YAYASAN PERGURUAN TINGGI KOMPUTER (YPTK) PADANG

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

JENIS – JENIS ANCAMAN

SQL INJECTION

Felka Andini (202321054)

37 C
Keamanan Komputer
UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG
 PENDAHULUAN

SQL injection adalah kerentanan yang terjadi ketika penyerang memiliki kemampuan untuk mempengaruhi
Structured Query Language (SQL) query yang melewati suatu aplikasi ke database back-end. Injeksi SQL
bukan merupakan kerentanan yang eksklusif mempengaruhi aplikasi Web, kode yang menerima masukan
dari sumber yang tidak dipercaya dan kemudian menggunakan input yang membentuk SQL dinamis bisa
rentan (Clarke, 2009). Berdasarkan defenisi tersebut, dapat dikatakan bahwa serangan SQL Injection sangat
berbahaya karena penyerang yang telah berhasil memasuki database sistem dapat melakukan manipulasi
data yang ada pada database sistem. Proses manipulasi data yang tidak semestinya oleh penyerang dapat
menimbulkan kerugian bagi pemilik website yang terinjeksi. Kebocoran data dan informasi merupakan hal
yang fatal. Data-data tersebut dapat disalahgunakan oleh pihak yang tidak bertanggung jawab.

SQL (Structured Query Language) adalah sebuah bahasa yang dipergunakan untuk mengakses data dalam
basis data relasional. Bahasa ini secara de facto merupakan bahasa standar yang digunakan dalam
manajemen basis data. Pemakaian dasar Secara umum, SQL terdiri dari dua bahasa, yaitu Data Definition
Language (DDL) dan Data Manipulation Language (DML). Implementasi DDL dan DML berbeda untuk tiap
sistem manajemen basis data (SMBD)[1], namun secara umum implementasi tiap bahasa ini memiliki bentuk
standar yang ditetapkan ANSI
UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG
 METODE PENELITIAN

Pada penelitian ini penulis menggunakan metode Waterfall. Waterfall atau Classic Life Cycle merupakan
metode yang banyak digunakan pada Software Enginering, metode ini melakukan pendekatan secara
sistematis dan terurut dari level kebutuhan sistem lalu menuju ke tahap analisis, desain, implementasi, dan
pengujian sistem. Disebut Waterfall karena tahap demi tahap yang dilalui harus menunggu selesainya tahap
sebelumnya dan berjalan berurutan

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 DISKUSI DAN HASIL

IMPLEMENTASI

Pada bagian ini akan dijelasakan tentang implementasi sebuah Tampilan dan source code tanpa anti sql
injection dan tampilan dan source code menggunakan anti sql injection.

Pada bagian ini akan dijelaskan proses pembobolan website dari login admin dengan cara SQL Injeksi dengan
dua model yaitu SQL Injeksi pada website tanpa menggunakan teknik penggunaan maxlength dan inut type
number dan website yang menggunakan teknik penggunaan masxlength dan inut type number. Untuk detail
penjelasan dapat dilihat pada pembahasan berikuti ini.

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 DISKUSI DAN HASIL
IMPLEMENTASI

A. Implemetasi SQL Injeksi

a. System tampilan dan source code tanpa anti sql injection

Keterangan Tabel :
1. Pada baris pertama merupakan variable username
yang terdapat dalam table database. Kelemahan
terdapat karena semua karakter yang sifatnya
peretasan akan mudah tembus kedalaam sistem
karena tidak ada proses pemfilteran.

2. Pada baris kedua merupakan variable password

yang terdapat dalam table database. Kelemahan
terdapat karena semua karakter yang sifatnya
peretasan akan mudah tembus kedalaam sistem
karena tidak ada proses pemfilteran.

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 DISKUSI DAN HASIL
IMPLEMENTASI

b. Pada bagian ini akan ditampilkan source code login menggunakan anti sql injection dengan pembahasan
sebagai berikut :

Keterangan Tabel 2 :
1. Pada baris pertama merupakan variable fungsi
anti injeksi sql
2. Melakukan proses pemfilteran terhadap jenis
serangan injeksi
3. Memjalankan fungsi injeksi
4. Variable login dengan username telah dilakukan
pemfilteran anti injeksi
5. Variable login dengan password telah dilakukan
pemfilteran anti injeksi

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 DISKUSI DAN HASIL
IMPLEMENTASI

B. Pengujian SIstem

Pada pengujian kali ini adalah sisem website yang yang tidak
dilengkapai dengan sistemkemanan sql injeksi sehingga akan
terlihat proses pembobol sistem website dari dalam jaringan
computer. Untuk detail berikut perhatikan gambar disamping :

Pada gambar disamping merupakan form login website yang

dilakukan pengujian dengan memasukkan username dan
password yang tida terdapat dalam database dan hasilnya
invalid login yang berarti login gagal.

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 DISKUSI DAN HASIL
IMPLEMENTASI

B. Pengujian SIstem

Berikut perhatikan ketika kita coba masukan data yang benar

yang dapat dilihat pada gambar disamping :

Pada gambar disamping menunjukkan proses login dengan data

user dan password yang benar dan hasilnya sistem akan
membaca data dengan status valid sehingga menampilkan
halaman admin sebuah website.

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 DISKUSI DAN HASIL
IMPLEMENTASI

B. Pengujian SIstem

Untuk serangan SQL injeksi perhatikan gambar disamping ini :

Pada gambar disamping menjukkan karakter ("' OR 1=1 ") yang

di inputkan pada kolom username dan password maka akan
mampu melakukan penetrasi kedalam sistem hingga dapat
login bebas masuk kedalam sistem admin tanpa harus
memasukkan data yang benar.

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

 KESIMPULAN

Dalam sistem website yang terkoneksi oleh jaringan internet maupun local server akan pasti akan rentan
terhadap serangan hacker baik secara sengaja maupun sebaliknya. Ketahanan sistem dipengaruhi dari
infrastruktur jaringan yang benar dan desain sistem kemananan website yang baik. Teknik sql injeksi ini dapat
digunakan pada website manapun selagi tidak ada sistem kemanan didalamnya maka dari itu harus
dilakukan evaluasi agardapat menanggulangi serangan jenis sql injekksi tersebut

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

YAYASAN PERGURUAN TINGGI KOMPUTER (YPTK) PADANG
UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG

UNIVERSITAS PUTRA INDONESIA “YPTK” PADANG