RESUME SQL INJECTION

Keamanan Sistem Komputer

Disusun Oleh:
Nama : Ayu Sundara
NPM : 1061907
Kelas : 3 TRPL

Dosen : Sidhiq Andriyanto, M.Kom.

Mata Kuliah : Keamanan Sistem Komputer

25 JUNI 2022
POLITEKNIK MANUFAKTUR NEGERI BANGKA BELITUNG
Kawasan Industri Air Kantung, Sungailiat, Bangka, 33211
 SQL injection adalah sebuah langkah injeksi kode terhadap celah keamanan database
sebuah aplikasi atau website. Umumnya, hacker menggunakan perintah atau query SQL dengan
tools tertentu untuk mengakses database. Injeksi kode yang dilakukan membuat mereka dapat
masuk tanpa proses otentikasi. Setelah berhasil, hacker bebas untuk menambahkan, menghapus,
serta mengubah data-data pada website.
Cara kerja serangan SQL injection secara singkat terjadi dalam tiga tahapan, yaitu:
1. Hacker mengincar celah keamanan database
Pertama-tama, penyerang akan mencari celah keamanan pada sebuah website atau
aplikasi yang menjadi sasaran. Biasanya, celah keamanan terhadap SQL injection ada
pada form loginnya. Selanjutnya, penyerang akan menginput kode melalui form login
dengan query SQL yang akan diproses database sebagai perintah. Jika query yang dikirim
memberikan detil login pengguna, maka loginnya berhasil. Jika tidak, maka loginnya
ditolak atau gagal. Yang terjadi pada sebuah serangan SQL injection adalah penyerang
dapat melakukan login tanpa menggunakan password dengan SQL Comment Sequence
menggunakan simbol double minus (–).
2. Proses validasi atas SQL Query yang digunakan
Query SQL di atas membuat database melakukan proses validasi perintah. Hasilnya,
database akan memberikan informasi login dari pengguna. kemudian, sistem akan
membiarkan penyerang login
3. Database berhasil diakses
Penyerang berhasil masuk ke website tanpa verifikasi. Yang paling berbahaya, penyerang
bisa mengubah rolenya menjadi administrator website.

Cara Mencegah SQL Injection yang dapat dilakukan :

1. Mengatur Format Kotak Pengisian
Dengan mengatur jenis karakter yang bisa diinput pada kotak pengisian.
2. Validasi Input Data
Validasi input umumnya terbagi menjadi dua metode, yaitu whitelisting dan blacklisting.
Whitelisting – Merupakan metode penyaringan data dengan hanya menerima input data
yang sudah dipastikan aman. Input data yang berada di luar daftar whitelist ini akan
otomatis ditolak. Blacklisting – Merupakan kebalikan dari whitelisting, yakni hanya
menolak input data yang sudah diketahui buruk atau berbahaya, seperti karakter-karakter
tertentu (&, ;, `, ‘, \, “, |, *, ?, ~, <, >, ^, (, ), [, ], {, }, $, \n, dan \r).
3. Menggunakan Parameterized SQL Query
Tujuan dari metode ini adalah untuk membedakan antara SQL query dengan data input
pengguna.
 4. Menggunakan SQL Escape String
SQL Escape String adalah rangkaian kode yang berfungsi menambahkan karakter
escape, yakni mengubah satu karakter yang dianggap berbahaya (‘) menjadi karakter
lain (\’).
5. Mematikan Notifikasi Error
Adanya notifikasi error memudahkan Anda saat proses pengembangan website.
Namun, setelah website aktif digunakan, sebaiknya matikan notifikasi error tersebut.
6. Mengamankan Database
 Mengatur user privilege atau hak akses terhadap database guna membatasi jumlah
pengguna yang mampu merubah/memodifikasi data.
 Melakukan pemisahan data kredensial yang bersifat vital, seperti tabel username
dan password. Dengan demikian, apabila hacker mendapatkan akses ke username,
belum tentu mereka dapat mengakses tabel passwordnya.
 Menerapkan enkripsi data pada tabel database guna melindungi username dan
password pengguna. Dengan begitu, penyerang tidak mampu mengetahui isi data
meskipun berhasil mengaksesnya.
 Mengganti password secara berkala untuk semua akun yang dapat mengakses
database.
7. Menggunakan WAF dan IPS
Pemasangan Web Application Firewall (WAF) dapat menyaring potensi serangan SQL injection serta
serangan siber lainnya. WAF akan mencocokan query yang masuk dengan daftar query SQL berbahaya
yang selalu terupdate. IPS akan mendeteksi tiap data yang berseliweran dan menentukan apakah ada yang
berbahaya berdasarkan rekam jejaknya. Dengan begitu, IPS dapat mencegah komunikasi dan transaksi
data ya