SQL INJECTION.docx

10
SQL INJECTIONDAN CYBER ATTACK By : Syahroni Sugiarto (101080200031) Rahayu Agustin (091080200200) Ach. Rofiq Jailani (101080200114) Hildawati Ilham (101080200043) Fatmawati (101080200003)

description

its about

Transcript of SQL INJECTION.docx

Page 1: SQL INJECTION.docx

  

SQL INJECTIONDAN CYBER ATTACK

By : Syahroni Sugiarto (101080200031) Rahayu Agustin (091080200200) Ach. Rofiq Jailani (101080200114) Hildawati Ilham (101080200043) Fatmawati (101080200003)

Page 2: SQL INJECTION.docx

1. SQL INJECTION

Injeksi SQL adalah sebuah teknik penyalahgunaan sebuah celah keamanan yang terjadi

dalam lapisan basis data sebuah aplikasi berbasis web dengan cara memodifikasi perintah SQL

yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang

didalamnya menggunakan database untuk penyimpanan data. SQL injection dapat dilakukan karena

security atau keamanan pada level aplikasi (dalam hal ini aplikasi web) masih kurang sempurna.

Kurang sempurnanya adalah pada cara aplikasi meng-handle inputan yang boleh di proses ke dalam

database. Misalnya pada suatu web yang terdapat fasilitas login, terdapat dua buah inputan pada

umumnya, yaitu username dan password. Jika karakter yang masuk melalui dua buah inputan

tersebut tidak difilter (disaring) dengan baik maka bisa menimbulkan efek SQL injection, ini

dikarenakan biasanya inputan tersebut secara sistem akan menjadi bagian dari kriteria dari suatu

perintah SQL di dalam aplikasi web-nya.

Tujuan dari penggunaan injeksi SQL ini sangat beragam yaitu menambah dan memodifikasi

data dalam database, mencari informasi database penting dalam sebuah situs web, bahkan merusak

isi web yang dikehendaki. Metode injeksi yang digunakan pun beragam yaitu :

1. Injection through user input: Dalam kasus ini, penyerang menyuntikkan SQL perintah

dengan menyediakan input pengguna sesuai dibuat. Sebuah aplikasi Web dapat membaca

input pengguna dalam beberapa cara berdasarkan pada lingkungan di mana aplikasi ini

digunakan. Dalam kebanyakan SQLIAs target Aplikasi web, input pengguna biasanya

berasal dari pengiriman form yang dikirim ke aplikasi Web melalui HTTP GET atau

POST permintaan . Aplikasi web umumnya mampu mengakses input pengguna yang

terkandung dalam permintaan tersebut karena mereka akan mengakses variabel lain di

lingkungan.

2. Injection through cookies:  Cookie adalah file yang berisi informasi  yang dihasilkan oleh

aplikasi Web dan disimpan pada mesin klien. Ketika klien kembali ke aplikasi Web, cookie

dapat digunakan untuk mengembalikan informasi klien. Karena klien memiliki kontrol atas

penyimpanan cookie, klien jahat bisa mengutak-atik isi cookie. Jika aplikasi Web

menggunakan isi cookie untuk membangun SQL query, penyerang bisa dengan mudah

mengirimkan serangan oleh embedding dalam cookie

3. Injection through server variables: Variabel Server adalah kumpulan variabel yang berisi

HTTP, header jaringan, dan variabel lingkungan. Aplikasi web menggunakan variabel

server berbagai cara, seperti penebangan statistik penggunaan dan

Page 3: SQL INJECTION.docx

mengidentifikasi menelusuri tren. Jika variabel ini masuk ke database tanpa sanitasi, ini bisa

membuat SQL injection kerentanan. Karena penyerang bisa membina nilai-nilai yang

ditempatkan di HTTP dan header jaringan, mereka dapat memanfaatkan celah ini dengan

menempatkan SQLIA langsung ke header. Ketika query untuk log server variabel

dikeluarkan ke database, serangan di header palsu adalah salah satu pemicu.

4. Second-order injection: Dalam suntikan orde kedua, penyerang benih input berbahaya ke

dalam sistem atau database untuk secara tidak langsung memicu SQLIA ketika masukan

yang digunakan di lain waktu. Tujuan serangan semacam ini berbeda secara signifikan dari

biasa (misalnya, firstorder) serangan injeksi. Suntikan orde kedua tidak mencoba untuk

menyebabkan serangan terjadi ketika input berbahaya awalnya mencapai database.

Sebaliknya, penyerang bergantung pada pengetahuan tentang manamasukan akan kemudian

digunakan dan kerajinan serangan mereka sehingga terjadi selama penggunaan.

Semakin maraknya praktik injeksi SQL seharusnya membuat kita lebih waspada cara biasa

digunakan untuk mencegah SQL injection adalah dengan selalu memeriksa setiap karakter inputan

yang masuk ke dalam database melalui statement SQL. Selain itu ada banyak cara menanggulangi

SQL injection, berikut secara garis besar beberapa cara penangulangannya:

1. Batasi panjang input box (jika memungkinkan), dengan

cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat

input box nya gak bisa diinject dengan perintah yang panjang.

2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input

Validation).

3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.

Bisa juga dengan cara mengganti pesan error message karena hal ini seringkali digunakan

oleh sang attacker untuk menelusuri informasi jalur penyimpanan database.

4. Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server

Security tab.

2. CYBER ATTACK

Definisi attack adalah semua jenis tindakan yang sengaja dilakukan untuk mengganggu

kerahasiaan (confidentiality), integritas (integrity), dan ketersedian (availability) dengan maksud

dan tujuan tertentu. Tindakan ini bisa ditujukan untuk mengganggu secara fisik maupun dari alur

logic suatu sistem. Cyber attack merupakan upaya kriminal tertentu dengan tujuan tertentu

Page 4: SQL INJECTION.docx

menggunakan teknologi komputer sebagai media utama penyerangannya. Berikut ini teknik umum

yang sering digunakan terkait dengan metode cyber attack:

1. Reconnaissance merupakan upaya untuk memperoleh sebanyak mungkin informasi

terkait target serangan. Contoh aktifitas ini adalah pencarian melalui search engine,

social website, enumerasi dan scanning pada infrastruktur sistem informasi.

2. Interception and tampering merupakan pelanggaran pada kerahasiaan dan integritas

informasi selama dipertukarkan. Contoh aktifitas ini adalah man in the middle, sniffing,

dan replay attack.

3. Exploit attack merupakan upaya untuk menerobos keamanan sistem informasi dengan

memanfaatkan celah keamanan pada protokol komunikasi, sistem operasi, dan aplikasi.

Contoh aktifitas ini adalah serangan buffer overflow dan SQL injection.

4. Malware attack merupakan upaya untuk menerobos keamanan sistem informasi dengan

menggunakan virus, worm, trojan horse, backdoor, dan rootkit.

5. Denial of service merupakan pelanggaran pada ketersediaan informasi. Tujuan dari

serangan ini adalah membuat sistem unresponsive atau crash misalnya radio signal

jamming dan membanjiri jaringan dengan traffic atau dikenal sebagai flooding.

6. Social engineering merupakan upaya untuk menerobos keamanan dengan mentargetkan

sumber daya manusia yang bertugas sebagai pengelola atau pengguna sistem informasi.

Dalam perkembangannya dari tahun ke tahun ada banyak sekali jenis cyber attack yang ada di

seluruh dunia. Mulai dari yang bersifat ringan hingga yang berat. Dibawah ini jenis-jenis cyber

attack yang banyak terjadi di dunia cyber :

1. Botnet, Terdiri dari dua kata, yaitu BOT (program yang otomatis) dan Net Networking).

Jadi botnet merupakan program yang secara otomatis, bekerja dalam network tertentu

yang bertujuan untuk mendapatkan “sesuatu” secara brutal, karena semua komputer

yang terhubung dalam jaringan akan diserang semuanya secara otomatis. Contoh:

conficker.vmx. Botnet ini sulit sekali dihilangkan, karena mempunyai fitur autoupdate

ke server yang ditunjuk, sehingga conficker ini sulit dilacak dan dihilangkan.

2. Denial of Service (DoS), mengirim paket data yang besar terhadap suatu server dan

memanfaatkan celah yang rentan dari sistem operasi, layanan-2 atau aplikasi-2. Akibat

serangan sitem crash atau pemakaian CPU 100 % , username tidak bisa login, daftar

barang tidak bisa muncul atau sudah dicetak.

Page 5: SQL INJECTION.docx

3. Spoofing, suatu upaya untuk menjelma menjadi sesuatu yang lain. Contohnya IP

address atau node source yang asli diganti IP address atau node source yang lain.

4. Spamming, Spam merupakan email/newsgroup/pesan diskusi forum yang tak diundang.

Berupa iklan dari vendor atau bisa berisi kuda Trojan. Biasanya datang bertubi-tubi

tanpa diminta dan sering kali tidak dikehendaki oleh penerimanya. pembuat spam akan

membuat mailing list dari alamat-alamat email yang ditemukan dari situs-situs terkenal

seperti Facebook, Multiply, Friendster dll. Setelah itu file-file akan disebarkan melalui

email-email tersebut.

5. Sniffer (Snooping Attact), Kegiatan user perusak yang ingin mendapatkan informasi

atau traffic melalui jaringan. Merupakan program penangkap paket data yang bisa di

duplikasikan isi paket yang melalui media jaringan ke dalam file. Fokus untuk

mendapatkan logon credensial, kunci rahasia, password dan lainnya. Contoh: menyadap

suatu pengiriman program saat memasukkan password dengan tujuan mendapatkan

password pengguna atau menduplikasikan program yang dikirimi program.

6. Hacker, Seseorang atau beberapa orang yang ahli dan mengetahui seluk beluk

komputer, baik, software, hardware, keamanan atau jaringannya. Sesungguhnya tidak

semua hacker melakukan kejahatan, ada hacker yang berfungsi sebagai peneliti dan

pengembang dengan cara menelusuri lubang-lubang keamanan sebuah software atau

jaringan komputer.

7. Crackers, sebutan untuk mereka yang masuk ke sistem orang lain dan cracker lebih

bersifat destruktif, biasanya di jaringan komputer, mem-bypass password atau lisensi

program komputer, secara sengaja melawan keamanan komputer, men-deface (merubah

halaman muka web) milik orang lain bahkan hingga men-delete data orang lain,

mencuri data.

8. Social Engineering, Bentuk serangan yang memanfaatkan sisi kelemahan manusia,

misalnya dengan merekayasa perasaan user sehingga user bersedia mengirim informasi

kepada hacker untuk selanjutnya digunakan untuk merusak sistem. contohnya email

yang meminta target untuk membuak attachment yang disisipi worm/trojan horse untuk

merusak jaringan.

9. Adware, Kependekan dari advertising software, yaitu sebuah program untuk

mengiklankan sesuatu yang dapat secara otomatis tampil dalam web browser atau pop

up. Adware bisa terdownload tanpa sengaja bila kita tidak teliti saat mengeklik iklan

yang tampil dalam sebuah pop-up.

Page 6: SQL INJECTION.docx

10. Virus dan Worm, Program komputer aktif yang tersembunyi dan membahayakan,

karena bersifatt merusak sistem komputer. Virus dapat menginfeksi program komputer

lain atau file data serta dapat terdistribusi ke komputer lain dengan membonceng

pendistribusian file/program lain.

Ada beberapa upaya yang dapat dilakukan untuk mencegah terjadinya cyber attack. Secara

personal user dapat melengkapi komputernya dengan firewall, hal ini dapat meminimalisir

terjadinya kejahatan-kejahatan jaringan. Antivirus juga salah satu perangkat lunak yang ampuh

untuk mencegah masuknya virus, wrom dan trojan dalam komputer user. Menggunakan fasilitas-

fasilitas kriptografi untuk menjaga kerahasiaan data yang kita miliki. Selain itu user juga mematikan

service-servise yang tidak digunakan. Ada baiknya user juga melakukan back up secara berkala,

agar apabila sesuatu hal yang tidak user inginkan terjadi, user dapat merestore data-datanya. Pada

skala yang lebih besar seperti pemerintahan atau global sebaiknya selalu mengupdate teknologi

yang digunakan, termasuk memonitor segala aktifitas cyber yang sedang dilakukan sehingga dapat

meminimalisir cyber attack yang sewaktu-waktu dapat terjadi.

Page 7: SQL INJECTION.docx

Daftar Pustaka

http://binkorpspelaut.tnial.mil.id/index.php?

option=com_docman&task=doc_download&gid=6&Itemid=22

http://routeterritory.files.wordpress.com/2011/04/paper-sql-injection.doc

http://sttdb.files.wordpress.com/2011/06/makalah-keamanan-jarkom.doc

http://ranggablack89.wordpress.com/2012/04/01/cyber-crime-definisi-jenis-jenis-dan-cara-

penanggulangannya/

http://idifreakshit.heck.in/pengertian-tools-dan-pencegahan-sql-inje-2.xhtml

http://krisna-latansa.blogspot.com/2010/01/metode-sql-injection.html

http://rockinpeople666.blogspot.com/2013/06/bentuk-serangan-sql-injection_11.html