Tutorial SQL INJECTION WEB MENGGUNAKAN

SQLMAP
Tugas Pengganti UTS Mata Kuliah Keamanan Sistem

Dosen Pengampu : Purwantoro, M.Kom

Disusun Oleh :

Agil Santosa (1710631170039)

Daris Fauzaan (1710631170082)

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS ILMU KOMPUTER

UNIVERSITAS SINGAPERBANGSA KARAWANG

2019
 KATA PENGANTAR

Puja dan syukur senantiasa kita haturkan kepada pemilik semesta Alam,
Allah Subhanallah wa Ta’ala yang terus mengkaruniakan nikmat, rahmat serta iman
kepada kita semua. Berkat rahmat dan karunianya laporan pengganti Ulangan
Tengah Semester mata kuliah Keamanan Sistem yang berjudul “DASAR – DASAR
SQL INJECTION” ini bisa kami selesaikan tepat pada waktunya.

Kami juga ingin mengucapkan terima kasih yang sebesar – besarnya kepada
setiap pihak yang telibat. Baik langsung maupun tidak langsung yang telah
membantu dalam pembuatan laporan ini dan berbagai sumber yang telah dipakai
sebagai data dan fakta pada laporan ini.

Sebagai seorang manusia yang selalu diliputi kekurangan, kami menyadari

bahwa laporan ini terdapat banyak kekurangan yang harus diperbaiki. Oleh
karenanya, kami dengan senang hati menerima masukan dari setiap pihak agar
laporan ini semakin baik kedepannya.

Karawang, 30 Oktober 2019

Penyusun

i
 DAFTAR ISI

KATA PENGANTAR ............................................................................................ i

DAFTAR ISI .......................................................................................................... ii
BAB I PENDAHULUAN ...................................................................................... 1
1.1 Latar Belakang ......................................................................................... 1
1.2 Rumusan Masalah .................................................................................... 1
1.3 Batasan Masalah ....................................................................................... 1
1.4 Tujuan Masalah ........................................................................................ 1
1.5 Manfaat ..................................................................................................... 1
BAB II LANDASAN TEORI ............................................................................... 2
2.1 Pengertian keamanan system.................................................................... 2
2.2 SQL .......................................................................................................... 2
2.3 SQL INJECTION ..................................................................................... 2
2.4 SQLMAP .................................................................................................. 2
BAB III PERANCANGAN................................................................................... 3
3.1 Proses Install............................................................................................. 3
BAB IV PEMBAHASAN...................................................................................... 6
4.1 Implementasi ............................................................................................ 6
4.2 Hasil dan Evaluasi .................................................................................. 12
4.2.1 Hasil ...................................................................................................... 12
4.2.2 Evaluasi ................................................................................................. 12
BAB V PENUTUP ............................................................................................... 13
5.1 Kesimpulan ............................................................................................. 13
5.2 Saran ....................................................................................................... 13
DAFTAR PUSTAKA

ii
 DAFTAR GAMBAR

Gambar 1. Halama penyedia Python (Download). ................................................. 3

Gambar 2. Proses Install Python. ............................................................................ 3
Gambar 3. Proses Install selesai. ............................................................................. 4
Gambar 4. Command Prompt (Memastikan Python Terinstall). ............................ 4
Gambar 5. Ekstak File SQLMAP............................................................................ 5
Gambar 6. Command Prompt ................................................................................. 6
Gambar 7. Command Prompt (Masuk Direktori SQLMAP). ................................. 7
Gambar 8. Command Prompt (Menjalankan sqlmap.py). ...................................... 7
Gambar 9. Command Prompt (Menghubungkan ke website) ................................. 8
Gambar 10. Command Prompt (Berhasil Masuk Datbaase). .................................. 8
Gambar 11. Melihat isi Database. ........................................................................... 9
Gambar 12. Melihat isi Database. ........................................................................... 9
Gambar 13. Detail Database ............................................................................... 100
Gambar 14. Detail Database. .............................................................................. 100
Gambar 15. Proses Mencari Username dan Password ........................................ 111
Gambar 16. Dapat ID, Username, Password. ..................................................... 111
Gambar 17. WEB MD5....................................................................................... 111

iii
 BAB I

PENDAHULUAN

1.1 Latar Belakang

Teknologi sudah banyak diminati di jaman ini, pesatnya teknologi
khususnya internet berkembang begitu pesat. Biasanya orang – orang
menggunakan internet untuk mengunjungi website yang memenuhi
keutuhannya. Website yang kemanannya rendah, rentan untuk di retas oleh
orang yang memiliki niat buruk. Para peretas biasanya menggunakan
metode hacking SQL Injection, yang dimana menyisipkan perintah SQL
sebagai input melalui sebuah aplikasi web untuk mendapatkan akses
database. Menurut data OWASP (Open Web Application Security Project)
tahun 2003, SQL Injection masih menduduki peringkat pertama sebagai
serangan hacking yang sering dilakukan.
1.2 Rumusan Masalah
Apa yang terjadi jika terserang SQL Injection ?
Bagaimana cara mengatasi serangan SQL Injection ?

1.3 Batasan Masalah

1. Mencari celah database.
2. Melihat isi database website.
1.4 Tujuan Masalah
Tujuan dari makalah ini adalah bagaimana cara untuk mencari celah
database pada web agar bisa menyisipkan sebuah perintah SQL untuk
mendapatkan hak akses database.

1.5 Manfaat
Membantu untuk mengetahui setiap celah pada SQL web yang
dimana dapat membuat rentan untuk di retas orang lain. Dan juga dapat
mengetahui cara untuk menutup celah tersebut.

1
 BAB II

LANDASAN TEORI

2.1 Pengertian keamanan system

Keamanan sistem adalah sebuah sistem yang digunakan untuk

mengamankan sebuah computer dari gangguan dan segala bentuk ancaman
yang membahayakan baik keamanan data, informasi atau pelaku sistem
(user). Baik terhindar dari ancaman luar seperti virus, Spyware, ataupun
orang-orang yang tidak bertanggung jawab lainnya.

2.2 SQL

SQL (Structured Query Language) adalah Bahasa pemograman

khusus yang digunakan untuk berkomunikasi dengan aplikasi RDBMS
(seperti MYSQL). Bahasa SQL terlihat seperti perintah sederhana yang
berisi instruksi dalam Bahasa inggris, seperti “SELECT nama_provinsi,
populasi FROM provinsi”.

2.3 SQL INJECTION

SQL Injection adalah salah satu jenis serangan pada aplikasi web
dimana penyerang bisa memanipulasi dan mengirimkan perintah SQL untuk
mengambil informasi basis data. Serangan jeni ini sebagian besar terjadi
pada aplikasi web yang dijalankan dengan menggunakan data yang
disediakan untuk pengguna tanpa adanya validasi atau enkripsi. Sehingga
dapat bisa terdapat celah yang bisa diserang, dan memungkinkan penyerang
bisa membaca, memperbarui atau menghapus data yang tersimpan dalam
database.

2.4 SQLMAP

SQLMAP adalah tools opensource yang mendeteksi dan melakukan

exploit pada bug SQL injection secara otomatis pada url http request yang
rentan.

2
 BAB III

PERANCANGAN
3.1 Proses Install
Sebelum melakukan SQL Injcetion ada beberapa yang harus diinstal
kedalam pc/computer. Dan berikut adalah cara penginstalannya.

1. Pastikan pc/laptop sudah terinstal Python, jika belum kunjungin website

resmi pyhton.org kemudian download.

Gambar 1. Halama penyedia Python (Download).

2. Jalankan file python yang sudah didownload, kemudian install

Gambar 2. Proses Install Python.

3
 Gambar 3. Proses Install selesai.

3. Untuk memastikan python sudah terinstal, buka Command Prompt

kemudian tulis script seperti dibawah ini.

Gambar 4. Command Prompt (Memastikan Python Terinstall).

4
4. Apabila berhasil maka akan muncul versi dari python yang di install.
5. Selanjutnya install sqlmap yang bisa didownload di website resmi
sqlmap.org kemudian ekstrak file hasil download ke dalam drive C.

Gambar 5. Ekstak File SQLMAP

5
 BAB IV
PEMBAHASAN
4.1 Implementasi
Dalam implementasinya SQL Injection ini sangat merugikan jika
terjadi, karena bisa saja mengetahui informasi database, bahkan bisa sampai
merubah atau menghapus data dari database yang ada di sistem.
Pada implementasinya kami mensimulasikan SQL Injection
menggunakan SQLMAP. Berikut langkah-langkahnya :

1. Buka terminal atau command prompt pada windows

Gambar 6. Command Prompt

6
2. Masuk ke direktori file sqlmap dengan mengetikan cd C:\sqlmap
kemudian tekan enter.

Gambar 7. Command Prompt (Masuk Direktori SQLMAP).

3. Jalankan file sqlmap.py yang berada didalam file sqlmap kemudian
tekan enter.

Gambar 8. Command Prompt (Menjalankan sqlmap.py).

7
4. Selanjutnya ketikan sqlmap.py -u URL web –dbs. Dimana sqlmap akan
mencoba menghubungkan dengan website yang kita tuju.

Gambar 9. Command Prompt (Menghubungkan ke website)

5. Apabila berhasil maka akan muncul nama database yang ada didalam
web tersebut.

Gambar 10. Command Prompt (Berhasil Masuk Datbaase).

8
6. Kemudian untuk lebih jauh kita bisa melihat isi dari database tersebut
dengan menuliskan pada terminal sqlmap.py -u URL WEB -D
nama_database --tables

Gambar 11. Melihat isi Database.

Gambar 12. Melihat isi Database.

9
7. Dari sini kita bisa meliat lebih detail lagi nilai dari masing-masing
atribut pada tabel. Dengan menuliskan sqlmap.py -u URL WEB -D
nama_database -T nama_tabel –columns.

Gambar 13. Detail Database

Gambar 14. Detail Database.

10
8. Kemudian ketikan sqlmap.py -u URL WEB -D nama_database -T
nama_tabel -C nama_kolom1,nama_kolom2 –dump.

Gambar 15. Proses Mencari Username dan Password

Gambar 16. Dapat ID, Username, Password.

Dari data diatas dikita telah mendapatkan akun dari user dari mulai id,
username sampai password.
9. Untuk mengetahui password yang di enkripsi, kunjungi web md5
kemudian copy-paste password.

Gambar 17. WEB MD5

11
4.2 Hasil dan Evaluasi
4.2.1 Hasil
Hasil simulasi diatas bahwa kami mendapatkan apa yang
ditargetkan sebelumnya yaitu mengetahui username dan password dari
website yang kita targetkan. Kita juga bisa melihat data tabel lainnya
dan mengetahui isi dari setiap tabel.

4.2.2 Evaluasi
Kami mengevaluasi simulasi ini bahwa SQL Injection
menggunakan Sqlmap masih memiliki kekurangan yaitu tidak semua
website bisa direntas databasenya. Hanya website yang mengirimkan
data menggunakan metode GET dimana data akan dikirimkan
melewati URL sehingga bisa ditangkap dan itu merupakan sebuah
celah dari web.

Kemudian juga dari penggunaan versi php juga mempengaruhi

sistem keamanan dari web, dari semenjak kemunculan php versi 7
tingkat keamanan lebih baik dibandingkan dengan php versi 5 atau
sebelumnya.

12
 BAB V

PENUTUP
5.1 Kesimpulan
SQL Injection adalah sebuah metode peretasan database yang
dimana mencari celah lemah untuk dapat menyisipkan perintah SQL.
Aplikas SQLMap membuat kita mudah untuk menyusup ke database
website, tetapi tidak semua website dapat di retas menggunakan SQLMap
hanya website yang mengirimkan data menggunakan metode GET saja.
5.2 Saran
Untuk dapat memepelajari SQL Injection, masih banyak cara lain
digunakan untuk dapat merentas web melalui SQL selain memakai aplikasi
SQLMAP. SQLMAP masih banyak kekurangan maka dari itu disarankan
mencari aplikasi yang lebih baik lagi.

13
 DAFTAR PUSTAKA
pyhton.org

http://aganislah94.blogspot.com/2016/01/makalah-keamanan-sistem.html

Andre pratama mysql uncover dunia ilkom.

SQL Injection Module 14 Ethical Hacking and Countermeasures V8

sqlmap.org

14