 |
SQL Injection adalah salah satu dari banyak mekanisme serangan web yang digunakan oleh hacker untuk mencuri data dari organisasi. Hal ini mungkin salah satu teknik serangan yang paling umum lapisan aplikasi yang digunakan saat ini. Ini adalah jenis serangan yang mengambil keuntungan dari coding yang tidak tepat aplikasi web Anda yang memungkinkan hacker untuk menyuntikkan perintah SQL ke dalam mengatakan bentuk login untuk memungkinkan mereka untuk mendapatkan akses ke data yang tersimpan dalam database Anda.Baca juga Baca juga Cara Deface Admin Situs Dengan Metode SQL Injection
Pada dasarnya, SQL Injection muncul karena bidang yang tersedia untuk input pengguna memungkinkan pernyataan SQL untuk melewati dan query database secara langsung.
Mengapa mungkin untuk melewati SQL query langsung ke database yang tersembunyi di balik firewall dan mekanisme keamanan lainnya?
Firewall dan mekanisme deteksi intrusi serupa menyediakan sedikit atau tidak ada pertahanan terhadap skala penuh serangan web SQL Injection.
Karena website publik, mekanisme keamanan akan mengizinkan lalu lintas web publik untuk berkomunikasi dengan web application / s (umumnya di port 80/443). Aplikasi web memiliki akses terbuka ke database untuk kembali (update) diminta (berubah) informasi.
Dalam SQL Injection, hacker menggunakan query SQL dan kreativitas untuk sampai ke database data perusahaan sensitif melalui aplikasi web.
SQL atau Structured Query Language adalah bahasa komputer yang memungkinkan Anda untuk menyimpan, memanipulasi, dan mengambil data yang tersimpan dalam database relasional (atau koleksi tabel yang mengatur dan struktur data). SQL adalah, pada kenyataannya, satu-satunya cara bahwa sebuah aplikasi web (dan pengguna) dapat berinteraksi dengan database. Contoh database relasional termasuk Oracle, Microsoft Access, MS SQL Server, MySQL, dan Filemaker Pro, yang semuanya menggunakan SQL sebagai blok bangunan dasar mereka.
Perintah SQL termasuk SELECT , INSERT , DELETE dan DROP . DROP adalah sebagai menyenangkan karena suara dan pada kenyataannya akan menghilangkan tabel dengan nama tertentu.
Dalam skenario yang sah dari contoh halaman login di atas, perintah SQL yang direncanakan untuk aplikasi web mungkin tampak seperti berikut ini.
SELECT count(*)
FROM users_list_table
WHERE username=’FIELD_USERNAME’
AND password=’FIELD_PASSWORD"
Dalam bahasa Inggris, perintah SQL ini (dari aplikasi web) menginstruksikan database untuk mencocokkan username dan masukan password oleh pengguna yang sah untuk kombinasi itu sudah disimpan.Baca juga Baca juga Pengertian Penetration Testing
Setiap jenis aplikasi web sulit dikodekan dengan query SQL spesifik yang akan mengeksekusi ketika fungsi melakukan yang sah dan berkomunikasi dengan database. Jika ada field input dari aplikasi web tidak dibersihkan dengan benar, hacker dapat menyuntikkan perintah SQL tambahan yang memperluas jangkauan perintah SQL aplikasi web akan mengeksekusi, sehingga melampaui desain awal yang dimaksudkan dan fungsi.
Seorang hacker sehingga akan memiliki saluran komunikasi yang jelas (atau, dalam istilah awam, terowongan) ke database terlepas dari semua sistem deteksi intrusi dan keamanan jaringan peralatan yang dipasang sebelum server database fisik.