APA ITU SQL INJECTION:V?

 

Assalamu'alaikum, perkenalkan nama saya Andika pratama, saya di sini akan menjelaskan apa itu SQL INJECTION. 

SQL Injection merupakan teknik eksploitasi dengan cara memodifikasi perintah sql pada form input aplikasi yang memungkinkan penyerang untuk dapat mengirimkan sintaks ke database aplikasi. SQL Injection juga dapat didefinisikan sebagai teknik eksploitasi celah keamanan pada layer database untuk mendapatkan query data pada sebuah aplikasi.

SQL Injection dapat diterapkan pada banyak aplikasi database yang umum digunakan, berdasarkan pada https://www.statista.com Oracle, MySQL, Microsoft SQL Server dan Postgre sql merupakan 4 (empat) aplikasi database yang paling banyak digunakan oleh khalayak umum, termasuk di Indonesia. Gambar 1. dibawah menunjukkan tabel sebaran penggunaan aplikasi database.

SQL Injection dapat digolongkan kedalam. 5 (lima) risk severity, yaitu sistem penilaian risiko yang dihitung dengan menggunakan kalkulator OWASP berdasarkan hasil analisis faktor kemungkinan terjadi (likelihood) dan faktor dampak (impact) pada kerentanan yang berhasil diidentifikasikan.Tabel 1. dibawah menunjukkan risk severity. 

Apa Penyebab SQL Injection

SQL Injection umumnya terjadi karena programmer (pengembang aplikasi) tidak mengimplementasikan filter terhadap metakarakter (&, ;, `, ‘, \, “, |, *, ?, ~, <, >, ^, (, ), [, ], {, }, $, \n, dan \r) yang digunakan dalam sintaks sql pada form input aplikasi, sehingga penyerang dapat menginputkan metakarakter tersebut menjadi instruksi pada aplikasi untuk mengakses database. Selain itu serangan SQL Injection juga dapat terjadi, jika personil back end tidak mengimplementasikan atau tidak mensetting Web Application Firewall (WAF) atau Intrusion Prevention System (IPS) pada arsitektur jaringan dengan baik, sehingga database aplikasi dapat diakses langsung dari celah kerawanan yang ditemukan.

Hasil Serangan Berdasarkan Kerentanan SQL Injection 

Keberhasilan serangan SQL Injection memungkinkan penyerang untuk dapat mengakses seluruh database, tabel dan query pada aplikasi, dimana seperti yang diketahui database merupakan inti data pada aplikasi, apabila informasi mengenai pengguna (misal : nama, tanggal lahir, NIP, jabatan, email, nomor telpon dan lain sebagainya) diketahui, maka penyerang dapat melakukan serangan lanjutan terhadap aplikasi.

Akses dan aksi illegal terhadap database pada aplikasi juga dapat menimbulkan kebocoran integritas data (data integrity compromise), yaitu adanya perubahan terhadap data, kebocoran ketersediaan data (data availiability compromised), yaitu adanya penghapusan terhadap data, bahkan yang paling ekstrim penyerang dapat melakukan pengambilalihan aplikasi.