Oleh :
Rizky Ramadhan (201311037)
Grafico dhimas junior (201311018)
Bismillahirahmanirrahim,
Assalamualaikun warohatullahi wabarokatuh,
Puji dan syukur kita panjatkan atas kehadirat Allah SWT, atas rahmat kesehatan dan
kesempatan serta semangat yang senantiasa diberikan kepada kami selaku Penyusun makalah ini,
karena dengan rahmat-NYA lah kami bisa menyelesaikan makalah yang di amanahkan oleh
dosen kepada kelompok kami tepat sesuai waktu yang ditentukan, adapun judul makalah yang
kami susun yaitu SQL Injection.
Kami sangat menyadari, jika dalam penyusunan makalah ini masih belum sempurna dan
tentunya masih membutuhkan banyak perbaikan, oleh karena itu masukan yang bersifat
membangun dari pembaca sangat kami harapkan sebagai referensi untuk perbaikan pada
penyusunan makalah kami selanjutnya. Kami sangat berharap melalui makalah ini, semoga kita
bisa memahami apa itu SQL Injection, mudah-mudahan makalah ini dapat bermanfaat kepada
pembaca dan terutama kami selaku penulis.
Wassalamualaikum warohmatullahi wabarokatuh.
Penyusun,
BAB I
PENDAHULUAN
1.1 Latar Belakang
Pada saat ini teknologi informasi dan komunikasi atau biasa di sebut dengan TIK, dalam hal
ini khususnya internet berkembang begitu pesatnya seiring dengan perubahan zaman. Hampir di
semua bidang kehidupan masyarakat banyak yang memanfaatkan penggunaan TIK dalam
menjalankan aktifitasnya sehari-hari. Mulai dari bidang ekonomi, sosial, politik, agama,
pendididkan, kesehatan, pemerintahan, perbankan, sistem pertahanan dan keamanan suatu
Negara. Serta dengan percepatan teknologi yang semakin lama semakin dahsyat menjadikan
sebab marterial perubahan yang terus menerus menjadikan suatu Negara dapat mengembangkan
teknologinya yang semakin canggih.
Internet merupakan symbol material embrio masyarakat global. Internet membuat globe dunia,
era informasi ditandai dengan aksesibilitas informasi yang amat tinggi. Dalam era ini, informasi
merupakan komoditi utama yang diperjual belikan sehingga akan muncul berbagai network dan
information company yang akan memperjual belikan berbagai fasilitas bermacam jaringan dan
berbagai basis data informasi tentang berbagai hal yang dapat diakses oleh pengguna dan
pelanggan.
Akan tetapi di balik manfaat-manfaat itu semua,terkadang ada beberapa pihak tertentu yang
menyalahgunakan penggunaan TIK khususnya internet ini. Mereka sengaja masuk kedalam web
suatu instansi/lembaga tertentu kemudian melakukan kejahatan didalamnya.baik itu mencuri data
ataupun mengacaukan data,bahkan tidak sedikit mencuri uang melalui internet seperti
pembobolan nomor pin ATM.
Kejahatan-kejahatan seperti inilah yang disebut sebagai Cybercrime. Banyak jenis dan ragam
cybercrime namun semuanya pada dasarnya sama yakni melakukan tindakan kejahatan di dunia
maya atau internet.
1.2 Maksud dan Tujuan
Adapun maksud dan tujuan dari pembuatan makalah Etika Profesi Teknologi Informasi dan
Komunikasi adalah sebagai berikut :
1. Untuk menambah pola pikir mahasiswa menjadi pribadi yang memiliki wawasan pengetahuan.
2. Untuk menerapkan ilmu pengetahuan yang telah di dapat dalam perkuliahan khususnya mata
kuliah Etika TIK.
3. Untuk mengetahui mengenai cybercrime dan kejahatan apa saja yang dapat dikatakan
cybercrime, penyebab dan faktornya.
4. Untuk mengetahui kasus SQL Injection, penyebab, factor dan penanggulangannya.
5. Untuk mengetahui undang-undang yang dikenakan pada pelaku SQL Injection.
BAB II
TINJAUAN UMUM
Kejahatan ini merupakan jenis kejahatan atau tindak kriminal yang dilakukan secara
konvensional seperti misalnya perampokkan, pencurian, pembunuhan dan lain-lain.
Kejahatan jenis ini terbagi dalam empat kelompok kejahatan, yakni kejahatan korporasi,
kejahatan birokrat, malpraktek, dan kejahatan individu.
Cybercrime sendiri sebagai kejahatan yang muncul sebagai akibat adanya komunitas dunia maya
di internet, memiliki karakteristik tersendiri yang berbeda dengan kedua model di atas.
Karakteristik unik dari kejahatan di dunia maya tersebut antara lain menyangkut lima hal berikut:
1. Ruang lingkup kejahatan
2. Sifat kejahatan
3. Pelaku kejahatan
4. Modus Kejahatan
5. Jenis kerugian yang ditimbulkan
2.3 Jenis - Jenis Cyber Crime
Berdasarkan jenis aktifitas yang dilakukannya, cybercrime dapat digolongkan menjadi beberapa
jenis sebagai berikut:
a. Unauthorized Access
Merupakan kejahatan yang terjadi ketika seseorang memasuki atau menyusup ke dalam
suatu sistem jaringan komputer secara tidak sah, tanpa izin, atau tanpa sepengetahuan dari
pemilik sistem jaringan komputer yang dimasukinya. Probing dan port merupakan contoh
kejahatan ini.
b. Illegal Contents
Merupakan kejahatn yang dilakukan dengan memasukkan data atau informasi ke internet
tentang suatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau
menggangu ketertiban umum, contohnya adalah penyebaran pornografi.
d. Data Forgery
Kejahatan jenis ini dilakukan dengan tujuan memalsukan data pada dokumen-dokumen
penting yang ada di internet. Dokumen-dokumen ini biasanya dimiliki oleh institusi atau
lembaga yang memiliki situs berbasis web database.
f. Cyberstalking
Kejahatan jenis ini dilakukan untuk mengganggu atau melecehkan seseorang dengan
memanfaatkan komputer, misalnya menggunakan e-mail dan dilakukan berulang-ulang.
Kejahatan tersebut menyerupai teror yang ditujukan kepada seseorang dengan memanfaatkan
media internet. Hal itu bisa terjadi karena kemudahan dalam membuat email dengan alamat
tertentu tanpa harus menyertakan identitas diri yang sebenarnya.
g. Carding
Carding merupakan kejahatan yang dilakukan untuk mencuri nomor kartu kredit milik orang
lain dan digunakan dalam transaksi perdagangan di internet.
h. Hacking dan Cracker
Istilah hacker biasanya mengacu pada seseorang yang punya minat besar untuk mempelajari
sistem komputer secara detail dan bagaimana meningkatkan kapabilitasnya. Adapun mereka
yang sering melakukan aksi-aksi perusakan di internet lazimnya disebut cracker. Boleh dibilang
cracker ini sebenarnya adalah hacker yang yang memanfaatkan kemampuannya untuk hal-hal
yang negatif. Aktivitas cracking di internet memiliki lingkup yang sangat luas, mulai dari
pembajakan account milik orang lain, pembajakan situs web, probing, menyebarkan virus,
hingga pelumpuhan target sasaran. Tindakan yang terakhir disebut sebagai DoS (Denial Of
Service). Dos attack merupakan serangan yang bertujuan melumpuhkan target (hang, crash)
sehingga tidak dapat memberikan layanan.
j. Hijacking
Hijacking merupakan kejahatan melakukan pembajakan hasil karya orang lain. Yang paling
sering terjadi adalah Software Piracy (pembajakan perangkat lunak).
k. Cyber Terorism
Suatu tindakan cybercrime termasuk cyber terorism jika mengancam pemerintah atau
warganegara, termasuk cracking ke situs pemerintah atau militer. Beberapa contoh kasus Cyber
Terorism sebagai berikut :
Ramzi Yousef, dalang penyerangan pertama ke gedung WTC, diketahui menyimpan detail
serangan dalam file yang di enkripsi di laptopnya.
Osama Bin Laden diketahui menggunakan steganography untuk komunikasi jaringannya.
Suatu website yang dinamai Club Hacker Muslim diketahui menuliskan daftar tip untuk
melakukan hacking ke Pentagon.
Seorang hacker yang menyebut dirinya sebagai DoktorNuker diketahui telah kurang lebih lima
tahun melakukan defacing atau mengubah isi halaman web dengan propaganda anti-American,
anti-Israel dan pro-Bin Laden.
2.4 UU ITE Tentang Data Forgery
Pasal 30
1. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektronik milik orang lain dengan cara apapun.
2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektrinik dengan cara apapun dengan tujuan untuk memperoleh
informasi Elektronik dan/atau Dokumen Elektronik.
3. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektronik dengan cara apapun dengan melanggar, menerobos,
melampaui, atau menjebol sistem pengamanan.
Pasal 35
Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi,
penciptaan, perubahan, penghilangan, pengrusakan, informasi Elektronik dan/atau Dokumen
Elektronik dengan tujuan agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut
dianggap seolah-olah data otentik.
Pasal 46
1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1)
dipidana dengan pidana penjara paling lama 6 (enam) tahun dan /atau denda paling
banyak Rp600.000.000,- (enam ratus juta rupiah).
2. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2)
dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak
Rp700.000.000,- (tujuh ratus juta rupiah).
3. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 30 ayat (3)
dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling
banyak Rp800.000.000,- (delapan ratus juta rupiah).
Pasal 51
1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 35 dipidana
dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak
Rp12.000.000.000,00 (dua belas miliar rupiah)
BAB III
DATA FORGERY DENGAN TEKNIK SQL INJECTION
SQL injection merupakan salah satu kelemahan yang paling dahsyat untuk dampak
bisnis, karena dapat menyebabkan pembongkaran semua informasi yang sensitif yang
tersimpan dalam sebuah aplikasi database, termasuk informasi berguna seperti username,
password, nama, alamat, nomor telepon, dan rincian kartu kredit. Jadi SQL injection
adalah kelemahan yang diterjadi ketika penyerang mampu mengubah Structured Query
Language (SQL) di dalam database. Dengan mempengaruhi database, penyerang dapat
memanfaatkan sintaks dan kemampuan dari SQL itu sendiri, serta kekuatan dan
fleksibilitas yang mendukung fungsi database dan fungsi sistem operasi yang hanya
dilakukan dalam database.
Sejarah SQL dimulai dari artikel seorang peneliti dari IBM bernama EF Codd yang
membahas tentang ide pembuatan basis data relasional pada bulan Juni1970. Artikel ini
juga membahas kemungkinan pembuatan bahasa standar untuk mengakses data dalam
basis data tersebut. Bahasa tersebut kemudian diberi nama SEQUEL (Structured English
Query Language). Setelah terbitnya artikel tersebut, IBM mengadakan proyek pembuatan
basis data relasional berbasis bahasa SEQUEL. Akan tetapi, karena permasalahan hukum
mengenai penamaan SEQUEL, IBM pun mengubahnya menjadi SQL. Implementasi
basis data relasional dikenal dengan System/R. Di akhir tahun 1970-an, muncul
perusahaan bernama Oracle yang membuat server basis data populer yang bernama sama
dengan nama perusahaannya. Dengan naiknya kepopuleran Oracle, maka SQL juga ikut
populer sehingga saat ini menjadi standar de facto bahasa dalam manajemen basis data.
Standarisasi SQL dimulai pada tahun 1986, ditandai dengan dikeluarkannya standar SQL
oleh ANSI. Standar ini sering disebut dengan SQL86.Standar tersebut kemudian
diperbaiki pada tahun 1989 kemudian diperbaiki lagi pada tahun 1992. Versi terakhir
dikenal dengan SQL92. Pada tahun 1999 dikeluarkan standar baru yaitu SQL99 atau
disebut juga SQL99, akan tetapi kebanyakan implementasi mereferensi pada SQL92. Saat
ini sebenarnya tidak ada server basis data yang 100% mendukung SQL92. Hal ini
disebabkan masing-masing server memiliki dialek masing-masing. Secara umum, SQL
terdiri dari dua bahasa, yaitu Data Definition Language (DDL) dan Data Manipulation
Language (DML). Implementasi DDL dan DML berbeda untuk tiap sistem manajemen
basis data (SMBD)[1], namun secara umum implementasi tiap bahasa ini memiliki
bentuk standar yang ditetapkan ANSI. Artikel ini akan menggunakan bentuk paling
umum yang dapat digunakan pada kebanyakan SMBD.
3.3 Cara Kerja SQL Injection
Aplikasi web menjadi lebih canggih dan semakin teknis yang kompleks. Mulai dari
internet dinamis dan portal intranet, seperti e-commerce dan pasangan extranet, untuk
HTTP dikirimkan oleh aplikasi perusahaan seperti sistem manajemen dokumen dan ERP
aplikasi. Sifat aplikasi web dengan desain yang beragam fitur dan kemampuan web
tersebut untuk menyusun, memproses, dan menyerbarkan informasi melalui internet atau
dari dalam intranet membuat aplikasi web tersebut menjadi target yang populer untu
diserang. Aplikasi web menjadi target penyerangan juga disebabkan karena keamanan
jaringan pada pasar teknologi telah jatuh tempo dan ada sedikit peluang untuk menembus
sistem informasi melalui kelemahan networkbased, hacker semakin banyak yang
berpindah fokus mereka untuk mencoba mengkompromi aplikasi tersebut.
SQL injection merupakan serangan dimana kode SQL dimasukkan atau ditambahkan
ke dalam aplikasi/ user input parameter yang kemudian diteruskan ke SQL server back-
end untuk parsing dan eksekusi. Setiap prosedur yang membangun pernyataan SQL
berpotensi untuk mudah terserang. Bentuk injeksi utama SQL terdiri dari penyisipan
langsung kode ke dalam parameter yang digabungkan dengan perintah SQL dan
kemudian dieksekusi. Sebuah serangan langsung paling sedikit menyuntikan kode ke
dalam string yang ditujukan ke penyimpanan di dalam tabel atau sebagai metadata.
Ketika string yang tersimpan akhirnya digabungkan ke dalam perintah SQL dinamis,
kode tersebut akan dieksekusi. Ketika aplikasi web gagal untuk membersihkan paramater
dengan benar dilewatkan ke pernyataan SQL yang dibuat secara dinamis (bahkan ketika
menggunakan teknik parameterisasi) ini memungkinkan untuk seorang penyerang untuk
mengubah mengubah konstruksi back-end SQL.
2. Pemakaian ORDER BY
Untuk menemukan banyaknya kolom dalam query SELECT . Contoh Syntax :
ORDER BY 1--
ORDER BY 2--
ORDER BY 3--
3. Menggunakan UNION
Perintah UNION Select berfungsi untuk menggabungkan hasil query pertama dan query
kedua. Syntax
UNION SELECT * FROM nama tabel
Berubah menjadi :
Contoh sintaks SQL Injection
SQL Injection melalui URL, contohnya :
Penanganan SQL
Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter dengan memodifikasi php.ini