Pada kesempatan kali ini yang akan menjadi pembahasan adalah tentang dunia hacker yaitu tentang jenis serangan pada sistem keamanan website di dunia hacking yaitu teknik SQL Injection. Apa itu SQL Injetion? SQL Injection adalah teknik hacking yang ditujukan untuk menyerang database SQL server. Caranya yaitu dengan memanfaatkan celah yang ada dan penempatan kode SQL server, dengan memasukan kode berbahaya melalui input masuk halaman suatu situs.
Selain itu cara melakukan sql injection ini merupakan teknik umum yang biasa dipakai untuk menyerang sebuah situs di internet.
Teknik Hacking SQL Injection Dan Cara Mencegahnya
Apa Saja Penyebeb Terjadinya SQL Injection?
Jadi asal sobat ketahui bahwa SQL Injection terjadi karena tidak adanya penanganan terhadap karakter-karakter tanda petik tunggal (‘) dan juga karakter double minus (–). Sehingga seorang hacker dengan mudahnya bisa menyisipkan perintah SQL kedalam suatu parameter maupun suatu Form. Karena sesungguhnya para hacker hanya bermodalkan algoritma yang matang yang nantinya akan menjadi kode berbahaya bagi situs yang menjadi sasaran.
Lalu, Apa Saja Jenis Serangan SQL Injectoin? Dibawah ini berbagai macam serangan SQL Injection :
1. Identifying injectable parameters
Dengan cara ini penyerang hanya ingin menyelidiki Aplikasi Web untuk menemukan dimana parameter dan bidang-input pengguna rentan terhadap SQLIA.
Dengan cara ini penyerang hanya ingin menyelidiki Aplikasi Web untuk menemukan dimana parameter dan bidang-input pengguna rentan terhadap SQLIA.
2. Performing database finger-printing
Penyerang ingin menemukan jenis dan versi database yang aplikasi Web menggunakan. Beberapa jenis database yang berbeda merespon secara berbeda terhadap query dan serangan, dan informasi ini dapat digunakan untuk “sidik jari” database. Mengetahui jenis dan versi database digunakan oleh aplikasi Web memungkinkan penyerang untuk kerajinan serangan database specific.
Penyerang ingin menemukan jenis dan versi database yang aplikasi Web menggunakan. Beberapa jenis database yang berbeda merespon secara berbeda terhadap query dan serangan, dan informasi ini dapat digunakan untuk “sidik jari” database. Mengetahui jenis dan versi database digunakan oleh aplikasi Web memungkinkan penyerang untuk kerajinan serangan database specific.
3. Determining database schema
Untuk benar mengekstrak data dari database, penyerang seringkali perlu mengetahui informasi skema database, seperti nama tabel, nama kolom, dan tipe data kolom.
Untuk benar mengekstrak data dari database, penyerang seringkali perlu mengetahui informasi skema database, seperti nama tabel, nama kolom, dan tipe data kolom.
4. Extracting data
Jenis-jenis serangan menggunakan teknik yang akan mengekstrak nilai data dari database. Tergantung pada jenis aplikasi Web, informasi ini bisa menjadi sensitif dan sangat diinginkan untuk penyerang. Serangan dengan maksud ini adalah Jenis yang paling umum dari SQLIA.
Jenis-jenis serangan menggunakan teknik yang akan mengekstrak nilai data dari database. Tergantung pada jenis aplikasi Web, informasi ini bisa menjadi sensitif dan sangat diinginkan untuk penyerang. Serangan dengan maksud ini adalah Jenis yang paling umum dari SQLIA.
5.Adding or modifying data
Tujuan dari serangan ini adalah untuk menambah atau mengubah informasi dalam database.
Tujuan dari serangan ini adalah untuk menambah atau mengubah informasi dalam database.
6.Performing denial of service
Serangan ini dilakukan untuk menutup database dari aplikasi Web, sehingga menyangkal layanan kepada pengguna lain.
Serangan ini dilakukan untuk menutup database dari aplikasi Web, sehingga menyangkal layanan kepada pengguna lain.
7. Evading detection
Kategori ini mengacu pada teknik serangan tertentu yang digunakan untuk menghindari audit dan deteksi oleh mekanisme perlindungan sistem.
Kategori ini mengacu pada teknik serangan tertentu yang digunakan untuk menghindari audit dan deteksi oleh mekanisme perlindungan sistem.
8. Bypassing authentication
Tujuan dari serangan jenis ini adalah untuk memungkinkan penyerang untuk memotong database dan mekanisme otentikasi aplikasi.
Tujuan dari serangan jenis ini adalah untuk memungkinkan penyerang untuk memotong database dan mekanisme otentikasi aplikasi.
9. Executing remote commands
Jenis-jenis serangan mencoba untuk menjalankan perintah sewenang-wenang pada database. Perintah ini Canbe disimpan prosedur atau fungsi yang tersedia bagi pengguna database.
Jenis-jenis serangan mencoba untuk menjalankan perintah sewenang-wenang pada database. Perintah ini Canbe disimpan prosedur atau fungsi yang tersedia bagi pengguna database.
10. Performing privilege escalation
Serangan ini memanfaatkan kesalahan implementasi atau kekurangan logis dalam database untuk meningkatkan hak-hak istimewa dari penyerang. Berbeda dengan melewati serangan otentikasi, serangan ini fokus pada pemanfaatan hak database pengguna.
Serangan ini memanfaatkan kesalahan implementasi atau kekurangan logis dalam database untuk meningkatkan hak-hak istimewa dari penyerang. Berbeda dengan melewati serangan otentikasi, serangan ini fokus pada pemanfaatan hak database pengguna.
Diatas tadi merupakan beberapa jenis serangan menggunakan SQL Injetion yang sering digunakan oleh para Hacker. Kemudian yang perlu sobat ketahui khususnya yang memiliki website sendiri untuk tetap berhati-hati dalam mengakses dan mengelola pintu masuk database. Kemudian segala masalah pasti ada solusi, dan lebihbaik sobat lebih berhati-hati dalam mengelola website sobat agar terhindar dari kejahatan SQL Injection.
Bagaimana Cara Pencegahan SQL Injection?
1. Hal pertama yang bisa sobat lakukan adalah dengan membatasi panjang input box (jika memungkinkan), jadi untuk membatasinya sobat bisa menyisipkanya di kode program, agar nanti si pembobol pemula akan bingung sejenak melihat input box nya tidakbisa diinject dengan perintah yang panjang.
2. Pada langkah kedua lakukan Filtering pada input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5. Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server Security tab.
6. Pasang WAF ( Web Application Firewall ) Pada Web Server sobat. WAF (Web Application Firewall) ini berperan sangat penting dalam melindungi Web Server anda, Karena WAF bertugas sebagai penjaga web anda dari berbagai serangan berbahaya (SQL Injection, XSS, Spam, CSRF, dll).
2. Pada langkah kedua lakukan Filtering pada input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5. Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server Security tab.
6. Pasang WAF ( Web Application Firewall ) Pada Web Server sobat. WAF (Web Application Firewall) ini berperan sangat penting dalam melindungi Web Server anda, Karena WAF bertugas sebagai penjaga web anda dari berbagai serangan berbahaya (SQL Injection, XSS, Spam, CSRF, dll).
Itulah beberapa cara untuk menghindari serangan ini. Kemudian apabila sobat memiliki sebuah situs, usahakan agar harus lulus uji SQL injection vulnerability test. Untuk demonstrasi sederhana bagaimana menyerang dengan teknik SQL Injection, kamu bisa melihatnya melalui video berikut.
Nah, itulah tadi sekilas penjelasan tentang serangan SQL Injection, semoga dengan sedikit penjelasan diatas sobat bisa paham apa yang terjadi dalam sistem keamanan dalam sebuah website. Selain itu juga saya membagikan sedikit tips dan gambaran untuk menghindari serangan ini. Semoga bermanfaat kepada sobat semua, jika memang ini bermanfaat silahkan share ke teman-teman sobat. Terimakasih~
Tidak ada komentar:
Posting Komentar