Yuk, Aware dengan SQL Injection
Semakin berkembangnya teknologi, semakin berkembangnya kejahatan yang menyerangnya. Salah satu bentuk kejahatan yang melibatkan data adalah SQL Injection. SQL Injection ini termasuk ke dalam kategori cybercrime, yaitu aksi ilegal yang dilakukan oleh seseorang dengan melakukan pencurian data. Para penjahat cyber ini terus menerus mencari celah yang bisa mereka manfaatkan untuk mendapatkan keuntungan pribadi.
Serangan SQL Injection ini mencakup pencurian dan juga manipulasi data dalam database. Jika database yang diserang adalah database yang penting seperti database aplikasi finansial ataupun database milik negara yang menyangkut data-data penting milik banyak orang, pastinya akan menimbulkan masalah yang sulit. Sebenarnya apa sih SQL Injection ini dan bagaimana cara kerjanya? Pada artikel kali ini DQLab akan membahasnya. Jadi simak pembahasannya ya!
1. Pengertian SQL Injection
SQL Injection adalah sebuah kerentanan keamanan web yang memungkinkan seorang penyerang dapat mengganggu kueri yang dibuat oleh aplikasi ke dalam sistem databasenya. SQL Injection ini dapat menyerang berbagai jenis website yang menggunakan database SQL, contohnya seperti MySQL, Oracle, SQL Server, dan lain sebagainya.
Serangan SQL Injection ini terjadi ketika pengelola website tidak membuat sistem keamanan yang mumpuni. Hal ini rentan akan penyerangan yang dibuat oleh penyerang agar bisa melihat data yang biasanya tidak dapat mereka dapat atau ambil.
Credit by Monitor Teknologi
Baca juga : Bootcamp Data Analyst with SQL and Python
2. Cara Kerja SQL Injection
SQL Injection saat ini masih menjadi salah satu teknik favorit yang dilakukan oleh para hacker untuk bisa meretas website ataupun aplikasi yang menggunakan sistem database. Hal ini karena cara kerja dari SQL Injection cukup sederhana, yaitu hanya dengan menyalahgunakan celah keamanan pada lapisan database.
SQL Injection ini dapat terjadi karena ada sebuah celah keamanan yang terbentuk akibat para developer tidak mengaktifkan filter untuk membuat meta karakter pada form input di dalam website, sehingga membuat para hacker dapat menggunakannya untuk menuliskan kembali command SQL pada halaman login/input.
Credit by freepik
3. Cara Mencegah SQL Injection
SQL Injection ini dapat dicegah dengan beberapa cara seperti berikut ini:
Mengatur Validasi Input
Validasi input sendiri adalah sebuah proses untuk memeriksa data yang dimasukkan oleh pengguna untuk bisa memastikan bahwa hanya data valid yang hanya diterima. Dengan mengatur validasi input ini dapat mencegah serangan SQL Injection.
Memasang WAF dan IPS
WAF (Web Application Firewall) dan IPS (Intrusion Prevention System) adalah salah satu solusi keamanan yang bisa membantu melindungi website dan aplikasi dan berbagai macam jenis serangan, salah satunya adalah SQL Injection. Dengan memasang WAF dan IPS ini akan membuat deteksi dan juga pencegahan terhadap penyerangan SQL Injection dengan aturan dan juga filter yang sudah ditentukan.
Menggunakan Parameterized Queries
Parameterized queries ini dapat memungkinkan developer untuk memisahkan perintah SQL dari pengguna. Dalam Parameterized queries ini, ada beberapa nilai pengguna yang diikat ke dalam parameter dalam pernyataan SQL, sehingga mencegah serangan SQL Injection.
Credit by Avast
Baca juga : Catat! Ini 3 Keuntungan Belajar SQL dalam Mengolah Data
4. Contoh Serangan SQL Injection
Ada beberapa contoh bentuk penyerangan dari SQL Injection yang bisa kalian temui:
Union Query
Pertama adalah serangan SQL Injection dengan menggunakan sistem union dengan menggabungkan dua ataupun lebih query. Contoh sintaknya seperti berikut ini:
SELECT * FROM user WHERE id=’111’ UNION SELECT * FROM member WHERE id=’admin’--’ AND password=’1234’;
Illegal/Logical Incorrect Query
Serangan SQL Injection yang kedua ini memiliki tujuan untuk bisa mendapatkan query atau coding yang memuat informasi dari CGI dengan cara mencari pesan error pada CGI tersebut. Contohnya seperti berikut ini:
SELECT * FROM user WHERE id=’111’ AND password=’1234’ AND CONVERT(char,no)--’;
Jangan lewatkan trilogi modul Fundamental SQL menarik bersama DQLab. Belum pernah ngoding? Tidak perlu khawatir, dengan belajar SQL kamu tetap bisa belajar ngoding meskipun belum familiar dengan bahasa pemrograman sekalipun. Belajar SQL adalah langkah yang tepat untuk membangun pembiasaan kamu untuk ngoding dan semakin memperkaya skill data science kamu.
Yuk, Sign up sekarang untuk #MulaiBelajarData di DQLab! Caranya dengan Sign Up sekarang untuk #MulaiBelajarData di DQLab:
Buat Akun Gratis dengan Signup di DQLab.id/signup
Selesaikan modulenya, dapatkan sertifikat & reward menarik dari DQLab
Subscribe DQLab.id untuk Akses Semua Module Premium