SQL Injekction adalah jenis eksploitasi keamanan dimana penyerang menambahkan kode Structured Query Language (SQL) ke kotak masukan formulir Web untuk mendapatkan akses ke sumber daya atau membuat perubahan pada data.
Biasanya, pada formulir Web untuk otentikasi pengguna, ketika pengguna memasukkan nama dan kata kunci mereka ke dalam kotak teks yang disediakan untuk mereka, nilai tersebut dimasukkan ke dalam query SELECT. Jika nilai yang dimasukkan ditemukan seperti yang diharapkan, pengguna diperbolehkan mengakses. Jika tidak ditemukan, akses ditolak. Namun, kebanyakan formulir Web tidak memiliki mekanisme untuk memblokir masukan selain nama dan kata kunci. Kecuali tindakan pencegahan semacam itu dilakukan, penyerang dapat menggunakan form input untuk mengirim permintaan mereka sendiri ke database, yang memungkinkan mereka mendownload keseluruhan database atau berinteraksi dengan cara terlarang lainnya.
Risiko eksploitasiSQL Injection saat ini sedang meningkat karena tersedia alat otomatis untuk melakukan SQL Injection.Dulu, bahayanya agak terbatas karena eksploitasi harus dilakukan secara manual, penyerang harus benar-benar mengetikkan pernyataan SQL mereka ke dalam kotak teks.Namun, program SQL Injection otomatis sekarang tersedia, dan akibatnya, kemungkinan dan potensi kerusakan eksploitasi telah meningkat pesat.
Dalam sebuah wawancara dengan Wire Wire Perspectives, Caleb Sima, CTO dari SPI Dynamics berbicara tentang potensi bahaya:
"Teknologi yang diluncurkan ke publik oleh beberapa topi hitam ini akan memberi kemampuan kepada para penulis naskah untuk mengambil alat freeware, mengarahkannya ke WebSitus dan secara otomatis mendownload database tanpa sepengetahuan apapun. Saya pikir itu membuat banyak hal menjadi lebih kritis dan parah Otomatisasi SQL Injection memunculkan kemungkinan worm injeksi SQL, yang sangat mungkin. Sebenarnya, saya terkejut.Ini belum terjadi. "Sima memperkirakan bahwa sekitar 60% aplikasi Web yang menggunakan konten dinamis rentan terhadap SQL Injection.
Menurut pakar keamanan, alasan bahwa SQL Injection dan banyak eksploitasi lainnya, seperti skrip cross-site, dimungkinkan karena keamanan tidak cukup ditekankan dalam pembangunan aplikasi tersebut. Untuk melindungi integritas situs Web dan aplikasi, para ahli merekomendasikan tindakan pencegahan sederhana selama pengembangan seperti mengendalikan jenis dan jumlah karakter yang diterima oleh kotak input.
Beberapa tools Otomatisasi SQL Injection yang tersedia diantaranya adalah SQLMap, Acunetic, NetSparker, WebCruiser dan masih banyak tools lainnya. Cara menggunakan atau Tutorial SQL Injection menggunakan tool SQLMap, Acunetic, Netsparker dan tools lainnya sudah banyak tersedia di internet sehingga hal ini juga menambah potensi terjadinya eksploitasi keamanan data.
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H