23/08/2024 by

SQL injection (SQLi)






Apa itu SQL injection (SQLi)


SQL injection (SQLi) adalah kerentanan keamanan web yang memungkinkan penyerang mengganggu query yang dibuat aplikasi ke database. Dengan SQLi, penyerang dapat mengakses data yang biasanya tidak diizinkan untuk diakses secara public, termasuk data milik pengguna lain atau data lain yang dapat diakses aplikasi. Penyerang juga dapat memodifikasi atau menghapus data tersebut, yang mengakibatkan perubahan permanen pada konten atau perilaku aplikasi.

Dalam beberapa kasus, serangan SQL injection bisa berkembang menjadi ancaman yang lebih besar, seperti merusak server atau sistem lain yang mendukung aplikasi. Penyerang bisa menggunakan kerentanan ini untuk mengambil alih kontrol server, mengakses data rahasia, atau mengganggu layanan. Selain itu, SQLi juga bisa digunakan untuk melakukan serangan denial-of-service (DoS) dengan membanjiri database dengan query yang tidak biasa, sehingga membuat database tidak bisa diakses atau mengalami kerusakan.

Mendeteksi SQL Injection Secara Manual


  • Menggunakan single quote character " ' "
  • Menggunakan sintaks SQL khusus untuk mengevaluasi nilai asli dan nilai yang berbeda
  • Mendeteksi SQL injection menggunakan kondisi boolean
  • Mendeteksi SQL injection menggunakan payload yang memicu penundaan waktu dengan memasukkan perintah SQL yang dirancang untuk memperlambat respons database
  • Mendeteksi SQL injection menggunakan payload OAST (Out-of-Band Application Security Testing)


Bagaimana SQL Injection Bekerja


Penanganan Input: SQL injection terjadi ketika aplikasi menerima input dari pengguna dan menyertakannya langsung dalam kueri SQL tanpa melakukan sanitasi atau validasi yang tepat.
Injection: Penyerang memanipulasi input tersebut untuk mengubah struktur kueri, menyisipkan kode SQL berbahaya yang dapat memanipulasi database dengan cara yang tidak diinginkan.
Eksekusi: Kueri yang telah dimanipulasi dijalankan oleh server database, yang berpotensi menyebabkan pelanggaran data, kehilangan data, atau hasil berbahaya lainnya.


Cara Mencegah SQL Injection


  • Penggunaan Parameterized Queries atau Prepared Statements: Ini memastikan bahwa input pengguna ditangani sebagai parameter dan bukan bagian dari queri SQL.
  • Sanitasi dan Validasi Input: Pastikan semua input pengguna disanitasi dan divalidasi sebelum digunakan dalam kueri SQL.
  • Penggunaan ORM (Object-Relational Mapping): Framework ORM secara otomatis menangani pembuatan kueri dan mengurangi risiko SQL injection.
  • Pengaturan Hak Akses yang Tepat: Batasi hak akses database sesuai dengan kebutuhan minimum aplikasi untuk mengurangi dampak jika terjadi serangan.Penggunaan Web Application Firewall (WAF): WAF dapat membantu mendeteksi dan memblokir serangan SQL injection secara real-time.

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)