SQL Injection

Structured Query Language (SQL) digunakan untuk melakukan query, mengoperasikan, dan mengelola sistem database seperti SQL server, Oracle, atau MySQL. Penggunaan umum SQL konsisten di semua sistem databatase, namun ada detail perbedaan tertentu yang khusus untuk setiap sistem.

SQL Injection adalah teknik yang menyalahgunakan celah keamanan yang ada pada lapisan basis data sebuah aplikasi. Celah ini terjadi ketika input dari pengguna tidak disaring secara benar, contohnya adalah kolom username yang seharusnya hanya diisi dengan huruf atau angka tapi malah diisi dengan karakter lain (seperti: – = ’) sehingga penyerang menggunakan celah tersebut dengan cara memasukan query dari SQL.

SQL Injection selalu menjadi teknik penyerangan terfavorit sebagian besar hacker dari tahun ke tahun, disamping karena semakin sulitnya hacker melakukan serangan melalui jaringan yang disebabkan oleh semakin canggihnya perangkat-perangkat pertahanan dari target (contoh: firewall, IDS, UTM, dll), SQL Injection juga sangat mudah dilakukan karena masih banyak web programmer yang masih kurang “aware” terhadapnya.Mempelajari SQL sangat penting untuk melakukan serangan SQL Injection, namun ada cukup banyak juga tools serangan otomatis untuk melakukan SQL Injection.

Sebagai web programmer kita harus mempelajari bagaimana cara melakukan secure programmer, tidak hanya dalam web programming tetapi juga dalam berbagai bahasa programming lainnya.

Aplikasi yang bisa digunakan untuk SQL Injection :

1. HAVIJ

Havij sendiri sebenarnya dibuat untuk menguji kerenatanan database pada website, dengan aplikasi ini kita dapat mengambil DBMS, Dump data dari database dll. Havij sendiri ada 2 versi, Portable dan Full, bedanya seperti halnya aplikasi yang lain, ada beberapa fitur yang terkunci, saya suka aplikasi ini karna GUI nya yang sangat mudah dipahami untuk pemain baru.

2. Droidsqli

Awalnya tool ini didesain untuk memberikan kemudahan bagi para web developer untuk mengecek apakah ada kesalahan atau bug pada sistem yang mereka buat, tetapi ibarat pisau, bisa dipakai untuk memotong rumput atau menodong orang. kebanyakan usernya malah menggunakanya untuk meng-hack database orang lain dan kemudian mencuri data-data penting dari system database tersebut. sepert mencuri password login, mencuri data nilai deposit dan lain sebagainya.

Pada dasarnya DroidSQLi hanya sebauh tool untuk melakukan testing brute force pada sebuah website, jadi didalamnya telah berisikan berbagai macam teknik sql injection yang mana user tinggal menjalankan seperti Time Based Injection, Blind Injection, Error Based Injection dan Normal Injection.  dari hasil berbagai methode tersebut DroidSQLi akan menampilkan hasilnya, termasuk menampilkan isi table dan bahkan password-nya.

3. Google Dork

Google dork adalah mesin untuk mencari/search engines sehingga dapat memudahkan Google untuk mencari alamat,password,dll. Bisa terindex di Google. Namun hal kenyataannya, Google Dork ini digunakan 80% untuk hal negatif seperti Deface Website/situs,mencari password, dan hacking lainnya. Google biasa digunakan untuk hal-hal yang negatif oleh Hacker.