SQL merupakan singkatan dari
Structured Query Language, adalah bahasa baku bagi mengakses dan menjantur database. SQL digunakan untuk mengelola sistem database seperti SQL server, Oracle, atau MySQL. Penggunaan SQL secara umum rapat persaudaraan serupa di semua sistem database, namun ada detail perbedaan tertentu yang unik kerjakan setiap sistem.

Baca Juga :

Query SQL Terasa Lama? Implementasikan Index pada Database Anda!

Sekilas tentang SQL Injection

SQL Injection adalah teknik yang menyalahgunakan ganggang keamanan yang ada pada salutan basis data sebuah aplikasi. Kisi ini terjadi ketika input dari pengguna bukan disaring secara benar, contohnya adalah kolom username yang seharusnya hanya diisi dengan abc atau angka tapi malah diisi dengan kepribadian lain (seperti: – = ’) sehingga penyerang memperalat celah tersebut dengan mandu memasukan query dari SQL.

SQL Injection selalu menjadi teknik penyerangan terfavorit sebagian raksasa hacker berusul tahun ke tahun, disamping karena semakin sulitnya hacker melakukan serbuan melalui jaringan nan disebabkan oleh semakin canggihnya perangkat-perangkat kubu berbunga target (ideal: firewall, IDS, UTM, dll), SQL Injection juga tinggal mudah dilakukan karena masih banyak web programmer yang masih kurang “aware” terhadapnya.

Sendang: http://www.hackmageddon.com/

Beberapa Tipe dari Serangan SQL Injection

Ada bilang tipe masyarakat dari SQL Injection, meskipun efek berpunca SQL Injection bervariasi berdasarkan aplikasi yang ditargetkan:

Otentikasi Bypass

Serangan ini memungkinkan agresor bikin masuk ke dalam petisi dengan hoki akal masuk manajerial, sonder memperalat username dan password yang meyakinkan.

Pencopetan Wara-wara

Terjangan ini memungkinkan penyerang untuk mendapatkan, baik secara langsung maupun lain langsung informasi-informasi temperamental di dalam database.

Compromised Integritas Data

Bidasan ini melibatkan pergantian isi database, koteng penyerang bisa menggunakan serangan ini buat deface jerambah web ataupun mengegolkan konten berbahaya ke n domestik jerambah web.

Compromised Ketersediaan Data

Serbuan ini memungkinkan penyerbu bagi menyetip informasi dengan harapan bakal merusak atau menghapus log atau audit informasi dalam database.

Remote Command Execution:

Berbuat perintah eksekusi melalui database yang memungkinkan penyerang bakal mengerjakan
compromise
pada sistem operasi host maupun alamat.

Satu bersumber banyak penggunaan SQL Injection melibatkan bypass pada sebuah proses autentikasi login aplikasi, umumnya form login username dan password pada memiliki gedung SQL Query seperti ini:

Otentikasi halal:



SELECT count (*) FROM Users WHERE Username=’Ronaldo’ AND Password= ‘Butterfly’

Otentikasi yang dilakukan
attacker:
SELECT count (*) FROM Users WHERE Username=’qwert’ or 1=1 -- ’ AND Password= ‘zxcvb’

Input nan masuk ke database moga berisikan username (Ronaldo) dan password (Butterfly). Input yang dimasukkan attacker
“qwert”
di form email tidaklah utama karena setelah itu ada cap “or 1=1 —
“ dimana artinya setiap input akan selalu dianggap
true,
karena 1=1 ialah atau semenjak
true
dan or adalah kondisi dimana seandainya ada salah 1 maupun lebih berusul 2 alias lebih input
true
maka otentikasi akan dianggap
true
maka itu sistem.
dan form password pun bisa diisi sesenangnya karena dibelakang stempel “– “ itu hanya dianggap sebagai
syntax comment
puas SQL.

Baca Juga :

Sesi Q&A tentang MySQL bersama Rois Korniawan

Berikut yaitu contoh source code yang memiliki celah untuk terkena sql injection, pada putaran request.get Indikator data yang diterima SQL query dikirim sinkron berpunca HTTP request tanpa testimoni semenjak data tersebut (jumlah min/max budi, keberagaman karakter yang diizinkan atau karakter-fiil berbahaya). Kesalahan ini menimbulkan ruji-ruji bagi menjadikan SQL seumpama payload dan mengubah fungsi statement nan ada.

String DRIVER = “com.ora.jdbc.Driver”;
String DataURL = “jdbc:db://localhost:5112/users”;
String LOGIN = “admin”;
String PASSWORD = “admin123”;
Class.forName(DRIVER);//Make connection to DB
Connection connection = DriverManager.getConnection(DataURL, LOGIN, PASSWORD);
String Username = request.getParameter(“USER”); // From HTTP request
String Password = request.getParameter(“PASSWORD”); // From HTTP request
int iUserID = -1;
String sLoggedUser = “”;
String rumah pasung = “SELECT User_id, Username FROM USERS WHERE Username = ‘” +Username + “‘ AND Password = ‘” + Password + “‘”;
Statement selectStatement = connection.createStatement ();
ResultSet resultSet = selectStatement.executeQuery(kerangkeng);
if (resultSet.next()) {
iUserID = resultSet.getInt(1);
sLoggedUser = resultSet.getString(2);
}PrintWriter writer = response.getWriter ();if (iUserID >= 0) {
writer.println (“User logged in: ” + sLoggedUser);
} else {

writer.println (“Access Denied!”)

Mempelajari SQL sangat terdahulu kerjakan mengamalkan ofensif SQL Injection, namun ada cukup banyak juga tools serangan otomatis untuk melakukan SQL Injection.

Baca Juga :

Tertarik Mengambil Training & Sertifikasi SQL Fundamentals? Yuk Pelajari Sangat Apa Sahaja Materinya!

Umpama web programmer kita harus mempelajari bagaimana kaidah berbuat secure programming, tidak semata-mata intern web programming tetapi sekali lagi dalam berbagai rupa bahasa programming lainnya.

PT. Inovasi Informatika Indonesia (i3) yaitu authorized partner EC-Council yang menyediakan heterogen jenis kelas training dan sertifikasi di bidang keamanan (security), menginjak dari tingkat fundamental sebatas tingkat advance.

Pembelajaran bertambah lanjut mengenai SQL Injection dapat Engkau dapatkan di kelas bawah Certified Ethical Hacker (CEH) yang diadakan makanya EC-Council. Untuk Kamu yang ingin mempelajari lebih lanjut tentang Secure Programming maka EC-Council juga menyediakan training EC-Council Certified Secure Programmer (ECSP) yang memiliki sortiran kelas, .Bantau ataupun Java.

Buat info lebih lengkap tentang training yang tersedia di i3, Anda dapat menghubungi berbarengan tim sales kami melalui halaman Contact Us.

Tentang i3

PT. Inovasi Informatika Indonesia (i3) dikenal sebagai firma penyedia solusi dan layanan TI yang berfokus pada
Open Source,
Security,
Big Data
dan
Cloud
lakukan bisnis. i3 menyediakan layanan TI yang komprehensif, menghampari konsultasi, migrasi dan implementasi, pelatihan,
troubleshooting, dan
managed services. Bagi kabar selanjutnya perihal layanan dan solusi yang ditawarkan, Kamu bisa menghubungi kami melampaui [email protected].