Setelah sebelumnya kita mengenal apa itu SQL Injection, maka sekarang kita mengenal jenis – jenis serangan SQL Injection yang dilakukan dalam menginjeksi url di antaranya :
Classical SQL Injection
Classical SQL Injection adalah cara yang paling sering dilakukan dengan menggunakan metode UNION dalam menggabungkan dua query untuk menampilkan informasi penting dari database. Sebelum melakukan injeksi menggunakan UNION, seorang attacker sudah harus memahami bagaimana query yang akan dieksekusi untuk mendapatkan informasi yang penting di dalamnya. seorang attacker dapat memasukkan malicious charater seperti single quote tag, double minus dan sebagainya untuk menghasilkan pesan error, dimana pesan error tersebut akan dimanfaatkan untuk mengeksploitasi web tersebut.Blind SQL Injection
Blind SQL Injection sering disebut juga dengan true/false yaitu ketika injeksi dilakukan berhasil tetapi tidak menampilkan pesan error kepada attacker, melainkan kembali ke halaman itu sendiri atau menampilkan sebagian, seluruh konten maupun tidak menampilkan konten apapun dari web. Teknik ini membutuhkan waktu yang lama dikarenakan menebak informasi yang terdapat di dalam database dan respon dari request berupa true/false. jika url yang dimanipulasi mengasilkan nilai true, maka akan menampikan konten tetapi jika url yang dimanipulasi menghasilkan nilai false, maka tidak akan memproses request dari attacker.Double Blind SQL Injection / Time-based
Ketika injeksi terhadap url gagal menggunakan teknik blind sql injection, tidak menutup kemungkinan web tersebut memiliki celah terhadap sql injection. Injeksi kemungkinan sukses dilakukan tetapi dapat ditangani di dalam database sehingga ketika injeksi yang dilakukan berhasil, tetapi hasilnya tidak dapat dilihat di dalam aplikasi dan tidak terlihat oleh attacker. Teknik double blind sql injection yaitu berupa gabungan antar blind sql injection/classical sql injection dengan penundaan waktu. jika url yang digabungkan dengan time delay akan menghasilkan perintah sesuai dengan request yang diminta, maka aplikasi web tesebut dapat di injeksi menggunakan serangan sql injection.
Analisis Penanganan SQL Injection Dilakukan Dengan Cara :
Pada saat inisialisasi sebuah variable di kode pemograman ataupun pada kode program yang mengambil data dari database (query), dilakukan validasi terhadap karakter – karakter berbahaya seperti single quote, double quote, comment, tautology, dan lain sebagainya
Membatasi panjang inputan yang akan dimasukkan sehingga attacker tidak dapat menginjeksi dengan memasukkan inputan yang panjang ke dalam form login
Mengatasi pesan error yang keluar dari database dengan menghilangkannya atau menyembunyikan pada kode program.
Sekian Dan Semoga Bermanfaat . . .
Congratulations @ilmumasbro! You received a personal award!
Click here to view your Board
Congratulations @ilmumasbro! You received a personal award!
You can view your badges on your Steem Board and compare to others on the Steem Ranking
Vote for @Steemitboard as a witness to get one more award and increased upvotes!