U2FsdGVkX18gSHPJUTFKnglRMb3fnSayk9dPfRjjVQ7Ykg+Bs7CgyCoAy8QpyjRx04WdHpZpwnkyXrlW2VuzPQ==
Apa Itu SQL Injection ~ Yoo apa kabs ? sudah lama tidak menulis artikel nih hehe pada kesempatan ini saya akan membahas pengertian sql injection, bagi kalian yang bergelut di bidang hacking mungkin sudah tidak asing lagi dengan teknik tersebut namun bagaimana dengan yang masih awam atau yang baru ingin berkecimpung di dunia hacking ? nah oleh sebab itu saya membuat artikel ini, so lansung aja di simak ya.

SQL (Structured Query Language) adalah sebuah bahasa yang digunakan untuk melakukan query, mengoperasikan, dan mengelola sistem database. Penggunaan sql pada umum nya di semua sistem database sama saja namun ada beberapa perbedaan khusus untuk setiap sistem database tersebut.

Pengertian SQL Injection

SQL Injection adalah sebuah teknik yang memanfaatkan celah keamanan pada basis data sebuah aplikasi , jadi ketika user melakukan inputan namun oleh sistem tersebut karakter inputan user tidak di saring secara benar yang mana akan terjadi celah sql. contoh sederhana nya pada kolom username dan password yang seharusnya user hanya dapat memasukan huruf dan angka namun jika mempunyai celah sql maka user dapat memasukan karakter seperti -''= sehingga user bisa memasukan query sql untuk melihat isi database tersebut.

SQL Injection masih menjadi favorit teknik hacking yang di gunakan para attacker,SQL Injection cukup mudah dilakukan karena masih banyak web-web di luar sana yang mempunyai celah keamanan ini dan juga masih banyak developer yang kurang aware terhadap celah ini. Pada umumnya efek dari SQL Inejction ini adalah :
  • memungkinkan attacker untuk masuk ke dalam aplikasi dengan hak admin tanpa menggunakan akun admin aplikasi tersebut.
  • memungkinkan attacker untuk merubah , menambah , menghapus data-data yang ada di dalam database tersebut
  • memungkinakan attacker untuk mematikan database 

Tujuan Sql Injection attack

  • Bypass Otentikasi
teknik ini memungkinkan attacker untuk bypass login atau masuk ke dalam sistem dengan hak adminstratif tanpa harus mempunya username dan password yang valid
  • Pencurian Informasi
teknik ini memungkinkan attacker untuk mendapat kan inforamsi sensitif pada database seperti username passwod login , data user client , data pribadi client dll 
  • Compromised Integritas Data
Attacker dapat melakukan perubahan pada database , dengan teknik ini attacker dapat melalukan deface ataupun memasukan konten berbahaya
  • Compromised Ketersediaan Data
teknik ini memungkinkan attacker untuk menghapus informasi pada database yang bertujuan untuk merusak log atau audit informasi pada database
  • Remote Command Execution
Memungkin attacker untuk melakukan perintah eksekusi melalui database untuk dilakukan pada sistem operasi server
sedikit contoh sql injection bypass login
otentikasi biasa
SELECT count (*) FROM Users WHERE Username=’alam’ AND Password= ‘ganteng’
otetntikasi yang dilakukan oleh attacker
SELECT count (*) FROM Users WHERE Username=’qwerty’ or 1=1 — ’ AND Password= ‘abcdefg’
jika pada biasanya input yang masuk ke database adalah username (alam) dan password (ganteng), namun inputan yang dimasukan oleh attacker adalah "qwerty" pada bagian itu tidak penting karna setelah itu ada tanda "or 1=1 -" yang mana artinya setiap inputan yang masuk akan selalu di anggap true karna bisa diliat pada tabel OR di atas 1=1 adalah true dan pada or kondisi dimana jika ada salah 1 atau lebih input true maka otentikasi akan dianggap true oleh sistem

mempelajari sql sangat penting untuk menggunakan teknik sql injection ini namun sudah banyak tools" gratis yang dapat melakukan sql injection attack secara otomatis akan tetapi tetap saja akan lebih power full jika kita dapat melakukan nya secara manual.

Yup segitu saja pada artikel penjelasan sql injection attack , jika masih ada yang kurang kurang harap maklum ya karna saya hanya lah manusia biasa yang tidak sempurna, alangkah baik nya jika kalian menambahkan atau mengoreksi nya di kolom komentar. see you
Loading...