Sistem Keamanan Komputer

TUGAS K5 - DATABASE SECURITY

Nama : Dina Lestari Trihapsari

Nim : 1914000049
Soal

1. Apa dan mengapa Database perlu Security ?

2. Apa saja Teknik yang digunakan untuk Serangan ke Database Security ?
3. Jelaskan Tentang SQL Injection Attacks
4. Jelaskan tentang SQL injection attacks counter measure (cara mengetahui
dan defence secara teori)
5. Jelaskan untung rugi dengan menggunakan Database Encryption

Jawaban

1. Karena Database security adalah mekanisme untuk melindungi database

terhadap ancaman baik yang di sengaja maupun yang tidak di sengaja.
Contoh – contoh ancaman yang dapat mengancam database santara lain:
 Penggunaan database oleh orang-orang luar. Akses ke dalam
database oleh orang luar dapat mengancam kegunaan dari suatu
database. Perubahan struktur database, perubahan data, dan data
hilang merupakan beberapa bahaya yang disebabkan oleh akses
database secara illegal.
 Virus atau malware dapat menyerang database dan menyebabkan
kebocoran data ke pihak-pihak yang ridak diinginkan. Serangan
malware dapat juga menyebabkan data penting hilang sehingga kerja
suatu organisasi menjadi terganggu atau terhambat.
 Kerusakan fisik ke database yang disebabkan oleh berbagai macam
hal seperti petir, kebakaran, banjir, dll. Panas yang berlebih juga dapat
merusak sistem database.
 Kurangnya resource atau kemampuan dalam menjalankan database.
Kekurangan resource dapat meliputi berbagai hal seperti keuangan
atau sumber daya manusia yang kurang. Keuangan yang tidak
mencukupi menghambat kapasitas dan fungionalitas dari database
sedangkan masalah sumber daya manusia menghambat
perkembangan dari database
 Rusaknya data dikarenakan kelalaian manusia atau sistem. Cth: data
error, kesalahan dalam pengoperasian database, dll.
2. Sebagai berikut:
a. Serangan injeksi SQL
 Salah satu ancaman keamanan berbasis jaringan yang paling
umum dan berbahaya
 Mengirim perintah SQL berbahaya ke server database
 Tergantung pada lingkungan Injeksi SQL juga dapat dieksploitasi
untuk:
- Mengubah atau menghapus data
 - Menjalankan perintah sistem operasi sewenang-wenang
- Meluncurkan serangan denial-of-service (DoS) Serangan

b. Srangan In-band
 Taytology: Bentuk serangan ini menginjeksi kode dalam satu atau
lebih pernyataan bersyarat sehingga selalu bernilai true
 End-of-line komentar: Setelah memasukkan kode ke dalam bidang
tertentu, kode sah berikut ini dibatalkan melalui penggunaan
komentar akhir baris
 Piggybacked kueri: Penyerang menambahkan kueri tambahan di
luar kueri yang dimaksudkan, mendukung serangan di atas
permintaan yang sah
c. Serangan inferensial (mengumpulkan info)
Tidak ada transfer data yang sebenarnya, tetapi penyerang dapat
merekonstruksi informasi dengan mengirim permintaan tertentu dan
mengamati perilaku yang dihasilkan dari Situs web / server basis data
 Kueri ilegal / salah secara logis: memungkinkan penyerang
mengumpulkan informasi penting tentang jenis dan struktur basis
data backend dari aplikasi Web
d. Serangan Out-band
Ini dapat digunakan bila ada adalah batasan pengambilan informasi, tetapi
konektivitas keluar dari server database lemah

3. Serangan SQL injection atau Injeksi SQL merupakan teknik serangan injeksi
kode yang memanfaatkan celah keamanan yang terjadi pada layer basis data
dari sebuah aplikasi. Hal ini terjadi sebagai akibat dari data yang diinputkan
oleh pengguna tidak dilakukan validasi dan dimuat di dalam baris perintah
query SQL. Dengan demikian menjadikan sebagian data yang diinputkan
pengguna tersebut diperlakukan sebagai bagian dari kode SQL.
4. Secara umum untuk mengetahui serangan dengan teknik SQL Injection
umumnya penyerang menjalankan dua tahapan proses yaitu :
a. Tahapan Riset. Penyerang umumnya melakukan riset dengan
mengirimkan berbagai macam nilai yang tidak diharapkan sebagai
argumen input, kemudian dia mempelajari respon dari aplikasi,
kemudian dia menentukan apakah target URL rentan atau tidak
terhadap SQL Injection.
b. Tahap Serangan. Setelah melakukan riset mengenai kerentanan pada
aplikasi, maka pada tahapan ini penyerang membuat payload tertentu
sebagai nilai input dari argumen sehingga payload tersebut akan
diinterpretasikan sebagai bagian dari perintah SQL ketimbang hanya
data. Kemudian database melakukan eksekusi terhadap perintah yang
telah dibuat oleh penyerang.
 Berikut merupakan beberapa langkah pencegahan yang dapat dilakukan
untuk mengatasi serangan SQL Injection, yaitu:

a. Menggunakan Parameterized SQL Query

Menggunakan parameterized query atau prepared statement
merupakan salah satu teknik sederhana dan dapat dikatakan mudah
untuk dilakukan. Penggunaan parameterized query ditujukan agar
database dapat membedakan mana yang merupakan SQL statement
dan mana yang merupakan data yang diinputkan oleh pengguna.
Melalui cara ini, penyerang tidak bisa mengubah isi query, walaupun
telah memasukkan kode SQL saat melakukan input.
b. Lakukan pengecekan pola (PATTERN CHECK) : Validasi input data
dengan menggunakan reguler expression
Secara umum terdapat dua hal yang dapat dilakukan untuk melakukan
validasi input, yakni
 Melakukan Whitelist. Hanya menerima input data yang memang
benar-benar diketahui baik. Beberapa hal yang perlu menjadi
pertimbangan melalui cara ini antara lain nilai yang diizinkan, tipe
data, ukuran data, data range, konten dari data.
 Melakukan Blacklisting. Hanya menolak input data yang memang
benar-benar diketahui tidak baik. Hal yang dapat dilakukan pada
teknik ini yakni menolak input yang mengandung konten berbahaya
c. Tambahkan escape karakter
Tambahkan escape karaketer yang memiliki makna khusus di SQL.
Misalkan karakter yang memiliki memiliki makna khusus di SQL yakni
single quote (‘) di dalam paramater dapat diinterpretasikan sebagai dua
single quotes (‘’). Maka untuk menghindari kesalahan eksekusi dalam
database, tambahkan karakter escape seperti back slash, misal (\’).
Sehingga karakter single quote akan tetap diartikan sebagai single
quote oleh database.

5. Keuntungan :
 Kerahasiaan suatu informasi terjamin .
 Pesan tidak bisa di baca oleh yang tidak mempunyai key.
 Menanggulangi penyadapan telepon dan email.

Kerugian :

 Penyandian rencana criminal dan teroris.

 Administrator system yang mempunyai niat jahat.
 Pesan tidak bisa di baca jika penerima pesan lupa dengan key nya