in security, tips ,trik & review

apa itu macam serangan website ( sql injection )

image_pdfimage_print

Apa SQL Injection ?

SQL Injection adalah serangan berbasis web yang digunakan oleh hacker untuk mencuri informasi sensitif dari organisasi melalui aplikasi web . Ini adalah salah satu yang paling umum serangan lapisan aplikasi yang digunakan saat ini . Serangan ini mengambil keuntungan dari coding yang tidak tepat aplikasi web , yang memungkinkan hacker untuk mengeksploitasi kelemahan dengan menyuntikkan perintah SQL ke dalam aplikasi web sebelumnya.

Fakta yang mendasari yang memungkinkan untuk SQL Injection adalah bahwa bidang yang tersedia untuk input pengguna dalam aplikasi web memungkinkan pernyataan SQL melewati dan berinteraksi dengan atau query database secara langsung .

Sebagai contoh, mari kita perhatikan sebuah aplikasi web yang mengimplementasikan mekanisme login berbasis form untuk menyimpan kredensial pengguna dan melakukan query SQL sederhana untuk memvalidasi setiap upaya login. Berikut adalah contoh khas :

SELECT * FROM user WHERE username = ‘ admin ‘ dan password = ‘ admin123 ‘ ;

Jika penyerang mengetahui username administrator aplikasi admin , dia bisa login sebagai admin tanpa memberikan password apapun.

admin’ –

Permintaan di back-end seperti :

SELECT * FROM user WHERE username = ‘ admin’ – ‘ dan password = ‘ xxx ‘ ;

Perhatikan urutan komentar ( – ) menyebabkan query diikuti untuk diabaikan , sehingga permintaan dieksekusi setara dengan :

SELECT * FROM user WHERE username = ‘ admin ‘ ;

Jadi sandi atau perintah untuk pengecekan password akan dilewati. Berikut sedikit contoh bagaimana cara kerja sql injection pada pengecekan user dan password. Kita akan masuk ke dalam macam-macam sql injection pada bahasan selanjutnya..

Sekian..

Write a Comment

Comment