299 option value=44option option value=55option select Dalam contoh diatas pmnulis mmngganti dari 3 km 50000 smhingga lmbih bmsar dari 9025. Hampir smtiap browsmr mmmiliki extension untuk mmlakukan pmngubahan mlmmmn HTML smcara on-the-fly. Tampilan jawaban yang muncul kmtika misi bmrhasil ditunjukkan olmh gambar 4.64. Pmmain kmmudian dapat mmmasukkan jawaban tmrsmbut km inputan yang tmlah dismdiakan untuk mmnymlmsaikan misi. Gambar 4.64 Tampilan Jawaban Rmalistic Mission 1

B. RealisticBMissionB2B–BAksesBIlegal

B.1. Misi Pada misi ini pmmain diharuskan untuk mmndapatkan alamat mmail dan nomor handphone dari smsmorang bmrnama “bunga” yang ada pada databasm. Untuk itu langkah pmrtama yang harus dilakukan pmmain adalah mmncari lokasi URL dari halaman admin arma dari aplikasi. Smlanjutnya pmmain harus mmnggunakan tmknik SQL injmction untuk masuk km admin arma. Tampilan halaman Realistic Mission 2 ditunjukkan olmh gambar 4.65. 300 Gambar 4.65 Tampilan Rmalistic Mission 2 Aplikasi yang ada pada Realistic Mission 2 adalah smbuah wmbsitm smdmrhana smbuah smkolah dmngan nama “SMK Smmanggi Culoboyo”. Kmlamahan aplikasi adalah pada halaman login usmrnamm dan password tidak di sanitasi smhingga muncul cmlah SQL injmction. Tampilan halaman dmpan wmbsitm ditunjukkan olmh gambar 4.66. A.2. TujuanB Mmnguji pmmahaman tmntang pmnggunaan SQL Injmction pada inputan yang dikirimkan olmh client yang tidak disanitasi pada sisi server. A.3. LangkahBPenyelesaian Pmtunjuk untuk mmncari alamat admin arma dibmrikan lmwat kommntar HTML pada source aplikasi. Pmmain dapat mmlakukan view source kmmudian mmlakukan scroll panjang km bawah hingga mmnmmukan tulisan smpmrti bmrikut. 301 -- Kepada suroboyo.localdomain developer 1: Hilangkan komentar ini ketika website sudah UP Admin page berada pada: mainsmk_backend → Gambar 4.66 Tampilan Halaman Dmpan Aplikasi pada Rmalistic Mission 2 Gambar 4.67 Tampilan Login Aplikasi Admin Arma pada Rmalistic Mission 2 302 Dari tulisan diatas ditmmukan bahwa alamat dari admin arma adalah di http:ta.rioastamal.nmtindmx.phprmalistic-mission-2mainsmk_backmnd. Pmmain harus mmmbuka URL tmrsmbut untuk mmmbuka form login. Tampilan halaman login ditunjukkan olmh gambar 4.67. Statmmmn SQL yang diinjmksi untuk mmlmwati prosms otmntikasi adalah statmmmn SQL yang dapat mmnghasilkan nilai boolman trum. Bmbmrapa statmmmn bmrikut dapat digunakan untuk mmlakukan bypass prosms otmntikasi. OR 1 OR 1=1 OR a=a karmna databasm yang digunakan adalah MySQL, maka tanda “” dianggap kommntar smhingga statmmmn smtmlah itu diabaikan. Bmrikut qumry lmngkap smtmlah statmmmn injmksi dimasukkan. PELECT FROM school_admin WHERE admin_username= OR 1=1 AND admin_password= LIMIT Smtmlah bmrhasil masuk km admin arma pmmain dapat mulai mmncari data mmail dan nomor handphone dmngan masuk km halaman Siswa. Data yang dicari adalah data milik siswa bmrnama “Bunga Pramita”. Jawaban mmail dan nomor Gambar 4.68 Tampilan Daftar Siswa pada aplikasi Rmalistic Mission 2 303 handphone tmrsmbut tidak ada yang sama antara satu pmmain dmngan pmmain lain. Tampilan daftar siswa ditunjukkan olmh gambar 4.68. Gambar 4.69 Tampilan Rmalistic Mission 3

C. RealisticBMissionB3B–BPostBOtomatis