Mengenal Out-Of-Band SQL Injection dan Penanganannya
SQL injection adalah teknik serangan keamanan web yang memanfaatkan celah keamanan dalam pemrosesan input pada aplikasi web. Dalam serangan SQL injection, penyerang menyisipkan perintah SQL berbahaya ke dalam input yang diharapkan oleh aplikasi, dengan tujuan untuk memanipulasi pernyataan SQL yang dieksekusi oleh database.
Secara umum, aplikasi web berinteraksi dengan database untuk mengambil, menyimpan, atau memodifikasi data. Aplikasi ini menerima input dari pengguna, seperti formulir atau parameter URL, dan menggunakan input tersebut untuk membentuk pernyataan SQL yang akan dieksekusi di dalam database.
Salah satu jenis serangan dalam SQL Injection adalah Out-Of-Band SQL. Out-of-Band SQL Injection adalah jenis serangan SQL injection di mana penyerang mengekstrak data dari database menggunakan saluran yang berbeda atau luar dari aplikasi web yang diserang.
Dalam serangan ini, penyerang tidak mengambil hasil langsung dari database melalui respons HTTP, tetapi menggunakan mekanisme lain, seperti DNS queries, HTTP requests, atau metode komunikasi lainnya untuk mengirimkan data yang berhasil diekstrak. Agar lebih paham, berikut adalah gambaran dari Out-Of-Band SQL Injection yang lebih lanjut akan dijelaskan dalam artikel ini.
Keep scrolling ya sahabat DQLab!
1. Definisi Out-Of-Band SQL Injection
Out-of-Band SQL Injection adalah jenis serangan SQL injection di mana penyerang mengekstrak data dari database menggunakan saluran yang berbeda atau luar dari aplikasi web yang diserang.
Dalam serangan ini, penyerang tidak mengambil hasil langsung dari database melalui respons HTTP, tetapi menggunakan mekanisme lain, seperti DNS queries, HTTP requests, atau metode komunikasi lainnya untuk mengirimkan data yang berhasil diekstrak.
Sumber Gambar: Omer Citak
Baca juga : Bootcamp Data Analyst with SQL and Python
2. Faktor-faktor yang Memicu Terjadinya Out-Of-Band SQL Injection
Out-of-Band SQL Injection dapat dipengaruhi oleh beberapa faktor, dan faktor-faktor ini dapat bervariasi tergantung pada kondisi dan kelemahan spesifik dalam aplikasi web atau sistem database. Berikut adalah beberapa faktor umum yang dapat mempengaruhi keberhasilan serangan Out-of-Band SQL Injection:
Jenis Database:
Tipe database yang digunakan (misalnya, MySQL, PostgreSQL, SQL Server, Oracle) dapat mempengaruhi keberhasilan serangan Out-of-Band. Beberapa database mungkin memiliki fitur atau fungsi tertentu yang dapat dimanfaatkan oleh penyerang.
Konfigurasi Server:
Konfigurasi server database dan server web dapat memainkan peran dalam keberhasilan serangan. Misalnya, beberapa fungsi atau ekstensi mungkin perlu diaktifkan atau dinonaktifkan untuk melakukan Out-of-Band SQL Injection.
Firewall dan Keamanan Jaringan:
Keberhasilan serangan dapat dipengaruhi oleh kebijakan keamanan jaringan atau firewall yang dapat mencegah komunikasi keluar dari server web yang diserang. Penyerang mungkin perlu menemukan saluran keluar yang dapat digunakan, seperti DNS queries atau HTTP requests.
3. Mengapa Out-Of-Band SQL Injection jadi Pilihan Hacker?
Out-of-Band SQL Injection bisa menjadi pilihan serangan karena beberapa alasan, terutama ketika metode serangan in-band (di mana hasil dari serangan dapat dilihat langsung pada respon HTTP) tidak memungkinkan atau kurang efektif.
Beberapa aplikasi web mungkin mengimplementasikan filter atau firewall aplikasi web yang membatasi karakter atau kata kunci tertentu dalam input pengguna. Dalam kasus seperti itu, serangan in-band mungkin terhambat, dan penyerang memilih Out-of-Band untuk menghindari pemblokiran.
Baca juga : Catat! Ini 3 Keuntungan Belajar SQL dalam Mengolah Data
4. Contoh Out-Of-Band SQL Injection
Contoh Out-of-Band SQL Injection dapat bervariasi tergantung pada kelemahan spesifik dalam aplikasi web dan sistem database. Dalam contoh berikut, saya akan memberikan skenario umum menggunakan Out-of-Band SQL Injection yang melibatkan penggunaan fungsi sistem untuk mengirim data ke server yang dikendalikan oleh penyerang melalui DNS queries. Harap dicatat bahwa ini adalah contoh ilustratif dan bukan untuk digunakan dengan niat jahat.
Misalnya, pertimbangkan aplikasi web dengan formulir pencarian yang mencari produk berdasarkan nama:
Sekarang, bayangkan input pengguna yang tidak disaring dengan benar, dan penyerang dapat memasukkan input berbahaya seperti berikut:
Pada contoh di atas, DNS_QUERY('attacker.com') adalah fungsi yang akan mengirimkan permintaan DNS ke server yang dikendalikan oleh penyerang (attacker.com).
Bingung belajar SQL mulai darimana? Eits, kamu gak perlu bingung harus belajar SQL dimana karena DQLab juga menyediakan modul SQL yang sangat cocok bagi pemula. DQLab merupakan platform belajar online yang berfokus pada pengenalan Data Science & Artificial Intelligence (AI) dengan menggunakan bahasa pemrograman populer, serta platform edukasi pertama yang mengintegrasi fitur Chat GPT.
Selain itu DQLab juga menggunakan metode HERO yaitu Hands-On, Experiential Learning & Outcome-based, yang dirancang ramah untuk pemula.
Selain itu, Bootcamp Data Analyst with SQL and Python juga termasuk kelas yang direkomendasikan bagi pemula yang ingin melakukan pembelajaran data untuk menjadi seorang Data Analyst. Tentunya nanti kita akan dihadapkan dengan study case yang bisa menambah portfolio data.
Untuk mendapatkan pengalaman belajar menarik, buruan sign up di DQLab. Daftar sekarang dan kejar impianmu untuk menjadi Data Analyst!
Penulis: Reyvan Maulid