Sekarang kira kira counter nya seperti apa ? ada beberapa hal yang bisa dilakukan sebagai counter dari SQL Injection antara lain :
- Meminimalisasi privileges dari user yang akses ke dalam database
- Menggunakan kombinasi password yang kuat untuk SA dan Administrator.
- Menolak karakter aneh / karakter tidak biasa
- Men sanitasi dan mem validasi input.
Buffer Overflows.
Teknik ini adalah cara hacker meng exploit suatu operating sytem atau suatu aplikasi, melalui input dari user, suatu buffer overlflow dapat menyebabkan system mengalami kegagalan dengan melakukan overload pada memory atau meng eksekusi command shell atau arbitrary code pada sasaran. Kejadi ini bisa terjadi akibat kurangnya bounds checking atau kurangnya validasi ukuran / format atau variable sebelum di kirim dan disimpan ke memory.
Ada 2(dua ) jenis buffer overflow yaitu :
- Stack Based
- Heap Based
Wah apalagi tuh ? Untuk diketahui yang namanya stack dan heap adalah letak dari penyimpanan input dari user variable didalam suatu program yang sedang berjalan. Variable akan disimpan didalam stack atau heap sampai suatu saat diperlukan oleh program. Stack adalah lokasi static di memory page, sedang heap adalah dynamic memory address.
Dibawah ini figure ilustrasi buffer overflows ;
Untuk mendeteksi adalanya buffer overflow, seorang hacker melakukan pengiriman data dalam jumlah besar kedalam aplikasi melalui form field pada user dan melihat apa reaksi dari aplikasi tersebut. Apakah ada cara yang lebih mudah ? umumnya hacker menggunakan tools metasploit atau Armitage untuk trial andn error mencari buffer overflows. ( Saya mungkin akan menulisnya pada artikel tersendiri caranya).
Counter nya bagaimana ?
- Lakukan sanitasi pada variable user input field , misalnya username, password, forgotten password.
- Lakukan pembatasan panjangnya input user.
Demikian artikel saya mengenail SQL Injection dan Buffer Overflow, semoga bisa memberikan bermanfaat, keep tune di http://edysusanto.com untuk artikel lainnya.
Salam Share !
Referensi :