Apa Itu SQL Injection? Kenali Pengertian & Contohnya
Kejahatan di dunia maya belakangan ini semakin meningkat sejalan dengan adanya hacker Bjorka yang sempat menggemparkan jagad media sosial. SQL Injection adalah salah satu jenis ancaman kejahatan dalam dunia digital atau sering kita sebut dengan istilah cyber crime. Tak dapat dipungkiri, fenomena cyber crime kini semakin marak seiring dengan perkembangan teknologi.
SQL Injection ini bahkan masuk ke dalam kategori cyber crime, yaitu aksi ilegal yang dilakukan oleh seseorang untuk melakukan pencurian data. SQL Injection adalah salah satu bentuk ancaman yang seringkali ditemukan dalam aplikasi website. Jenis serangan ini menimbulkan banyak kerugian akibat rusaknya database situs website.
Menurut penelitian OWASP, salah satu organisasi yang bergerak di bidang keamanan software menjelaskan bahwa SQL Injection masuk dalam urutan ketiga risiko keamanan terbesar pada aplikasi website. Wah berbahaya sekali ya?
Nah untungnya, kamu menemukan artikel yang tepat. Kali ini, DQLab akan membahas apa itu SQL Injection secara lengkap, serta cara mudah untuk mencegahnya. Silakan disimak!
1. Definisi SQL Injection
Sebelum kita bahas lebih lanjut, kita kulik apa sih yang dimaksud dengan SQL Injection? SQL Injection adalah salah satu teknik peretasan dengan cara menyalahgunakan celah keamanan yang ada di lapisan SQL berbasis data suatu aplikasi. Terbentuknya celah tersebut akibat input yang tidak difilter dengan benar dalam pembuatannya, sehingga terciptalah celah yang bisa disalahgunakan.
Umumnya, hacker menggunakan perintah atau query SQL dengan tools tertentu untuk mengakses database. Injeksi kode yang dilakukan membuat mereka dapat masuk tanpa proses otentikasi. Setelah berhasil, hacker bebas untuk menambahkan, menghapus, serta mengubah data-data pada website.
Baca juga : Saatnya Belajar SQL, Kenali Rekomendasi Query SQL Bagi Pemula
2. Cara Kerja SQL Injection
Hingga saat ini, SQL Injection masih menjadi teknik favorit yang dilakukan para hacker untuk melakukan peretasan web atau aplikasi. Kenapa favorit? Karena cara kerja SQL Injection yang sederhana namun efektif dalam meretas sebuah situs.
Seperti yang sudah dijelaskan, bahwa injeksi SQL dapat terjadi karena ada celah keamanan. Celah ini terbentuk akibat para developer tidak mengaktifkan filter untuk meta karakter pada form input di aplikasi, sehingga hacker akhirnya bisa menggunakannya untuk menulis command SQL di form login/input.
(source: dewaweb.com)
Cara kerja serangan SQL Injection secara singkat terjadi dalam tiga tahapan, yaitu:
Hacker mengincar celah keamanan database
Proses validasi atas SQL Query yang digunakan
Database berhasil diakses
Sederhananya, teknik ini dijalankan melalui form username. Form username seharusnya diisi menggunakan karakter saja, tapi form tersebut bisa diisi dengan karakter lain. Dengan begitu, hacker bisa menyematkan karakter kontrol SQL seperti (:;-,=’) dan kata kunci perintah yang dapat merusak tatanan database. Alhasil, hacker mampu memasukkan kueri SQL Injection dan website telah berhasil diretas.
3. Cara Mencegah SQL Injection
Kita tentu harus mengurangi atau mencegah terjadinya serangan SQL Injection yang bisa datang kapan saja. Beberapa cara yang bisa digunakan adalah:
Sesuaikan input box
Apabila form input box tujuannya untuk mengetikan nama, kamu bisa berikan karakter khusus. Kalau untuk menempatkan nomor telepon maka sebaiknya diisi dengan menggunakan numbering saja. Sehingga tindakan penyerangan SQL Injection dapat dihindarkan.
Mematikan Notifikasi Error
Adanya notifikasi error memang dapat memudahkan kita terhadap proses pengembangan website. Meskipun begitu, setelah website sudah aktif dan bisa digunakan, sebaiknya matikan notifikasi tersebut karena hacker bisa memanfaatkannya dengan memunculkannya, kemudian melakukan aksi SQL Injection dengan celah tersebut.
Mengunci Database
SQL Injection adalah teknik peretasan untuk media website. Nah untuk mencegahnya hal ini yaitu dengan mengunci database. Ada baiknya SQL query tidak bisa di akses lewat website atau halaman pengguna. Kamu bisa memberikan batasan kalau tidak semua orang bisa melakukan akses ke sebuah tabel tertentu dimana dengan mengunci tabel yang sangat penting atau vital.
4. Beberapa Contoh dari Serangan SQL Injection
Ada beberapa tipe umum dari SQL Injection, meskipun efek dari SQL Injection bervariasi berdasarkan aplikasi yang ditargetkan:
Pencurian Informasi
Serangan ini memungkinkan menyerang untuk mendapatkan, baik secara langsung maupun tidak langsung informasi-informasi sensitif di dalam database.
Otentikasi Bypass
Serangan ini memungkinkan penyerang untuk masuk ke dalam aplikasi dengan hak akses administratif, tanpa menggunakan username dan password yang valid.
Compromised Ketersediaan Data
Serangan ini memungkinkan penyerang untuk menghapus informasi dengan maksud untuk merusak atau menghapus log atau audit informasi dalam database.
Compromised Integritas Data
Serangan ini melibatkan perubahan isi database, seorang penyerang bisa menggunakan serangan ini untuk deface halaman web atau memasukkan konten berbahaya ke dalam halaman web.
Baca juga : Catat! Ini 3 Keuntungan Belajar SQL dalam Mengolah Data
Tindakan preventif untuk melindungi data dari serangan cyber sangat penting, terutama bagi tim data. Selain memahami SQL, seorang praktisi data harus bisa menggunakan tools lain seperti R dan Python untuk membantu pengamanan data.
Yuk perdalam skill data science kamu bersama DQLab! Klik button di bawah ini atau Sign Up melalui DQLab.id untuk mengakses Free Modul ‘Introduction to Data Science’ dengan bahasa pemrograman R atau Python.
Selesaikan modulnya dan dapatkan sertifikat compliance kamu sebagai modal membangun portofolio data!
Penulis: Salsabila MR
Editor: Annisa Widya Davita
Postingan Terkait
Menangkan Kompetisi Bisnis dengan Machine Learning
Pentingnya Machine Learning dalam Industri Bisnis
Mulai Karier
sebagai Praktisi
Data Bersama
DQLab
Daftar sekarang dan ambil langkah
pertamamu untuk mengenal
Data Science.
Sign-Up dengan Google
Sign-Up dengan Facebook