1 sistem operasiDhany Nurdiansyah
 
Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1
Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1
Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1I Putu Hariyadi
 
Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1
Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1
Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1I Putu Hariyadi
 
Active Directory Win Server
Active Directory Win ServerActive Directory Win Server
Active Directory Win ServerHajra Rasmita
 
18675466 complete-windows-server-2003
18675466 complete-windows-server-200318675466 complete-windows-server-2003
18675466 complete-windows-server-2003Il D'amore
 
09071003002 session dan fungsinya
09071003002 session dan fungsinya09071003002 session dan fungsinya
09071003002 session dan fungsinyafebeniken
 
Soal uas os kelas non pemda smtr 2 2013
Soal uas os kelas non pemda smtr 2 2013 Soal uas os kelas non pemda smtr 2 2013
Soal uas os kelas non pemda smtr 2 2013 Godel Amorr
 
Configure dhcp server on windows server 2008
Configure dhcp server on windows server 2008Configure dhcp server on windows server 2008
Configure dhcp server on windows server 2008Toni Saputro
 
PostgreSQL Karakteristik dan Pengamanannya
PostgreSQL Karakteristik dan PengamanannyaPostgreSQL Karakteristik dan Pengamanannya
PostgreSQL Karakteristik dan PengamanannyaWihartoyo Wihartoyo
 

La actualidad más candente (19)

Sony (alert)
Sony (alert)Sony (alert)
Sony (alert)
 
Menciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSLMenciptakan Sertifikat SSL dengan OpenSSL
Menciptakan Sertifikat SSL dengan OpenSSL
 
tugas 2
tugas 2tugas 2
tugas 2
 
Modul 123 delphi
Modul 123 delphiModul 123 delphi
Modul 123 delphi
 
Tugas artikel bahasa indonesia
Tugas artikel bahasa indonesiaTugas artikel bahasa indonesia
Tugas artikel bahasa indonesia
 
Buku tutorial visual basic 6
Buku tutorial visual basic 6Buku tutorial visual basic 6
Buku tutorial visual basic 6
 
Tutorial cara backup aktivasi windows 8
Tutorial cara backup aktivasi windows 8Tutorial cara backup aktivasi windows 8
Tutorial cara backup aktivasi windows 8
 
Squid (Proxy) Windows Server 2008
Squid (Proxy) Windows Server 2008Squid (Proxy) Windows Server 2008
Squid (Proxy) Windows Server 2008
 
Pre-test modul1 sistem operasi
Pre-test modul1 sistem operasiPre-test modul1 sistem operasi
Pre-test modul1 sistem operasi
 
Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1
Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1
Instalasi dan Konfigurasi Mikrotik CHR pada Proxmox VE 5.1
 
Pertemuan 14
Pertemuan 14Pertemuan 14
Pertemuan 14
 
Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1
Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1
Menonaktifkan Pesan Notifikasi No Valid Subscription pada Proxmox VE 5.1
 
Active Directory Win Server
Active Directory Win ServerActive Directory Win Server
Active Directory Win Server
 
18675466 complete-windows-server-2003
18675466 complete-windows-server-200318675466 complete-windows-server-2003
18675466 complete-windows-server-2003
 
09071003002 session dan fungsinya
09071003002 session dan fungsinya09071003002 session dan fungsinya
09071003002 session dan fungsinya
 
Soal uas os kelas non pemda smtr 2 2013
Soal uas os kelas non pemda smtr 2 2013 Soal uas os kelas non pemda smtr 2 2013
Soal uas os kelas non pemda smtr 2 2013
 
Configure dhcp server on windows server 2008
Configure dhcp server on windows server 2008Configure dhcp server on windows server 2008
Configure dhcp server on windows server 2008
 
PostgreSQL Karakteristik dan Pengamanannya
PostgreSQL Karakteristik dan PengamanannyaPostgreSQL Karakteristik dan Pengamanannya
PostgreSQL Karakteristik dan Pengamanannya
 
File1
File1File1
File1
 

Destacado

Destacado (9)

Choirul vbnet-00
Choirul vbnet-00Choirul vbnet-00
Choirul vbnet-00
 
Cara membuat antivirus dengan visual basic 6
Cara membuat antivirus dengan visual basic 6Cara membuat antivirus dengan visual basic 6
Cara membuat antivirus dengan visual basic 6
 
Aplikasi data penduduk
Aplikasi data pendudukAplikasi data penduduk
Aplikasi data penduduk
 
Choirul (vbnet-02)
Choirul (vbnet-02)Choirul (vbnet-02)
Choirul (vbnet-02)
 
Sony (dbname)
Sony (dbname)Sony (dbname)
Sony (dbname)
 
Djoni (null)
Djoni (null)Djoni (null)
Djoni (null)
 
Desain grafis ver1 2-pdf
Desain grafis ver1 2-pdfDesain grafis ver1 2-pdf
Desain grafis ver1 2-pdf
 
Vb%20 tutorial
Vb%20 tutorialVb%20 tutorial
Vb%20 tutorial
 
9. konsolidasi database_di_pusat
9. konsolidasi database_di_pusat9. konsolidasi database_di_pusat
9. konsolidasi database_di_pusat
 

Similar a Sony (misconfig)

Tugas makalah 4 ka34 pemograman generasi ke 4
Tugas makalah 4 ka34 pemograman generasi ke 4Tugas makalah 4 ka34 pemograman generasi ke 4
Tugas makalah 4 ka34 pemograman generasi ke 4Maulana Rocky
 
Implementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxyImplementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxyPanggih Supraja
 
Database dan Samba Server
Database dan Samba ServerDatabase dan Samba Server
Database dan Samba ServerAtika A
 
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi KeamananSIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanannadiapuji98
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4James Montolalu
 
Ws 01-install appserv+xampp+konfigurasi file
Ws 01-install appserv+xampp+konfigurasi fileWs 01-install appserv+xampp+konfigurasi file
Ws 01-install appserv+xampp+konfigurasi fileWahiduna ElQudsy
 
laporan praktikum rekayasa software php dan mysql
laporan praktikum rekayasa software php dan mysqllaporan praktikum rekayasa software php dan mysql
laporan praktikum rekayasa software php dan mysqlHibaten Wafiroh
 
Sql injection exposed proof of concept
Sql injection exposed  proof of conceptSql injection exposed  proof of concept
Sql injection exposed proof of conceptlaila wulandari
 
Sql server-security
Sql server-securitySql server-security
Sql server-securityMym Tuxer's
 
Cara instalasi sql server
Cara instalasi sql serverCara instalasi sql server
Cara instalasi sql serverichallan
 
Investigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheInvestigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheMark Thalib
 
Kelebihan dan kekurangan database engine
Kelebihan dan kekurangan database engineKelebihan dan kekurangan database engine
Kelebihan dan kekurangan database engineroji muhidin
 
Distributed Database Using Oracle
Distributed Database Using OracleDistributed Database Using Oracle
Distributed Database Using OracleHari Setiaji
 
Aksi penyerangan SQL dan penjegahan
Aksi penyerangan SQL dan penjegahanAksi penyerangan SQL dan penjegahan
Aksi penyerangan SQL dan penjegahanFadlil Mantoeng
 

Similar a Sony (misconfig) (20)

Tugas makalah 4 ka34 pemograman generasi ke 4
Tugas makalah 4 ka34 pemograman generasi ke 4Tugas makalah 4 ka34 pemograman generasi ke 4
Tugas makalah 4 ka34 pemograman generasi ke 4
 
Ajar mysql5 1
Ajar mysql5 1Ajar mysql5 1
Ajar mysql5 1
 
Choirul (client-01)
Choirul (client-01)Choirul (client-01)
Choirul (client-01)
 
Implementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxyImplementasi otentikasi pada squid dalam mode transparent proxy
Implementasi otentikasi pada squid dalam mode transparent proxy
 
Database dan Samba Server
Database dan Samba ServerDatabase dan Samba Server
Database dan Samba Server
 
Cara menghubungkan client ke server
Cara menghubungkan client ke serverCara menghubungkan client ke server
Cara menghubungkan client ke server
 
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi KeamananSIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
SIM 10 : Nahdiyah Puji Lestari. Prof.Dr. Hapzi Ali, MM,CMA.Informasi Keamanan
 
Virtual hacking Modul
Virtual hacking ModulVirtual hacking Modul
Virtual hacking Modul
 
Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4Tugas keamanan sistem informasi4
Tugas keamanan sistem informasi4
 
Ws 01-install appserv+xampp+konfigurasi file
Ws 01-install appserv+xampp+konfigurasi fileWs 01-install appserv+xampp+konfigurasi file
Ws 01-install appserv+xampp+konfigurasi file
 
laporan praktikum rekayasa software php dan mysql
laporan praktikum rekayasa software php dan mysqllaporan praktikum rekayasa software php dan mysql
laporan praktikum rekayasa software php dan mysql
 
Mysql rahmat
Mysql rahmatMysql rahmat
Mysql rahmat
 
Mysql rahmat
Mysql rahmatMysql rahmat
Mysql rahmat
 
Sql injection exposed proof of concept
Sql injection exposed  proof of conceptSql injection exposed  proof of concept
Sql injection exposed proof of concept
 
Sql server-security
Sql server-securitySql server-security
Sql server-security
 
Cara instalasi sql server
Cara instalasi sql serverCara instalasi sql server
Cara instalasi sql server
 
Investigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server ApacheInvestigasi Serangan Terhadap Website Pada Web Server Apache
Investigasi Serangan Terhadap Website Pada Web Server Apache
 
Kelebihan dan kekurangan database engine
Kelebihan dan kekurangan database engineKelebihan dan kekurangan database engine
Kelebihan dan kekurangan database engine
 
Distributed Database Using Oracle
Distributed Database Using OracleDistributed Database Using Oracle
Distributed Database Using Oracle
 
Aksi penyerangan SQL dan penjegahan
Aksi penyerangan SQL dan penjegahanAksi penyerangan SQL dan penjegahan
Aksi penyerangan SQL dan penjegahan
 

Más de Nurdin Al-Azies

Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)
Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)
Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)Nurdin Al-Azies
 
Daftar riwayat hidup Jusuf Kalla
Daftar riwayat hidup Jusuf KallaDaftar riwayat hidup Jusuf Kalla
Daftar riwayat hidup Jusuf KallaNurdin Al-Azies
 
Daftar riwayat hidup Joko Widodo
Daftar riwayat hidup Joko WidodoDaftar riwayat hidup Joko Widodo
Daftar riwayat hidup Joko WidodoNurdin Al-Azies
 
Panduan Tour Taman Safari Indonesia
Panduan Tour Taman Safari Indonesia Panduan Tour Taman Safari Indonesia
Panduan Tour Taman Safari Indonesia Nurdin Al-Azies
 
Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)
Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)
Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)Nurdin Al-Azies
 
Interpersonal skill and creativity (nurdin al azies)
Interpersonal skill and creativity (nurdin al azies)Interpersonal skill and creativity (nurdin al azies)
Interpersonal skill and creativity (nurdin al azies)Nurdin Al-Azies
 
Biar ngampus tak sekedar status
Biar ngampus tak sekedar statusBiar ngampus tak sekedar status
Biar ngampus tak sekedar statusNurdin Al-Azies
 
Kreatif entreupreneur workshop
Kreatif entreupreneur workshopKreatif entreupreneur workshop
Kreatif entreupreneur workshopNurdin Al-Azies
 
Strategi Penyambutan Mahasiswa Baru UNTUK LDK
Strategi Penyambutan Mahasiswa Baru UNTUK LDKStrategi Penyambutan Mahasiswa Baru UNTUK LDK
Strategi Penyambutan Mahasiswa Baru UNTUK LDKNurdin Al-Azies
 
7 international linkages
7 international linkages7 international linkages
7 international linkagesNurdin Al-Azies
 
04 ekonomi mikro rancang bangun ekonomi islam
04 ekonomi mikro     rancang bangun ekonomi islam04 ekonomi mikro     rancang bangun ekonomi islam
04 ekonomi mikro rancang bangun ekonomi islamNurdin Al-Azies
 
03 ekonomi mikro permintaan dan penawaran
03 ekonomi mikro     permintaan dan penawaran03 ekonomi mikro     permintaan dan penawaran
03 ekonomi mikro permintaan dan penawaranNurdin Al-Azies
 
02 ekonomi mikro pendahulan tentang ekonomi mikro
02 ekonomi mikro    pendahulan tentang ekonomi mikro02 ekonomi mikro    pendahulan tentang ekonomi mikro
02 ekonomi mikro pendahulan tentang ekonomi mikroNurdin Al-Azies
 
(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )
(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )
(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )Nurdin Al-Azies
 

Más de Nurdin Al-Azies (20)

Jadwal Piala Dunia 2014
Jadwal Piala Dunia 2014Jadwal Piala Dunia 2014
Jadwal Piala Dunia 2014
 
Visi misi prabowo-hatta
Visi misi prabowo-hattaVisi misi prabowo-hatta
Visi misi prabowo-hatta
 
Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)
Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)
Buku Studi Islam 3 (Dr. Ahmad Alim, LC. MA.)
 
Daftar riwayat hidup Jusuf Kalla
Daftar riwayat hidup Jusuf KallaDaftar riwayat hidup Jusuf Kalla
Daftar riwayat hidup Jusuf Kalla
 
Daftar riwayat hidup Joko Widodo
Daftar riwayat hidup Joko WidodoDaftar riwayat hidup Joko Widodo
Daftar riwayat hidup Joko Widodo
 
Panduan Tour Taman Safari Indonesia
Panduan Tour Taman Safari Indonesia Panduan Tour Taman Safari Indonesia
Panduan Tour Taman Safari Indonesia
 
Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)
Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)
Jadwal imsyakiyah Ramadhan 1435 H (Terbaru)
 
Brosur dan biaya
Brosur dan biayaBrosur dan biaya
Brosur dan biaya
 
Interpersonal skill and creativity (nurdin al azies)
Interpersonal skill and creativity (nurdin al azies)Interpersonal skill and creativity (nurdin al azies)
Interpersonal skill and creativity (nurdin al azies)
 
Biar ngampus tak sekedar status
Biar ngampus tak sekedar statusBiar ngampus tak sekedar status
Biar ngampus tak sekedar status
 
Kreatif entreupreneur workshop
Kreatif entreupreneur workshopKreatif entreupreneur workshop
Kreatif entreupreneur workshop
 
Strategi Penyambutan Mahasiswa Baru UNTUK LDK
Strategi Penyambutan Mahasiswa Baru UNTUK LDKStrategi Penyambutan Mahasiswa Baru UNTUK LDK
Strategi Penyambutan Mahasiswa Baru UNTUK LDK
 
Dakwah Kreatif
Dakwah KreatifDakwah Kreatif
Dakwah Kreatif
 
Adobe Flash:
Adobe Flash: Adobe Flash:
Adobe Flash:
 
7 international linkages
7 international linkages7 international linkages
7 international linkages
 
04 ekonomi mikro rancang bangun ekonomi islam
04 ekonomi mikro     rancang bangun ekonomi islam04 ekonomi mikro     rancang bangun ekonomi islam
04 ekonomi mikro rancang bangun ekonomi islam
 
03 ekonomi mikro permintaan dan penawaran
03 ekonomi mikro     permintaan dan penawaran03 ekonomi mikro     permintaan dan penawaran
03 ekonomi mikro permintaan dan penawaran
 
02 ekonomi mikro pendahulan tentang ekonomi mikro
02 ekonomi mikro    pendahulan tentang ekonomi mikro02 ekonomi mikro    pendahulan tentang ekonomi mikro
02 ekonomi mikro pendahulan tentang ekonomi mikro
 
(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )
(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )
(KULIAH S2 UIKA) 01 ekonomi mikro (DR. H. IRWAN CH, SE,MM )
 
Sony (northwind)
Sony (northwind)Sony (northwind)
Sony (northwind)
 

Sony (misconfig)

  • 1. Tips dan Trik IlmuKomputer.Com Copyright © 2003 IlmuKomputer.Com Miskonfigurasi Pada SQL Server, Awal Dari Bencana Besar !! Sony Arianto Kurniawan sonyarianto@yahoo.com The Sony AK Knowledge Center Lisensi Dokumen: Copyright © 2003 IlmuKomputer.Com Seluruh dokumen di IlmuKomputer.Com dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial (nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari IlmuKomputer.Com. Bagi Anda orang IT pasti sudah tidak asing lagi mendengar nama Microsoft SQL Server. Produk RDBMS terkenal buatan Microsoft ini memang sangat banyak dipakai di seluruh dunia oleh perusahaan-perusahaan untuk menyimpan informasi dan aset digital mereka. Banyak yang menggantungkan nasib perusahaan pada sang SQL Server. Namun kesalahan konfigurasi atau miskonfigurasi dari SQL Server bisa menyebabkan suatu keadaan yang fatal bagi sistem database dan bahkan mengakibatkan efek yang berbahaya bagi sistem komputer tempat SQL Server diinstall. Bisa hapus file dan shutdown sistem lho hueheheh ;) Sebelumnya penulis perlu menjelaskan bahwa artikel ini tidak mempunyai maksud tertentu selain untuk ilmu pengetahuan dan kebebasan dalam berbagi ilmu pengetahuan. Penulis tidak bertanggung jawab apapun terhadap segala sesuatu yang terjadi akibat artikel ini. Artikel ini bersifat terbuka yang berarti Anda bisa memberikan kritik dan saran terhadap artikel ini melalui article@sony-ak.com. Anda dilarang keras mengutip sebagian atau seluruh artikel ini tanpa sepengetahuan penulis. SQL Server yang akan kita bahas disini menggunakan SQL Server 7 atau bisa juga versi 2000 nya. SQL Server 7 memberikan dua jenis autentikasi untuk mengakses server database yaitu: 1. Windows NT Authentication Mode 2. Mixed Mode Jika Anda menginstall SQL Server dengan menggunakan Windows NT Authentication Mode maka secara otomatis login ke SQL Server akan mengikuti login Windows NT dan user dari Windows NT sajalah yang berhak untuk mengakses SQL Server. Jika SQL Server diinstall pada Mixed Mode maka setiap user yang login ke SQL Server bisa diautentikasi oleh Windows NT atau oleh SQL Server itu sendiri. User login yang diautentikasi oleh SQL Server harus memberikan username dan password yang dimaintenance sendiri oleh SQL Server dan ini merupakan salah satu awal bencana. 1
  • 2. Tips dan Trik IlmuKomputer.Com Copyright © 2003 IlmuKomputer.Com Ketika Anda menginstall SQL Server pada Mixed Mode maka secara otomatis SQL Server memiliki default account SA (system administrator) dengan password kosong (blank password). Jika Anda login dengan account "sa" ini maka Anda sudah memiliki hak akses sangat luar biasa terhadap SQL Server yang meliputi semua database, tabel, stored procedure, security dan bahkan secara sadar atau tidak Anda juga otomatis memiliki akses besar ke sistem komputer tempat SQL Server diinstall. Menurut pengamatan penulis dilapangan menunjukkan bahwa masih sangat banyak sekali SQL Server baik yang bersifat production server atau experiment server yang ternyata belum dikonfigurasi dengan benar. Salah satu contoh miskonfigurasi di SQL Server ya seperti yang sudah disebutkan diatas, yaitu DBA nya lupa memberi password untuk account "sa" dan SQL Server diinstall pada Mixed Mode. SQL Server memiliki extended stored procedure xp_cmdshell yang sangat mematikan. xp_cmdshell ini bisa menjalankan perintah shell pada SQL Server seperti jika Anda mengetikkan perintah-perintah shell pada layar console Windows NT. xp_cmdshell ini berada pada database master dan ini juga harus diatur hak pemakaiannya atau jika memang tidak perlu bisa dihapus. Tulisan mengenai SQL Server security check list akan disampaikan pada kesempatan yang lain. Oh ya, SQL Server bisa diakses oleh berbagai protokol seperti Named Pipe Net-Library atau melalui TCP/IP. SQL Server melalui TCP/IP akan membuka port 1433. Para pembaca mungkin masih ada yang bingung mengenai bencana apa saja akibat miskonfigurasi diatas. OK, penulis akan memberi contoh beberapa bencana yang mungkin terjadi jika Anda sudah bisa login ke SQL Server sebagai user "sa": 1. Bisa membuat user pada Windows NT dengan level sekelas Administrator. Ini bisa dicapai dengan cara mengeksekusi command seperti berikut pada SQL Server use master xp_cmdshell 'net user adminbaru admin /add' go xp_cmdshell 'net localgroup Administrators adminbaru /add' go Dengan perintah diatas maka Anda membuat user adminbaru dengan password admin pada Windows NT dan sekaligus menjadikannya sekelas Administrator. 2. Bisa men-start atau men-stop service pada Windows NT Ini bisa dilakukan dengan perintah net start atau net stop, contoh berikut adalah untuk men-stop service HTTP pada Windows NT yang berakibat matinya web server :) use master xp_cmdshell 'net stop w3svc' go 3. Bisa membuat FTP script untuk melakukan suatu download file dari server lain. 4. Bisa digunakan untuk men-deface website ;) Nah kalo yang ini mungkin banyak yang suka ;) Karena men-deface lewat SQL Server jauh lebih mudah daripada lewat bug unicode. Kalo pada bug unicode kita masuk ke sistem sesuai denganhak akses dari user IUSR_MACHINENAME, maka jika kita masuk ke sistem dengan SQL Server maka kita akan masuk dengan hak akses LocalSystem sehingga kita bisa melakukan apa saja di server, termasuk bisa men-shutdown sistem kalo mau :) 5. Bisa untuk mass-defacing, ah masak? Lho iya, penulis sendiri pernah masuk ke host SQL Server 2
  • 3. Tips dan Trik IlmuKomputer.Com Copyright © 2003 IlmuKomputer.Com yang kebetulan adalah milik suatu perusahaan web hosting di Israel dan kebetulan didalamnya terdapat puluhan wwwroot untuk beberapa domain yang berbeda. Tinggal copy aja file kita ke masing-masing folder tadi, jadilah sudah mass defacing yang ternyata cuman masuk ke satu host saja huehehe ;) 6. Bisa mengakses registry windows yang berakibat dengan mengambil password Windows NT atau juga membuat key dan value pada registry. Demikian beberapa bencana yang dapat menimpa sistem Windows NT yang terdapat SQL Server yang belum dikonfigurasi dengan benar. Sebenarnya masih banyak lagi bencana-bencana lain yang dapat muncul dan itu memang tergantung dari imajinasi Anda para hacker ;) Semakin Anda mengerti dan menguasai suatu sistem maka semakin banyak pula trik dan kemampuan Anda untuk mengeksploitasi sistem. Jika Anda berminat untuk mencoba maka sekarang mulai saja men-scan host yang port 1433 nya terbuka dan jika sudah menemukan host yang port 1433 nya terbuka cobalah akses kesana dengan menggunakan program Query Analyzer atau Anda juga bisa menggunakan SQL Server query dalam mode dos yaitu isql.exe. Jika Anda ingin mencobanya dengan ISQL maka coba ajah ketikkan perintah berikut untuk login ke SQL Server dari command prompt: C:>isql -S targethost -U sa Kemudian tekan enter, dan akan muncul inputan password, terus tekan enter saja. Jika host tersebut masih menggunakan password blank maka akan muncul SQL prompt seperti dibawah 1> Pada prompt tersebut Anda bisa mengetikan perintah SQL anda, misalnya seperti dibawah 1>select * from sysusers 2>go OK, akhirnya penulis berpesan bahwa jaga baik-baik SQL Server Anda, jangan lupa untuk mengisi password pada account "sa" (account "sa" tidak bisa di-rename atau dihapus). Sebenarnya masih banyak lagi yang harus diperhatikan pada SQL Server daripada sekedar mengganti password account "sa", tetapi dengan begitu saja sudah meminimalkan intrusion pada sistem Anda. 3