SQL Injection: Difference between revisions
No edit summary |
No edit summary |
||
| Line 1: | Line 1: | ||
SQL Injection adalah teknik code injection yang digunakan untuk menyerang aplikasi web tanpa penyaringan atau metode perlindungan lainnya. Jenis serangan ini memungkinkan penggunaan informasi database di server. | |||
SQL Injection adalah teknik injeksi kode yang digunakan untuk menyerang aplikasi berbasis data, di mana ''SQL statements'' berbahaya dimasukkan ke dalam kolom entri untuk dieksekusi (misalnya, membuang konten database ke penyerang). SQL Injection harus mengeksploitasi kerentanan keamanan dalam perangkat lunak aplikasi, misalnya, ketika input pengguna salah disaring untuk karakter pelarian literal string yang disematkan dalam pernyataan SQL atau input pengguna tidak diketik dengan kuat dan dieksekusi secara tidak terduga. Injeksi SQL sebagian besar dikenal sebagai vektor serangan untuk situs web tetapi dapat digunakan untuk menyerang semua jenis database SQL. | |||
Serangan injeksi SQL memungkinkan penyerang untuk memalsukan identitas, merusak data yang ada, menyebabkan masalah penolakan seperti membatalkan transaksi atau mengubah saldo, memungkinkan pengungkapan lengkap semua data pada sistem, menghancurkan data atau membuatnya tidak tersedia, dan menjadi administrator sistem. server basis data. | Serangan injeksi SQL memungkinkan penyerang untuk memalsukan identitas, merusak data yang ada, menyebabkan masalah penolakan seperti membatalkan transaksi atau mengubah saldo, memungkinkan pengungkapan lengkap semua data pada sistem, menghancurkan data atau membuatnya tidak tersedia, dan menjadi administrator sistem. server basis data. | ||
| Line 10: | Line 12: | ||
SQL sendiri merupakan bahasa pemrograman yang digunakan untuk membuat dan mengolah database. Jika serangan ini berhasil, database website Anda dapat dirusak, diubah, dan disalahgunakan. | SQL sendiri merupakan bahasa pemrograman yang digunakan untuk membuat dan mengolah database. Jika serangan ini berhasil, database website Anda dapat dirusak, diubah, dan disalahgunakan. | ||
==Efek== | |||
Efek yang ditimbulkan dari SQL Injection sangat beragam, berikut adalah beberapa point bahaya dari serangan tersebut: | |||
#SQL Injection memungkinkan seseorang dapat login (masuk) kedalam sebuah sistem tanpa harus memiliki account. Hal ini berlaku baik user biasa maupun admin. | |||
#Dengan SQL Injection pula seseorang bisa menyusup kedalam sebuah basis data sehingga dia dapat merubah, menghapus, atau bahkan menambah data yang terdapat dalam basis data tersebut. | |||
#Bahkan yang lebih dari sekedar mengubah basis data, sang pelaku bisa menanamkan akun yang tidak diketahui. Sehingga apabila sistemnya telah diperbaiki tapi sang pelaku masih memiliki cadangan akun untuk login tanpa harus melakukan SQL Injection lagi. | |||
#Selain itu, pelaku juga bisa menjual data-data pribadi yang dimiliki oleh customer pada website e-commerce seperti nomer rekening dan lain-lain Efek lain dari SQL Injection adalah mematikan basis data itu sendiri sehingga web server tidak dapat memberikan layanan yang baik kepada para pengguna. | |||
[[Category:Security]] | [[Category:Security]] | ||
Revision as of 03:42, 25 November 2021
SQL Injection adalah teknik code injection yang digunakan untuk menyerang aplikasi web tanpa penyaringan atau metode perlindungan lainnya. Jenis serangan ini memungkinkan penggunaan informasi database di server.
SQL Injection adalah teknik injeksi kode yang digunakan untuk menyerang aplikasi berbasis data, di mana SQL statements berbahaya dimasukkan ke dalam kolom entri untuk dieksekusi (misalnya, membuang konten database ke penyerang). SQL Injection harus mengeksploitasi kerentanan keamanan dalam perangkat lunak aplikasi, misalnya, ketika input pengguna salah disaring untuk karakter pelarian literal string yang disematkan dalam pernyataan SQL atau input pengguna tidak diketik dengan kuat dan dieksekusi secara tidak terduga. Injeksi SQL sebagian besar dikenal sebagai vektor serangan untuk situs web tetapi dapat digunakan untuk menyerang semua jenis database SQL.
Serangan injeksi SQL memungkinkan penyerang untuk memalsukan identitas, merusak data yang ada, menyebabkan masalah penolakan seperti membatalkan transaksi atau mengubah saldo, memungkinkan pengungkapan lengkap semua data pada sistem, menghancurkan data atau membuatnya tidak tersedia, dan menjadi administrator sistem. server basis data.
Dalam studi 2012, diamati bahwa aplikasi web rata-rata menerima empat kampanye serangan per bulan, dan pengecer menerima serangan dua kali lebih banyak dari industri lain.
SQL Injection merupakan serangan yang juga banyak dilakukan oleh para hacker. Serangan jenis ini menyerang database server untuk mencuri informasi username dan password, mengubah database, dan memasukkan file berbahaya.
Cara kerja serangan ini, yaitu dengan memanfaatkan celah keamanan dan memasukkan perintah SQL ke dalam database server.
SQL sendiri merupakan bahasa pemrograman yang digunakan untuk membuat dan mengolah database. Jika serangan ini berhasil, database website Anda dapat dirusak, diubah, dan disalahgunakan.
Efek
Efek yang ditimbulkan dari SQL Injection sangat beragam, berikut adalah beberapa point bahaya dari serangan tersebut:
- SQL Injection memungkinkan seseorang dapat login (masuk) kedalam sebuah sistem tanpa harus memiliki account. Hal ini berlaku baik user biasa maupun admin.
- Dengan SQL Injection pula seseorang bisa menyusup kedalam sebuah basis data sehingga dia dapat merubah, menghapus, atau bahkan menambah data yang terdapat dalam basis data tersebut.
- Bahkan yang lebih dari sekedar mengubah basis data, sang pelaku bisa menanamkan akun yang tidak diketahui. Sehingga apabila sistemnya telah diperbaiki tapi sang pelaku masih memiliki cadangan akun untuk login tanpa harus melakukan SQL Injection lagi.
- Selain itu, pelaku juga bisa menjual data-data pribadi yang dimiliki oleh customer pada website e-commerce seperti nomer rekening dan lain-lain Efek lain dari SQL Injection adalah mematikan basis data itu sendiri sehingga web server tidak dapat memberikan layanan yang baik kepada para pengguna.