BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

Transkripsi

1 BAB 1 PENDAHULUAN 1.1 Latar Belakang Dunia Internet telah menjadi sarana bagi semua orang untuk saling bertukar informasi dan berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address suatu situs di browser dengan lengkap dan benar. Namun tanpa kita sadari, setiap situs tersebut terdapat kelemahan-kelemahan yang tidak diketahui oleh user atau pengelola situs yang sering disebut admin. Akhirnya sebuah situs tersebut dapat dimanfaatkan oleh orang yang tidak bertanggung jawab. Kelemahan-kelemahan tersebut dapat berupa kode-kode program yang lemah dan tidak terlindungi oleh keamanan yang kuat. Terdapat beberapa teknik web hacking yang dapat kita gunakan untuk memanfaatkan kelemahan tersebut. Salah satunya ialah teknik SQL Injection. Teknik ini memanfaatkan kode yang terdapat di dalam program sebuah situs yang lemah tanpa perlindungan yang kuat dari sebuah admin situs tersebut. Efek dari SQL Injection ini sangatlah berbahaya karena seseorang dapat masuk ke halaman admin sebuah situs tanpa diketahui oleh admin itu sendiri dengan cara mencuri password dan account id seorang admin. Halaman admin sendiri adalah halaman yang berfungsi untuk mengelola sebuah situs secara dinamis. Seseorang yang tidak

2 bertanggung jawab tersebut masuk ke dalam halaman tersebut dapat melihat informasiinformasi penting di database yang ada dalam sebuah situs dan dapat merubah isi tampilan situs tersebut tanpa sepengatuan admin situs tersebut. Setidaknya SQL Injection bukanlah hal baru, dari dulu teknik ini sudah dikenal dalam dunia hacking sebagau salah satu teknik web hacking namun baru muncul lagi karena sifatnya yang dapat merusak database dari suatu situs. Di Indonesia, SQL Injection sempat dibicarakan beberapa waktu yang lalu pada saat kasus bobolnya situs TNP KPU oleh seseorang cracker Indonesia yang bernama Dani Firmansyah. Akan menjadi sangat bahaya apabila seorang pembuat situs tidak menaruh perhatian terhadap situs yang dibuatnya dan tidak memperhatikan elemen terpenting yang dapat menyebabkan kemungkinan yang tidak diinginkan terjadi seperti yang telah dijelaskan sebelumnya yang dapat merugikan dirinya ataupun orang lain. 1.2 Identifikasi Masalah Berdasarkan latar belakang yang telah disampaikan, maka permasalahan yang muncul dapat melaksanakan penelitian ini adalah bagaimana kita mengetahui titik lemah dari kode-kode program yang terdapat dalam suatu situs sehingga seseorang yang tidak bertanggung jawab dapat melihat isi database situs tersebut dengan teknik SQL Injection, karena kita tahu fungsi database dalam sebuah situs bersifat dinamis dan tidak statis

3 dengan cara menyimpan sebuah data dengan mudah, yang artinya situs tersebut tidak kaku dan bersifat user interface. Sangat membahayakan apabila database dari sebuah situs dilihat oleh hacker yang menggunakan teknik SQL Injection. Hal yang akan terjadi adalah hacker tersebut akan mengetahui isi dari database tersebut yang telah penulis sebut di atas tanpa sepengetahuan admin/pengelola dari situs tersebut. Ada beberapa akibat yang akan terjadi, perubahan tampilan situs tanpa sepengetahuan admin, situs dapat dimasuki virus, Trojan, malware, dan sejenisnya dan yang paling berbahaya adalah pencurian data yang sangat berharga. Sangatlah penting bagi seorang webmaster memperbaiki teknik ini, oleh karena seorang webmaster yang ingin membuat website haruslah dapat mencegah SQL Injection terlebih dahulu dengan cara memfilter kelemahan-kelemahan yang ada di situs. Pemfilteran tersebut dapat dilakukan dengan kode-kode yang memang dikhususkan untuk pencegahan SQL Injection. Kode-kode tersebut data kita sisipkan di program situs kita yang terhubung dengan koneksi database sebuah website. 1.3 Batasan Masalah Dalam melaksanakan penulisan dan penelitian tentang SQL Injection, penulis hanya akan membahas teknik ini di bahasa pemrograman PHP dan hanya terbatas pada pengolahan database di MYSQL. Hal ini dilakukan, penulis dalam masa perkuliahan terfokus oleh

4 kedua hal yang ada di atas. Selain itu, bahasa pemrograman PHP dan MySQL merupakan produk open source. Open Source adalah sebuah aplikasi untuk komputer yang dapat digunakan secara bebas tanpa harus menggunakan lisensi untuk menjalankan aplikasi tersebut. Oleh hal-hal yang ada di atas, penulis membatasi masalah dan tidak menggunakan bahasa pemrograman lain seperti ASP atau Oracle untuk pengolahan databasenya. 1.4 Tinjauan Masalah Pada dasarnya SQL Injection merupakan cara mengeksploitasi celah keamanan yang muncul pada level atau layer database dan aplikasinya. Celah keamanan tersebut ditunjukkan pada saat penyerang memasukkan nilai string dan karakter-karakter contoh lainnya yang ada dalam instruksi SQL dimana perintah tersebut hanya diketahui oleh sejumlah kecil individu yang berusaha untuk mengeksploitasinya. Karena tipe data yang dimasukkan tidak sama dengan yang seharusnya (sesuai dengan kehendak program), maka terjadi sebuah aktivitas yang tidak terduga sebelumnya. Dimana biasanya dapat mengakibatkan mereka yang tidak berhak masuk ke dalam system yang telah terproteksi menjadi hak akses dengan mudahnya dan dapat melakukan sebuah aksi yang dapat merusak sistem sebuah situs. Dikatakan sebagai sebuah injeksi, karena aktivasi penyerangan dilakukan dengan cara memasukkan string (kumpulan karakter) khusus untuk melewati filter logika ketika

5 hak akses pada situs atau sistem komputer yang dimaksud. Dapat dikatakan, string inilah menjadi sebuah kunci atau dapat penulis analogikan sebagai jarum suntik bagi seseorang untuk dapat melakukan aksi ini. 1.5 Maksud dan Tujuan Maksud Penelitian Sesuai dengan judul tugas akhir yang telah dibuat, penulis bermaskud untuk mengetahui dan meneliti bagaimana teknik SQL Injection bekerja dalam meretas sebuah situs tanpa sepengatahuan admin situs tersebut dan bagaimana cara pencegahan teknik tersebut sehingga tidak ada korban dari teknik ini Tujuan Penelitian Penelitian ini mempunyai tujuan, yaitu : a. Mengetahui kode mana saja yang menjadi titik lemah sehingga seorang hacker bisa menggunakan SQL Injection. b. Mencegah adanya korban SQL Injection. c. Sebagai salah satu syarat untuk menyelesaikan Program Studi Diploma III (D-3) Ilmu Komputer. d. Untuk mengaplikasikan seluruh ilmu yang diperoleh selama masa perkuliahan agar bisa berguna di dunia IT.

6 1.6 Metodologi Penelitian Dalam penulisan Tugas Akhir ini ada beberapa metode penelitian yang dilakukan penulis guna mengumpulkan data yang dibutuhkan dalam penulisan SQL Injection ini. Adapun metode-metode tersebu adalah : a. Penelitian Lapangan (Field Research) Penelitian ini dilakukan langsung pada objek data secara langsung. Pengumpulan data dilakukan mengikuti forum-forum yang ada di internet dan bertanya kepada ahli-ahli keamanan website lewat forum guna mendapatkan data ataupun informasi yang menjadi pedoman dalam pembuatan Tugas Akhir ini, selain itu, penulis mendapatkan data-data yang ada dari internet. b. Penelitian Kepustakaan (Library Research) Dalam hal ini, penulis menggunakan buku-buku yang berhubungan dengan makalah yang akan dibahas dan sebagai acuan dalam pembuatan program tersebut. 1.7 Sistematika Penulisan Secara garis besar Tugas Akhir ini dibagi atas lima bab dan beberapa lampiran. Adpaun ke lima tersebut adalah sebagai berikut. BAB 1: PENDAHULUAN Bab ini merupakan bagian yang berisi mengenai latar belakang penulisan, identifikasi dan batasan masalah, maksud dan tujuan, metodologi penelitian serta sistematika penulisan.

7 BAB 2: LANDASAN TEORI Bab ini berisikan tentang uraian teoritis mengenai konsep dasar pengenalan Database, PHP, SQL, SQL Injection dan konsep pengertian Hacker itu sendiri. BAB 3: AKSI SQL INJECTION Bab ini berisikan tentang uraian umum bagaimana sebuah teknik SQL Injection beraksi di sebuah website. SQL Injection mempunyai beberapa teknik dalam menyerang suatu website yang kodenya sangat rentan terkena teknik ini. BAB 4: PENANGANAN/PENCEGAHAN SQL INJECTION Bab ini berisikan bagaiamana mencegah teknik SQL Injection beraksi, selain itu penulis akan memperlihatkan kode-kode PHP mana saja yang menjadi titik lemah sehingga teknik ini dapat bekerja di sebuah situs. BAB 5: KESIMPULAN Bab ini berisi kumpulan mengenai hasil penelitian bagaimana sebuah teknik SQL Injection bekerja dalam melakaukan aksinya dan saran kepada admin-admin sebuah website atau webmaster agar melindungi websitenya dengan aman.