TUGAS KELOMPOK SECURITY COMPUTER TOOL HACKING SQL INJECTION

dokumen-dokumen yang mirip
TUTORIAL SQL INJECTION

KEAMANAN KOMPUTER APLIKASI HAVIJ KELOMPOK : BAGUS WAHYU SANTOSO KHAIRUL RAHMAN RENDY ZULIANSYAH

Keamanan Web Server. Pertemuan XI WEB HACKING

Andi Dwi Riyanto, M.Kom

Keamanan Data di dalam Cloud Storage

rancang bangun aplikasi web vulnerability scanner terhadap kelemahan sql injection dan xss menggunakan java

Analisis Penanganan SQL Injection pada Basis Data MySQL dengan Framework Code Igniter dan PHP

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Jurnal Ilmiah Komputer dan Informatika (KOMPUTA) 45 Edisi... Volume..., Bulan 20.. ISSN :

Bab 4 Hasil dan Pembahasan

KINERJA APLIKASI CLIENT SERVER UNTUK SISTEM INFORMASI TUMBUH KEMBANG BALITA

BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

Methods of Manual Penetration Testing (Actual Exploit)

Secara umum, eksploit dapat dibagi atas dua jenis, yaitu eksploit lokal (local exploit), dan eksploit remote (remote exploit).

Artikel ini akan memberikan informasi bagi pembaca yang kesulitan dengan Teknik Mencegah SQL Injection pada PHP.

Pencari Celah Keamanan pada Aplikasi Web

Nama : FEPILIANA Nim : TUGAS 05 KEAMANAN JARINGAN KOMPUTER ACTUAL EXPLOIT

MySQL J A M K E T I G A

BAB III RANCANGAN PENGUJIAN. aplikasi ini adalah black box testing. Black box testing atau tes fungsional adalah

DATABASE SQL SERVER. Database SQL Server Halaman 1

*HACKING* Sekilas Tentang Google

BAB 4 IMPLEMENTASI DAN EVALUASI SISTEM

Xcode Intensif Training. Advanced ethical web. hacking & security

Ahmad Muammar W. K.

BAB 3 PERANCANGAN SISTEM Mendefinisikan Web Dalam Dreamweaver MX 2004

Tips Keamanan Aplikasi Web PHP & MySQL

INSTALLATION CHECKING

Perancangan Website Ujian. Teknik Elektro UNDIP Berbasis HTML

Hacking Website With SQL Injection

MODUL 1 PENGENALAN PDO (PHP DATA OBJECT)

IMPLEMENTASI KEAMANAN APLIKASI WEB DENGAN WEB APPLICATION FIREWALL

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB 11 Keamanan WEB Pendahuluan 11.2 SSL

ADITYA WARDANA

Form Mampu membuat form dan dan mengirim data ke halaman lain Pengaturan Validasi dan keamanan form. Sesi 5

BAB III ANALISIS DAN PERANCANGAN

Riska Kurnianto Abdullah NRP :

DAFTAR ISI. LEMBAR PENGESAHAN PEMBIMBING... iii. LEMBAR PENGESAHAN PENGUJI... iv. LEMBAR PERNYATAAN KEASLIAN... v. HALAMAN PERSEMBAHAN...

TUGAS KEAMANAN JARINNGAN KOMPUTER

TUTORIAL ANTI INJECTION 1. SCRIPT CODE LOGIN ANTI SQL INJECTION. Materi asli dari Masinosinaga baca dibawah ini:

BAB III ANALISA DAN PERANCANGAN SISTEM

Query adalah bahasa SQL (Structured Query Language) yang ditampilkan dalam bentuk visual, yang dapat digunakan untuk melihat, memodifikasi dan

4. Pilih direktori tempat penyimpanan lalu klik Lanjut. A. INSTALLASI SOFTWARE 1. Masukkan CD Program ke dalam CD ROM

Software User Manual. Sistem Informasi Penelitian dan. Publikasi Ilmiah. Panduan Bagi Pengguna Portal POLTEKKES SURAKARTA

BAB 2 LANDASAN TEORI. Sitem adalah kumpulan dari elemen-elemen yang berinteraksi untuk mencapai tujuan. keluaran. Berikut gambaran umum sebuah sistem.

BAB II DASAR TEORI. 2.1 Konsep Dasar Sistem Aplikasi Pengertian Sistem. Pengertian sistem adalah kumpulan dari elemen-elemen yang berinteraksi

BAB IV HASIL DAN IMPLEMENTASI. belajar dan bertukar ilmu dilingkungan jurusan Teknologi Informasi. Halaman-halaman

LAMPIRAN : CARA MENJALANKAN PROGRAM

Petunjuk Upload database MySQL menggunakan PhpMyAdmin

Andi Dwi Riyanto, M.Kom

BAB IV HASIL DAN UJI COBA

Xcode Intensif Training. Ethical Web hacking & Security ~ Advanced

Petunjuk Upload Database MySQL

BAB 3 PERANCANGAN SISTEM. 3.1 Mendefenisikan Web dalam Macromedia Dreamweaver 8

INSTALLATION GUIDE INSTALLATION GUIDE. PT.Technomatic Cipta Mandiri. IT division: Jl. Cikutra Baru Raya No.2 Bandung-40124

Web Server Administrator

Eksekusi file setup.exe yang ada dalam CD atau folder instalasi oracle.

BAB IV IMPLEMENTASI SISTEM DAN PENGUJIAN. meliputi pembahasan mengenai proses perekaman gambar berdasarkan interval


BAB IV HASIL DAN UJI COBA

UNIVERSITAS DHARMA ANDALAS

Instalasi XAMPP di Windows

E-trik Ajax. Database MySQL. Dedi Alnas

Ms. SQL Server mengimplementasikan database dengan menyimpan 2 struktur, yaitu :

MANUAL PENGOPERASIAN JSTOCKINVENTORY Twitter

TUGAS PERTEMUAN KE-9 TEKNOLOGI OPEN SOURCE

masukkan port yang masih kosong.

Langkah-langkah Pembuatan Web dengan Joomla

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 1

Tutorial Celah Keamanan Pada PHP Scripts. Oleh Ramdan Yantu

Langkah-langkah pembuatan website dengan Instalasi secara online

[AN _ AY ] October 10, 2010 DAFTAR DOMAIN GRATIS DI CO.CC...2 PENDAFTARAN HOSTING GRATIS DI IDHOSTINGER...7

BAB IV Hasil Dan Analisis

1. Tampilan instalasi Joomla awal. Klik Next. 2. Kemudian menuju langkah ke dua. Klik Next lagi.

Vat-Out Konversi Faktur Pajak Keluaran. Panduan Penggunaan Aplikasi 2017 ISS PANDUAN PENGGUNAAN APLIKASI VAT-OUT 1

Manual Billing Aura v1.2

PENDETEKSI CELAH KEAMANAN PADA APLIKASI WEB DENGAN PENETRATION TESTING MENGGUNAKAN DATA VALIDATION TESTING SKRIPSI INDRA M.

[CMS Website Organisasi Kemahasiswaan FEB Unpad] Fakultas Ekonomi dan Bisnis Universitas Padjadjaran

Pertemuan 11 Pengenalan DBMS dan MySQL

2.1 Instalasi Joomla Secara Lokal

BAB IV HASIL DAN PEMBAHASAN

STUDI DAN IMPLEMENTASI KEAMANAN WEBSITE MENGGUNAKAN OPEN WEB APPLICATION SECURITY PROJECT (OWASP) STUDI KASUS : PLN BATAM

LAPORAN TUGAS BASIS DATA I

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

BAB I PENDAHULUAN LATAR BELAKANG CONTOH KASUS. Diktat Mata Kuliah Aplikasi Teknologi Online Oleh : Andri Heryandi

BAB 2 LANDASAN TEORI. Istilah Komputer (Computer) diambil dari bahasa Latin Computare yang berarti menghitung

ANALISIS KEAMANAN WEBSITE DI UNIVERSITAS MUHAMMADIYAH SURAKARTA

SHARING FILE MENGGUNAKAN WINDOWS XP

BAB 2 LANDASAN TEORI

Sistem Pendeteksi dan Pencegah Serangan SQL Injection dengan Penghapusan Nilai Atribut Query SQL dan Honeypot

Installasi Microsoft SQL Server 2000 Personal Edition

APLIKASI e-hosting STANDARD OPERATING PROCEDURE (SOP) REV.1 PT PLN (PERSERO) DISTRIBUSI JAWA TIMUR

Database Management Pengenalan MS. Access 2003

Registrasi Blogger. Gambar 2.1. Halaman Awal Blogger

BAB IV IMPLEMENTASI DAN PENGUJIAN

SEKOLAH TINGGI TEKNOLOGI INDONESIA TANJUNG PINANG

Unhide Passwords for Firefox

Step-Step dalam pembuatan Web

Perancangan Web Application Honeypot untuk Menggali Informasi Peretas

Mengembangkan Website Berbasis Wordpress

Transkripsi:

TUGAS KELOMPOK SECURITY COMPUTER TOOL HACKING SQL INJECTION FILIAN FALANDA (2012110015) SUWANDY (2012110020) FERDY ARTHA OKTARANDA (2012110022) TRI BUANA (2012110025) DOSEN PEMBIMBING : Ade Sarah Huzaifah, M.Kom.

KEJAHATAN DUNIA MAYA Perkembangan internet yang semakin hari semakin meningkat baik teknologi dan penggunaannya, membawa banyak dampak baik positif maupun negatif. Tentunya untuk yang bersifat positif kita semua harus mensyukurinya karena banyak manfaat dan kemudahan yang didapat dari teknologi internet ini Kemudian tentunya tidak dapat dipungkiri bahwa teknologi internet membawa dampak negatif yang tidak kalah banyak dengan manfaat yang ada. Internet membuat kejahatan yang semula bersifat konvensional seperti pengancaman, pencurian dan penipuan kini dapat dilakukan dengan menggunakan media komputer secara online dengan risiko tertangkap yang sangat kecil oleh individu maupun kelompok dengan akibat kerugian yang lebih besar baik untuk masyarakat maupun negara disamping menimbulkan kejahatan-kejahatan baru. Seiring dengan berjalannya waktu, akibat banyaknya para hacker muda yang lahir untuk melakukan kejahatan di dunia maya, maka banyak metode yang mereka gunakan untuk melakukan teknik serangan seperti Cross Site Scripting, Directory Traversal Attack, Parameter Manipulation dan lain sebagainya. Adapun salah satu contoh teknik serangan yang sering mereka gunakan adalah teknik serangan melalui SQL injection.

KEJAHATAN DUNIA MAYA SQL singkatan dari Structured Query Language yg merupakan bahasa komputer standar yang ditetapkan oleh ANSI (American National Standard Institute) untuk mengakses dan memanupulasi sistem database. SQL bekerja dengan program database seperti MS Access, DB 2, Informix, MS SQL Server, Oracle, Sybase dan lain sebagainya. SQL injection attack merupakan salah satu teknik dalam melakukan web hacking utk menggapai akses pada sistem database yg berbasis SQL. Teknik ini memanfaatkan kelemahan dalam bahasa pemprograman scripting pada SQL dalam mengolah suatu sistem database. Hasil yg ditimbulkan dari teknik ini membawa masalah yg sangat serius. Maka setelah mengetahui bahwa SQL injection merupakan suatu teknik serangan hacker yang dapat mereka lakukan dari jarak jauh, maka penulis memutuskan untuk mengambil tema ini dengan menggunakan judul Metode Serangan SQL Injection.

MENURUT PARA AHLI PENGERTIAN DARI SQL INJECTION : Menurut Rosihan Ari Yuana SQL injection merupakan perbuatan orang yang memberikan perintah SQL untuk dijalankan di mesin server SQL tanpa sepengetahuan Anda sebagai administrator. Proses injection biasanya dilakukan orang ketika memasukkan input melalui form dengan perintah atau kode tertentu. Menurut Muhammad Ilhamdi Rusydi SQL injection adalah teknik memanipulasi perintah SQL dengan memasukkan ke database server sehingga dapat dimanfaatkan untuk mendapatkan informasi dan merubah database yang telah ada.

SEBAB TERJADINYA!!!! SQL injection yang dapat diartikan sebagai suatu aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client dapat terjadinya karena disebabkan oleh beberapa penyebab yatu : Tidak adanya penanganan terhadap karakter karakter tanda petik satu dan juga karakter double minus yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.

KARAKTERISTIK...??? SQL injection yang merupakan jenis serangan dari para hacker mempunyai beberapa karakteristik yaitu : Teknik serangan ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account. Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data data yang berada didalam database. Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.

TOOLS PENDUKUNG... Untuk dapat melakukan aksi SQL injection, para hacker membutuhkan beberapa tools yang akan mereka gunakan sebagai pendukung untuk melakukan teknik penyerangan diantaranya adalah sebagai berikut : Internet Exploler / Browser PC yang terhubung internet Program atau software seperti softice

CONTOH SINTAKS DALAM PHP Adapun beberapa contoh sintaks agar para hacker dapat melakukan penyerangan dengan menggunakan metode SQL injection adalah sebagai berikut : $SQL = select * from login where username = $username and password = $password ;, {dari GET atau POST variable} Isikan password dengan string or = Hasilnya maka SQL akan seperti ini = select * from login where username = $username and password = pass or = ;, {dengan SQL ini hasil selection akan selalu TRUE } Dan hasilnya, para hacker bisa inject sintax SQL kedalam SQL Contoh Gambar SQL Injection :

CONTOH SINTAKS DALAM PHP

PENANGANAN SQL INJECTION MERUBAH SCRIPT PHP MENGGUNAKAN MYSQL_ESCAPE_STRING PEMFILTERAN KARAKTER DENGAN MEMODIFIKASI PHP.INI

MEMINIMALISASIKAN SQL INJECTION Warning atau Error pada query tidak perlu ditampilkan. Lebih baik dibuat script yang akan langsung memfeedback log error/warning ke developer/adminnya jika terjadi kesalahan query, sementara di end-user bisa ditampilkan, misal error 404. Developer hendaknya melakukan validasi terhadap URL dan memfilter bentuk request yang menjurus terhadap tindakan injeksi. Jangan pernah dumping database ke direktori yang tidak restrict permissionnya / publik. Dan lagi penamaan terhadap file hasil dumping database diusahakan tidak umum seperti pemberian tanggal-bulan-tahun (misal : 13071984.sql). Beberapa third party atau extension / module suatu CMS yang menggunakan konfigurasi default bisa ditebak direktori dan nama filenya. Lakukaan audit sendiri dengan berbagai macam tools yang ada. Jika dana tidak mencukupi maka tidak ada salahnya konsultasi dengan pihak yang lebih pandai tentang SQL Injection.

LOKASI SQL INJECTION Misalnya ada sebuah situs www.target.com/moreinfo.cfm dengan ProductID = 245 lalu hacker mengetikkan string injeksi debuging SQL tadi ke address bar yang dituju dibelakang url target itu, contohnya: www.target.com/moreinfo.cfm dengan ProductID = 245' having 1 = 1 dan juga hacker dapat menghapus nilai produk dari URL tersebut dan menggantinya dengan debugging code, sebagai contoh: www.target.com/moreinfo ProductID = 'having 1=1â Untuk itu hacker perlu menonaktifkannya dengan cara menghilangkan tanda centang di kotaknya. Opsi ini dapat anda temukan di Tools > Internet Option > Advanced cari opsinya di bagian Browsing lalu hilangkan tanda centangnya dan klik tombol Apply. Sesudah itu apabila anda menemui error page yang berisi HTTP 500 error - internal server error- sebelum men-set opsi tadi, anda cukup menekan tombol Refresh, lalu terlihatlah sudah error-nya. Setelah kita tahu struktur database-nya, dengan pengetahuan dasar dari belajar SQL kita dapat menghancurkan database itu dengan perintah ' drop database [nama_database] atau drop table [nama_table].

CARA PENCEGAHAN Membatasi panjang dari suatu input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si hacker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang. Memfilterisasi input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation). Mematikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan. Mematikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan. Mengubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan