SQL INJECTION.docx
-
Upload
syahsyhar-blacked-rose -
Category
Documents
-
view
37 -
download
0
description
Transcript of SQL INJECTION.docx
![Page 1: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/1.jpg)
SQL INJECTIONDAN CYBER ATTACK
By : Syahroni Sugiarto (101080200031) Rahayu Agustin (091080200200) Ach. Rofiq Jailani (101080200114) Hildawati Ilham (101080200043) Fatmawati (101080200003)
![Page 2: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/2.jpg)
1. SQL INJECTION
Injeksi SQL adalah sebuah teknik penyalahgunaan sebuah celah keamanan yang terjadi
dalam lapisan basis data sebuah aplikasi berbasis web dengan cara memodifikasi perintah SQL
yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang
didalamnya menggunakan database untuk penyimpanan data. SQL injection dapat dilakukan karena
security atau keamanan pada level aplikasi (dalam hal ini aplikasi web) masih kurang sempurna.
Kurang sempurnanya adalah pada cara aplikasi meng-handle inputan yang boleh di proses ke dalam
database. Misalnya pada suatu web yang terdapat fasilitas login, terdapat dua buah inputan pada
umumnya, yaitu username dan password. Jika karakter yang masuk melalui dua buah inputan
tersebut tidak difilter (disaring) dengan baik maka bisa menimbulkan efek SQL injection, ini
dikarenakan biasanya inputan tersebut secara sistem akan menjadi bagian dari kriteria dari suatu
perintah SQL di dalam aplikasi web-nya.
Tujuan dari penggunaan injeksi SQL ini sangat beragam yaitu menambah dan memodifikasi
data dalam database, mencari informasi database penting dalam sebuah situs web, bahkan merusak
isi web yang dikehendaki. Metode injeksi yang digunakan pun beragam yaitu :
1. Injection through user input: Dalam kasus ini, penyerang menyuntikkan SQL perintah
dengan menyediakan input pengguna sesuai dibuat. Sebuah aplikasi Web dapat membaca
input pengguna dalam beberapa cara berdasarkan pada lingkungan di mana aplikasi ini
digunakan. Dalam kebanyakan SQLIAs target Aplikasi web, input pengguna biasanya
berasal dari pengiriman form yang dikirim ke aplikasi Web melalui HTTP GET atau
POST permintaan . Aplikasi web umumnya mampu mengakses input pengguna yang
terkandung dalam permintaan tersebut karena mereka akan mengakses variabel lain di
lingkungan.
2. Injection through cookies: Cookie adalah file yang berisi informasi yang dihasilkan oleh
aplikasi Web dan disimpan pada mesin klien. Ketika klien kembali ke aplikasi Web, cookie
dapat digunakan untuk mengembalikan informasi klien. Karena klien memiliki kontrol atas
penyimpanan cookie, klien jahat bisa mengutak-atik isi cookie. Jika aplikasi Web
menggunakan isi cookie untuk membangun SQL query, penyerang bisa dengan mudah
mengirimkan serangan oleh embedding dalam cookie
3. Injection through server variables: Variabel Server adalah kumpulan variabel yang berisi
HTTP, header jaringan, dan variabel lingkungan. Aplikasi web menggunakan variabel
server berbagai cara, seperti penebangan statistik penggunaan dan
![Page 3: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/3.jpg)
mengidentifikasi menelusuri tren. Jika variabel ini masuk ke database tanpa sanitasi, ini bisa
membuat SQL injection kerentanan. Karena penyerang bisa membina nilai-nilai yang
ditempatkan di HTTP dan header jaringan, mereka dapat memanfaatkan celah ini dengan
menempatkan SQLIA langsung ke header. Ketika query untuk log server variabel
dikeluarkan ke database, serangan di header palsu adalah salah satu pemicu.
4. Second-order injection: Dalam suntikan orde kedua, penyerang benih input berbahaya ke
dalam sistem atau database untuk secara tidak langsung memicu SQLIA ketika masukan
yang digunakan di lain waktu. Tujuan serangan semacam ini berbeda secara signifikan dari
biasa (misalnya, firstorder) serangan injeksi. Suntikan orde kedua tidak mencoba untuk
menyebabkan serangan terjadi ketika input berbahaya awalnya mencapai database.
Sebaliknya, penyerang bergantung pada pengetahuan tentang manamasukan akan kemudian
digunakan dan kerajinan serangan mereka sehingga terjadi selama penggunaan.
Semakin maraknya praktik injeksi SQL seharusnya membuat kita lebih waspada cara biasa
digunakan untuk mencegah SQL injection adalah dengan selalu memeriksa setiap karakter inputan
yang masuk ke dalam database melalui statement SQL. Selain itu ada banyak cara menanggulangi
SQL injection, berikut secara garis besar beberapa cara penangulangannya:
1. Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat
input box nya gak bisa diinject dengan perintah yang panjang.
2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input
Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
Bisa juga dengan cara mengganti pesan error message karena hal ini seringkali digunakan
oleh sang attacker untuk menelusuri informasi jalur penyimpanan database.
4. Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server
Security tab.
2. CYBER ATTACK
Definisi attack adalah semua jenis tindakan yang sengaja dilakukan untuk mengganggu
kerahasiaan (confidentiality), integritas (integrity), dan ketersedian (availability) dengan maksud
dan tujuan tertentu. Tindakan ini bisa ditujukan untuk mengganggu secara fisik maupun dari alur
logic suatu sistem. Cyber attack merupakan upaya kriminal tertentu dengan tujuan tertentu
![Page 4: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/4.jpg)
menggunakan teknologi komputer sebagai media utama penyerangannya. Berikut ini teknik umum
yang sering digunakan terkait dengan metode cyber attack:
1. Reconnaissance merupakan upaya untuk memperoleh sebanyak mungkin informasi
terkait target serangan. Contoh aktifitas ini adalah pencarian melalui search engine,
social website, enumerasi dan scanning pada infrastruktur sistem informasi.
2. Interception and tampering merupakan pelanggaran pada kerahasiaan dan integritas
informasi selama dipertukarkan. Contoh aktifitas ini adalah man in the middle, sniffing,
dan replay attack.
3. Exploit attack merupakan upaya untuk menerobos keamanan sistem informasi dengan
memanfaatkan celah keamanan pada protokol komunikasi, sistem operasi, dan aplikasi.
Contoh aktifitas ini adalah serangan buffer overflow dan SQL injection.
4. Malware attack merupakan upaya untuk menerobos keamanan sistem informasi dengan
menggunakan virus, worm, trojan horse, backdoor, dan rootkit.
5. Denial of service merupakan pelanggaran pada ketersediaan informasi. Tujuan dari
serangan ini adalah membuat sistem unresponsive atau crash misalnya radio signal
jamming dan membanjiri jaringan dengan traffic atau dikenal sebagai flooding.
6. Social engineering merupakan upaya untuk menerobos keamanan dengan mentargetkan
sumber daya manusia yang bertugas sebagai pengelola atau pengguna sistem informasi.
Dalam perkembangannya dari tahun ke tahun ada banyak sekali jenis cyber attack yang ada di
seluruh dunia. Mulai dari yang bersifat ringan hingga yang berat. Dibawah ini jenis-jenis cyber
attack yang banyak terjadi di dunia cyber :
1. Botnet, Terdiri dari dua kata, yaitu BOT (program yang otomatis) dan Net Networking).
Jadi botnet merupakan program yang secara otomatis, bekerja dalam network tertentu
yang bertujuan untuk mendapatkan “sesuatu” secara brutal, karena semua komputer
yang terhubung dalam jaringan akan diserang semuanya secara otomatis. Contoh:
conficker.vmx. Botnet ini sulit sekali dihilangkan, karena mempunyai fitur autoupdate
ke server yang ditunjuk, sehingga conficker ini sulit dilacak dan dihilangkan.
2. Denial of Service (DoS), mengirim paket data yang besar terhadap suatu server dan
memanfaatkan celah yang rentan dari sistem operasi, layanan-2 atau aplikasi-2. Akibat
serangan sitem crash atau pemakaian CPU 100 % , username tidak bisa login, daftar
barang tidak bisa muncul atau sudah dicetak.
![Page 5: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/5.jpg)
3. Spoofing, suatu upaya untuk menjelma menjadi sesuatu yang lain. Contohnya IP
address atau node source yang asli diganti IP address atau node source yang lain.
4. Spamming, Spam merupakan email/newsgroup/pesan diskusi forum yang tak diundang.
Berupa iklan dari vendor atau bisa berisi kuda Trojan. Biasanya datang bertubi-tubi
tanpa diminta dan sering kali tidak dikehendaki oleh penerimanya. pembuat spam akan
membuat mailing list dari alamat-alamat email yang ditemukan dari situs-situs terkenal
seperti Facebook, Multiply, Friendster dll. Setelah itu file-file akan disebarkan melalui
email-email tersebut.
5. Sniffer (Snooping Attact), Kegiatan user perusak yang ingin mendapatkan informasi
atau traffic melalui jaringan. Merupakan program penangkap paket data yang bisa di
duplikasikan isi paket yang melalui media jaringan ke dalam file. Fokus untuk
mendapatkan logon credensial, kunci rahasia, password dan lainnya. Contoh: menyadap
suatu pengiriman program saat memasukkan password dengan tujuan mendapatkan
password pengguna atau menduplikasikan program yang dikirimi program.
6. Hacker, Seseorang atau beberapa orang yang ahli dan mengetahui seluk beluk
komputer, baik, software, hardware, keamanan atau jaringannya. Sesungguhnya tidak
semua hacker melakukan kejahatan, ada hacker yang berfungsi sebagai peneliti dan
pengembang dengan cara menelusuri lubang-lubang keamanan sebuah software atau
jaringan komputer.
7. Crackers, sebutan untuk mereka yang masuk ke sistem orang lain dan cracker lebih
bersifat destruktif, biasanya di jaringan komputer, mem-bypass password atau lisensi
program komputer, secara sengaja melawan keamanan komputer, men-deface (merubah
halaman muka web) milik orang lain bahkan hingga men-delete data orang lain,
mencuri data.
8. Social Engineering, Bentuk serangan yang memanfaatkan sisi kelemahan manusia,
misalnya dengan merekayasa perasaan user sehingga user bersedia mengirim informasi
kepada hacker untuk selanjutnya digunakan untuk merusak sistem. contohnya email
yang meminta target untuk membuak attachment yang disisipi worm/trojan horse untuk
merusak jaringan.
9. Adware, Kependekan dari advertising software, yaitu sebuah program untuk
mengiklankan sesuatu yang dapat secara otomatis tampil dalam web browser atau pop
up. Adware bisa terdownload tanpa sengaja bila kita tidak teliti saat mengeklik iklan
yang tampil dalam sebuah pop-up.
![Page 6: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/6.jpg)
10. Virus dan Worm, Program komputer aktif yang tersembunyi dan membahayakan,
karena bersifatt merusak sistem komputer. Virus dapat menginfeksi program komputer
lain atau file data serta dapat terdistribusi ke komputer lain dengan membonceng
pendistribusian file/program lain.
Ada beberapa upaya yang dapat dilakukan untuk mencegah terjadinya cyber attack. Secara
personal user dapat melengkapi komputernya dengan firewall, hal ini dapat meminimalisir
terjadinya kejahatan-kejahatan jaringan. Antivirus juga salah satu perangkat lunak yang ampuh
untuk mencegah masuknya virus, wrom dan trojan dalam komputer user. Menggunakan fasilitas-
fasilitas kriptografi untuk menjaga kerahasiaan data yang kita miliki. Selain itu user juga mematikan
service-servise yang tidak digunakan. Ada baiknya user juga melakukan back up secara berkala,
agar apabila sesuatu hal yang tidak user inginkan terjadi, user dapat merestore data-datanya. Pada
skala yang lebih besar seperti pemerintahan atau global sebaiknya selalu mengupdate teknologi
yang digunakan, termasuk memonitor segala aktifitas cyber yang sedang dilakukan sehingga dapat
meminimalisir cyber attack yang sewaktu-waktu dapat terjadi.
![Page 7: SQL INJECTION.docx](https://reader036.fdokumen.com/reader036/viewer/2022071705/55cf9b0d550346d033a48ce8/html5/thumbnails/7.jpg)
Daftar Pustaka
http://binkorpspelaut.tnial.mil.id/index.php?
option=com_docman&task=doc_download&gid=6&Itemid=22
http://routeterritory.files.wordpress.com/2011/04/paper-sql-injection.doc
http://sttdb.files.wordpress.com/2011/06/makalah-keamanan-jarkom.doc
http://ranggablack89.wordpress.com/2012/04/01/cyber-crime-definisi-jenis-jenis-dan-cara-
penanggulangannya/
http://idifreakshit.heck.in/pengertian-tools-dan-pencegahan-sql-inje-2.xhtml
http://krisna-latansa.blogspot.com/2010/01/metode-sql-injection.html
http://rockinpeople666.blogspot.com/2013/06/bentuk-serangan-sql-injection_11.html