Dosen Pengampu : Bakhtiyar Hadi Prakoso, S.Kom., M.Kom
Disusun Oleh : Dalili Shofia Nabila G41201575
PROGRAM STUDI MANAJEMEN INFORMASI KESEHATAN
JURUSAN KESEHATAN POLITEKNIK NEGERI JEMBER 2023 A. Resume Sql injection merupakan salah satu kerentanan aplikasi web yang paling sering ditemukan. Berdasarkan laporan dari CERACODE sebesar 32% aplikasi web memiliki satu kerentanan sql injection dan laporan dari Badan Siber Dan Sandi Negara RI mengungkap bahwa 73% laporan adalah kerentanan sql injection serta menurut data dari OWASP sql injection adalah ancaman terbanyak nomor 3 terhadap aplikasi web. Sql injection adalah sebuah teknik serangan yang menyalahgunakan celah keamanan yang terjadi dalam lapisan basis data pada sebuah aplikasi, dengan cara memodifikasi perintah sql sebelum dikirim ke database. Sql injection dapat terjadi karena ada data yang diinputkan oleh pengguna yang tidak dilakukan validasi oleh aplikasi dan langsung dimuat di dalam baris perintah query sql, sehingga inputan pengguna tersebut diperlakukan sebagai bagian dari kode sql. Tipe sql injection ada tiga, yaitu In-band Injection, Inferential SQL Injection dan Out- of-band SQL Injection. Pada tipe yang pertama In-band-Injection terbagi menjadi dua yaitu Error-based-Injection dan Union-based SQL Injection. Tipe sql injection ini adalah tipe serangan yang paling umum dan mudah untuk dieksploitasi. In-band Injection terjadi ketika penyarang dapat menggunakan kanal komunikasi yang sama untuk melancarkan serangkan maupun memperoleh hasil dari serangan. Tipe sql ijection yang kedua yaitu Inferential SQL Injection, terbagi menjadi dua Nlind-boolean-based SQL Injection dan Blind-time-based SQL Injection. Tipe ini membutuhkan waktu yang lebih lama karena ketika kita eksploitasi tidak bisa menampilkan pesan error biasanya inferential injection bisa disebut juga blind SQL Injection. Tipe sql injection yang terakhir adalah Out-of-band SQL Injection, tipe ini termasuk jarang ditemukan karena bergantung pada fitur yang diaktifkan oleh server database yang digunakan oleh aplikasi web. Berdasarkan informasi dari Badan Siber dan Sandi Negara, bahaya dari sql injection yaitu : 1. Masuk ke dalam aplikasi tanpa username dan password yang valid 2. Memodifikasi data 3. Menghapus seluruh data yang tersedia 4. Mencari informasi yang sensitif 5. Melakukan perintah jarak jauh (remote) 6. Menyamar dengan memanfaatkan akun pengguna resmi Serangan sql injection dapat dicegah dengan tiga cara yaitu yang pertama Parameterized SQL Query. Parameterized SQL Query adalah suatu teknik dalam pemrograman yang ditujukan agar database dapat membedakan mana yang merupakan sql statement dan mana yang merupakan data yang diinputkan oleh pengguna. Teknik pencegahan kedua adalah Validasi Input Data, teknik ini memilik 2 jenis yaitu Whitelist, jenis ini hanya menerima input data yang memang benar-benar diketahui baik. Jenis kedua adalah Blacklist, jenis ini hanyak menolak input data yang diketahui tidak baik. Teknik pencegahan yang ketiga adalah Uji Aplikasi Secara Berkala. Teknik pencegahan dilakukan langkah preventif ataupun perbaikan terhadap celah keamanan tersebut dapat segera dilakukan dan pastikan juga bahwa aplikasi web yang dibangun telah lulus sql injection vulnerability test. Enkripsi adalah proses mengubah teks biasa menjadi teks sandi dalam contoh pesan teks dienkripsi dengan menambah satu digit. Hanya penerima yang mengetahui kuncilah yang dapat mendskripsi pesan dan seorang penyusup tidak dapat melakukannya. Jika penerima menggunakan kunci yang sama untuk membukan disebut enkripsi simetri. Jika kunci pembuka berbeda dengan penutup metode ekripsi disebut asimetris. Masalah utama pada metode enkripsi asimetris adalah metode ini sangat intensif secara komputasi. Solusi dari masalah ini adalah sistem enkripsi simetris seperti Advance Incription Standard aes yang banyak digunakan saat ini sistem yang menggunakan kriptografi kunci publik atau kunci pribadi. B. Tanggapan Studi Kasus Protokol keamanan di aplikasi e-HAC Kemenkes yang lemah yang menyebabkan aplikasi ini rentan dibobol. Pengembang aplikasi tersebut menggunakan database Elasticsearch yang diklaim kurang aman untuk menyimpan data. Server yang digunakan pada aplikasi e-HAC versi lama belum berada di Pusat Data Nasional. Kebocoran data ini adalah dari masalah keamanan siber Indonesia. Kalau keamanan siber tidak menjadi prioritas, tentunya keamanan data juga tidak menjadi prioritas. Pengolahan data secara optimal dengan fitur-fitur keamanan negara harus berani investasi dengan pengadaan yang tentunya tidak murah. Serta Sumber Daya Manusia dalam pengolahan dan penanganan siber ini harus profesional dan berkualitas baik.