Nim : 1914000049
Soal
Jawaban
b. Srangan In-band
Taytology: Bentuk serangan ini menginjeksi kode dalam satu atau
lebih pernyataan bersyarat sehingga selalu bernilai true
End-of-line komentar: Setelah memasukkan kode ke dalam bidang
tertentu, kode sah berikut ini dibatalkan melalui penggunaan
komentar akhir baris
Piggybacked kueri: Penyerang menambahkan kueri tambahan di
luar kueri yang dimaksudkan, mendukung serangan di atas
permintaan yang sah
c. Serangan inferensial (mengumpulkan info)
Tidak ada transfer data yang sebenarnya, tetapi penyerang dapat
merekonstruksi informasi dengan mengirim permintaan tertentu dan
mengamati perilaku yang dihasilkan dari Situs web / server basis data
Kueri ilegal / salah secara logis: memungkinkan penyerang
mengumpulkan informasi penting tentang jenis dan struktur basis
data backend dari aplikasi Web
d. Serangan Out-band
Ini dapat digunakan bila ada adalah batasan pengambilan informasi, tetapi
konektivitas keluar dari server database lemah
3. Serangan SQL injection atau Injeksi SQL merupakan teknik serangan injeksi
kode yang memanfaatkan celah keamanan yang terjadi pada layer basis data
dari sebuah aplikasi. Hal ini terjadi sebagai akibat dari data yang diinputkan
oleh pengguna tidak dilakukan validasi dan dimuat di dalam baris perintah
query SQL. Dengan demikian menjadikan sebagian data yang diinputkan
pengguna tersebut diperlakukan sebagai bagian dari kode SQL.
4. Secara umum untuk mengetahui serangan dengan teknik SQL Injection
umumnya penyerang menjalankan dua tahapan proses yaitu :
a. Tahapan Riset. Penyerang umumnya melakukan riset dengan
mengirimkan berbagai macam nilai yang tidak diharapkan sebagai
argumen input, kemudian dia mempelajari respon dari aplikasi,
kemudian dia menentukan apakah target URL rentan atau tidak
terhadap SQL Injection.
b. Tahap Serangan. Setelah melakukan riset mengenai kerentanan pada
aplikasi, maka pada tahapan ini penyerang membuat payload tertentu
sebagai nilai input dari argumen sehingga payload tersebut akan
diinterpretasikan sebagai bagian dari perintah SQL ketimbang hanya
data. Kemudian database melakukan eksekusi terhadap perintah yang
telah dibuat oleh penyerang.
Berikut merupakan beberapa langkah pencegahan yang dapat dilakukan
untuk mengatasi serangan SQL Injection, yaitu:
5. Keuntungan :
Kerahasiaan suatu informasi terjamin .
Pesan tidak bisa di baca oleh yang tidak mempunyai key.
Menanggulangi penyadapan telepon dan email.
Kerugian :