SQL Injection

A novel method for SQL injection attack

 RAKA ADITYA YUWONO
1 (201610370311057)
KELOMPOK AHMAD GHOLIB TAMMAMI
2 (201610370311064)
01
PART
REVIEW JURNAL
1.1
Makalah ini mengusulkan cara yang sangat sederhana dan efektif untuk secara
akurat mendeteksi serangan injeksi SQL dengan menggunakan kombinasi
penghapusan parameter SQL Query dan gabungan metode analisis statis dan
dinamis. Efektivitas metode ini telah diuji dan divalidasi menggunakan aplikasi
web.

Meskipun aplikasi web hanya dikenali sebagai program yang berjalan di web
browser , umumnya aplikasi web
memiliki konstruksi three-tier seperti berikut :
1.2
1. Presentasi
Tingkat ini menerima input pengguna dan menunjukkan hasil pemrosesan
kepada pengguna. Itu bisa dipikirkan dari Antarmuka Pengguna Grafis (GUI),
Flash, HTML, skrip Java, dll. Semuanya adalah bagian dari tingkatan
presentasi, yang secara langsung berinteraksi dengan pengguna. Tingkat ini
dianalisis oleh web browser .
2. CGI
Juga dikenal sebagai Proses Server Script, ini terletak di antara presentasi
dan tingkatan database. Itu data yang dimasukkan oleh pengguna diproses
dan hasilnya dikirim ke tingkat basis data. Tingkat basis data mengirimkan
data yang disimpan kembali ke tier CGI, dan akhirnya dikirim ke tingkat
presentasi untuk dilihat oleh pengguna. Karena itu, pengolahan data dalam
aplikasi web dilakukan di tingkat CGI dan dapat diprogram dalam berbagai
bahasa skrip server seperti JSP, PHP, ASP, dll.
3. Database
Tingkat ini hanya menyimpan dan mengambil semua data. Semua data
aplikasi web sensitif disimpan dan dikelola dalam database. Karena tingkat
02
PART
METHOD
2.1 Tautologi

{id = '1' atau '1 = 1'--' }

Jenis serangan disebut tautologi dan terjadi pada proses autentikasi.
SQL Query dalam tingkat CGI terhubung ke database dan memproses prosedur
autentikasi.
Berikut contohnya :
2.2 Piggy-Backed Queries

Serangan ini memasukkan SQL Query yang berbahaya ke dalam permintaan SQL
normal.
Itu mungkin karena banyak query SQL bisa diproses jika operator “;’’
ditambahkan setelah setiap query.

Contoh : operator ‘‘;’’ yang disisipkan di awal maupun akhir query.

{SELECT * FROM login WHERE user = '"1 or 1 = 1' --' AND

pass = ''fdbvfb';}
03
PART
IMPLEMENTATION
3.1 Tautologi

# Percobaan pertama
login menggunakan cara normal acak

#Percobaan Kedua menggunakan Metode Tautologi

3.2 Tautologi

#Contoh lain
3.3 Piggy-Backed Queries

#Sebelum ditambahkan query

#Setelah ditambahkan Query

04
PART
DETECTION METHOD
4.1

Pada tabel diatas terdapat Metode Detection SQL Injection dan juga Metode dari
serangan SQL Injection.

Dimana terdapat metode yang dapat mendeteksi serangan dari SQL Injection,
seperti Metode Detection AMNESIA yang dapat mendeteksi serangan dari
</> Kesimpulan

Jadi dari dua metode diatas dapat disimpulkan bahwa metode-metode tersebut
dapat mengalihkan autentikasi dengan memanipulasi / mengistilahkan sebuah
Query menjadi sebuah user dan password yang benar sehingga langkah
autentikasi terlewatkan.

Dari pelajaran tersebut kita dapat tahu proses secara rinci dari suatu serangan
SQL Injection dan juga metode apa saja yang dapat mendeteksi serangan dari
SQL Injection, dengan harapan kita dapat membuat sebuah langkah untuk
mencegah serangan SQL Injection atau serangan-serangan lainnya.
 A novel method for SQL injection attack
REFRENSI detection based on removing SQL query
attribute values
Terima Kasih