Apa Itu SQL Injection ?
Oke Kali ini saya akan membahas apa itu SQL Injection. SQL Injcetion adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. SQL Injection ini bisa terjadi karena ketika user menginputkan Query pada server yang tidak di filter dulu. Setelah saya cari cari ternyata celah ini banyak pada website lokal, contohnya website pemerintahan yang mungkin sang developer tidak membuat kode dengan benar.
Jika sang attacker menyerang dengan menggunakan metode ini, bisa berbahaya karena bisa mengancam data data sensitif seperti username,password,email dan bahkan jika web e-commerce memiliki celah ini, maka Data kartu kredit / Visa juga bisa didapatkan oleh sang attacker dari database Server.
Contoh kecil nya jika ada website yang memiliki celah di form login misalnya, bukan tidak mungkin kalau si attacker bisa masuk kedalam sistem administrator, dengan sangat mudah sang attacker membypass nya dengan Query "=''or' . setelah sang attacker masuk kedalam sistem administrator, website kamu bisa di sisipi Backdoor atau Jalan belakang untuk masuk kedalam server tanpa harus masuk ke hosting/cpanel, lebih bahaya lagi kalau cpanel nya juga di-hack.
Apa saja yang dapat dilakukan oleh hacker jika website kamu memiliki Bug/Celah ini ?
1. Bypass Otentikasi
Seperti yang saya bahas di atas, sang attacker bisa masuk kedalam sistem administrator dengan sangat mudah hanya menginputkan Query "=''or' Nah, jadi Si Hacker Jahat ini bisa Masuk tanpa memasukan Username/Password dengan benar tapi dapat masuk kedalam sistem administrator nya.
2. Pencurian Data
Seperti Yang Sudah saya bahas juga di atas, bahwa si hacker dapat mencuri data data penting yang sangat sensitif, seperti Username,Email,Password dan bahkan Data Kartu Kredit.
3. Menghapus Data
Nah ketika si hacker ini masuk kedalam sistem website kamu, saat ini data data kamu tidak aman, karena si hacker bisa menghapus data yang ada di database server. Untuk mengatasi ini kamu harus Mem-Backup Semua data penting secara berkala.
4. Modify Data
Selain Dari Menghapus Data, Sang Attacker juga bisa memodifikasi data yang ada di database, dengan begitu hacker bisa saja mengubah data / menambahkan data. jadi ketika si hacker ingin masuk kedalam sistem administrator dengan mudah hacker ini menambahkan username/password untuk masuk kedalam sistem kamu.
5. Command Execution
Jika si hacker ingin menguasai semua data yang ada di website kamu, dengan mudah sang attacker memasukan command yang dapat mengupload backdoor, dan bisa jadi website kamu disisipi ransomware setelah itu website kamu tidak dapat beroperasi dengan semestinya.
Oke Mungkin Sampai Disini Pencerahan Tentang SQL Injection, Semoga Bermanfaat. :)
Belum ada Komentar untuk "Apa Itu SQL Injection ?"
Posting Komentar