Short Note MySQL & Cara Bypass Mod_Security

Tanda suatu website diproteksi dengan mod_security yaitu muncul tulisan bahwa website tersebut diproteksi dengan mod_security :D . Atau muncul forbidden, atau pesan error lainnya. Untuk bisa membedakannya, masih ada sangkut-pautnya dengan pesan-pesan error SQL. Untuk bisa lebih memahaminya, kita butuh pengalaman. :D

Mod_security bisa di bypass dengan menyisipkan command sql di antara /*! dan */, misal /*! Your SQL Command */. Yang saya tahu metode blocking pada mod_security menggunakan string matching dengan cara memblok setiap keyword yang bisa "memebahayakan" keamanan aplikasi web, misal perintah UNION.

Ada yang aneh dengan mod_security, defaultnya dia tidak memblok keyword 'ORDER' dimana keyword tersebut adalah keyword dasar untuk menemukan jumlah kolom pada tabel. Artinya, jika "ORDER" juga diblok, otomatis step awal untuk pengamanan sudah ditutup. Akan tetapi jika perintah "ORDER" dibiarkan, maka penginjeksi sudah masuk ke step selanjutnya. Entah ini memang bug dari mod_security atau memang dirancang seperti itu sehingga orang-orang yang paham dengan mod_security bisa dengan mudah mem-bypass pertahanan web tersebut.

http://web.com/?id=-927/*!union select 1,group_concat(schema_name),3,4,5,6 from information_schema.schemata*/

SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA

SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE()

SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=hexa_format

hexa_format adalah nama tabel yang diconvert dari ascii ke hexa kemudian diawali dengan '0x'. Tulisan ini belaku untuk MySQL saja. Jadi untuk server database yang lainnya bisa jadi berbeda.