SQL Injection yang Menyakitkan

SQL Injection yang Menyakitkan

SQL injection merupakan sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan database sebuah aplikasi. Serangan SQL injection adalah salah satu kerentanan (vulnerability) aplikasi web tertua, paling lazim dan paling berbahaya serta termasuk ke dalam dokumen OWASP Top 10 sebagai ancaman nomor satu terhadap keamanan aplikasi. Serangan SQL injection yang berhasil akan memberi dampak sebagai berikut :

  • Penyerang dapat menggunakan SQL injection untuk menemukan kredensial pengguna lain dalam database. Mereka kemudian dapat menyamar sebagai pengguna tersebut. Pengguna yang ditiru dapat menjadi administrator database.
  • Kerentanan SQL injection memungkinkan penyerang untuk mendapatkan akses lengkap ke semua data di server database
  • Penyerang dapat mengubah data dalam database dan menambahkan data baru. Contohnya, dalam aplikasi keuangan penyerang dapat menggunakan SQL injection untuk mengubah saldo, membatalkan transaksi, atau mentransfer uang ke akun mereka.
  • Dalam beberapa kasus penyerang dapat menggunakan SQL injection sebagai langkah awal dan kemudian menyerang jaringan internal di belakang firewall

Berikut pencegahan kerentanan dalam database yang sudah dirangkum oleh EDGE:

  • Melakukan proses input validasi pada database, ini ditujukan untuk memverifikasi apakah jenis input yang dikirimkan pengguna diperbolehkan atau tidak. Input validasi memastikan tipe, panjang, format dll. Hanya nilai yang terverifikasi validasi yang dapat diproses.
  • Membuat parameter query, metode ini memungkinkan database mengenali kode dan membedakannya dari input data.
  • Stored precedures, melakukan pengelompokan satu atau lebih database statement untuk membuat execution plan.
  • Selalu menggunakan fungsi character-escaping yang disediakan di masing-masing Database Management System (DBMS), untuk memastikan DBMS tidak pernah mencampuradukkannya ke dalam statement database yang disediakan oleh developer.
  • Jangan menghubungkan aplikasi Anda ke database dengan menggunakan user dengan akses root, ini digunakan hanya jika benar-benar diperlukan karena penyerang dapat memperoleh akses ke seluruh sistem. Dan memastikan setiap aplikasi memiliki kredensial databasenya masing-masing.
  • Menggunakan Web Application Firewall (WAF), untuk mengidentifikasi serangan SQL injection yang beroperasi di depan server web untuk memonitor lalu lintas data yang masuk dan keluar. WAF memberikan perlindungan yang efisien dari sejumlah serangan keamanan berbahaya lainnya.

Anda harus menerapkan strategi yang disebutkan di atas. Sebagai penyedia solusi terkemuka, EDGE akan selalu siap membantu Anda untuk mengatasi bahaya ini. Untuk informasi lebih lanjut silahkan hubungi kami.