Web Vuln SQL Injection

VIRENIAL.COM, Jakarta – Vulnerability (Vuln) ini sebagai jalan masuk untuk pembuatan exploit oleh hacker untuk menembus ke dalam sistem secara ilegal.

Hacker terkadang membuat exploit yang akan disesuaikan dengan Vulnerability yang sudah ditemukannya agar proses aksinya berjalan dengan lancar.

Pasalnya di dalam dunia prograe atau website tentunya setiap sistem tidak ada yang sempurna, sehingga cacat atau celah bisa saja masuk ke dalam sistem yang tidak resmi.

Hal tersebut dapat kita lihat dari banyaknya situs yang memiliki kerentananVuln terhadap serangan SQL Injection itu sendiri.

SQL Injection merupakan salah satu teknik exploit Website yang sudah lama ada, akan tetapi masih bisa digunakan sampai sekarang ini.

Pada dasarnya, penyebab utama dari adanya bug yaiutu karena bisa saja pembuat website ada terjadi kesalahan logika berfikir atau ketidaktahuan tentang cara membuat website yang aman.

Sehingga walaupun menggunakan sistem operasi atau web server yang bagus, hal ini tidak akan berpengaruh, apabila yang melakukan programmer memiliki kekeliruan logika ketika membuat atau membangun sebuah website, terutama SQL Injection.

Sehingga akan mengakibatkan, aplikasi yang dibuat tersebut memiliki celah yang dapat memberikan izin kepada user atau metode di luar sistem untuk bisa masuk ke dalam programnya.

Dengan demikian, hal tersebut dapat merugikan pemilik website, baik dari segi sistem maupun pendapatan.

Oleh karena itu dalam artikel ini kami akan menjelaskan terkait cara mencegah terjadinya Web Vulnerability (Vuln) SQL Injection, serta kami akan memberikan beberapa kumpulan Web Vuln SQL Injection yang dapat dikategorikan memiliki cacat sistem.

Cara Mencegah Terjadinya Web Vuln SQL Injection

Seperti yang sudah kami sampaikan sebelumnya bahwa SQL Injection merupakan sebuah tindakan berbahaya bagi keamanan sistem database yang sudah dibangun.

Dengan demikian perlunya untuk melakukan sebuah tindakan pencegahan, dengan tujuan agar dapat menghindari kemungkinan-kemungkinan terburuk yang akan terjadi yang tidak diinginkan.

Silahkan simak di bawah ini beberapa hal yang harus anda perhatikan untuk cara mencegah terjadinya Web Vuln SQL Injection untuk anda terapkan yaitu sebagai berikut:

1. Mengatur input validation

Hal pertama yang harus anda perhatikan untuk mencegah terjadinya Vuln SQL Injection yaitu mengatur input validation.

Input validation ini akan membantu mengecek perintah apa pun yang dimasukkan ke dalam string input sebelum melakukan proses.

Proses validasi ini dilakukan agar untuk memverifikasi jenis input yang dikirimkan oleh pengguna apakah diperbolehkan atau tidak, sehingga hanya value yang lolos validasi yang dapat dijalankan.

Namun perlu anda ketahui bahwa validasi seharusnya tidak hanya diterapkan pada bidang yang dapat dimasukkan input, namun anda juga perlu menerapkan hal yang sama yaitu seperti di bawah ini:

• Memastikan validasi input yang kuat dengan menggunakan regular expression untuk whitelist data terstruktur (seperti nama, usia, pendapatan, respons survei, kode pos).
• Untuk set value yang tetap seperti daftar drop down, tombol radio, dan lainnya, anda harus menentukan value mana yang dikembalikan, bahkan untuk data yang diinput harus sama persis dengan salah satu opsi yang ditawarkan,

2. Menggunakan Parameterized Queries

Kedua yang harus nada perhatikan untuk mecegah terjadinya web Vuln SQL Injection yaitu menggunakan parameterized queries.

Parameterized queries merupakan sarana untuk melakukan prakompilasi statement SQL, dengan begitu anda bisa menyediakan parameter agar statement dapat dieksekusi.

Untuk metode ini sehingga database dapat mengenali kode dan membedakannya dari data input, karena untuk pengkodean ini akan membantu mengurangi serangan injeksi SQL.

Maka secara otomatis input dari pengguna akan diquoted dan tidak akan menyebabkan perubahan tujuan.

Dan disarankan untuk menggunakan parameterized queries dengan PHP 5.1 saat bekerja dengan database.

Karena Library PHP Data Objects (PDO) akan mengadopsi metode untuk melakukan penyederhanaan dalam penggunaan kueri berparameter.

Bahkan akan bisa membuat kode lebih mudah dibaca dan portabel karena beroperasi pada beberapa database, bukan hanya MySQL.

3. Memisahkan Database Username dan Password

Selanjutnya hal yang harus anda perhatikan untuk mencegah SQL Injection yaitu memisahkan database username dan password.

Cara ini bertujuan untuk mengatasi serangan SQL injection pada aplikasi, karena dengan memisahkan database username dan password, maka pelaku penyerangan akan merasa kesulitan bahkan membutuhkan usaha dan percobaan lebih karena harus memahami struktur database aplikasi.

Selain itu cara ini juga berguna untuk mengantisipasi jika ada 1 database yang terekspose, sehingga database-database lainnya akan terlindungi.

4. Memasang Filter untuk Input Metakarakter

Berikutnya yang harus anda perhatikan untuk mencegah Web Vuln SQL Injection adalah memasang filter untuk input metakarakter.

Mengimplementasikan filter terhadap metakarakter (&, ;, `, ‘, , “, |, *, ?, ~, <, >, ^, (, ), [, ], {, }, $, n, dan r) bertujuan untuk mencegah input pada form isian pengguna yang dapat dimanfaatkan dalam melakukan serangan injeksi SQL.

5. Memasang WAF dan IPS

Hal terkahir yang perlu anda perhatikan untuk mencegah Vuln SQL Injection adalah memasng WAF dan IPS.

WAF ini singkatan dari Web Application Firewall yang menciptakan shield atau pelindung antara aplikasi web dan internet untuk meminimalisir berbagai serangan yang mungkin bisa saja terjadi.

WAF akan membantu untuk melindungi aplikasi web dengan cara memfilter dan memantau lalu lintas HTTP antara aplikasi web dan internet.

Untuk firewall ini akan melindungi aplikasi web dari serangan seperti pemalsuan lintas situs, crosssite scripting (XSS), dan injeksi SQL.

Sedangkan IPS adalah singkatan dari Intrusion Prevention System yang merupakan bentuk network security yang berfungsi untuk mendeteksi dan mencegah ancaman yang diidentifikasi.

Sistem pencegahan intrusi ini dapat memantau jaringan anda, sehingga akan mampu mencari terjadinya insiden berbahaya dan mencatat informasi tentangnya.

Kumpulan Web Vuln SQL Injection

Di bawah ini kami memberikan beberapa kumpulan web Vuln SQL Injection yang memiliki database yaitu sebagai berikut:

• http://www.sristiinnovations.com/product_range.php?category_id=1
• http://industrialguide.net/company_detail.php?ID=1
• http://visionpest.com/servicesdetails.php?RServiceId=1
• http://www.qortubacoop.com/news.php?id=2
• http://jbound.net/detail_berita.php?id=34
• http://vahinimotors.com/specification.php?id=1
• http://www.yongqiangvehicle.com/product_info.php?id=1
• http://fuzoku-cloud.com/shop.php?id=15
• http://www.habibitours.com/cat.php?id=1
• http://santopietrodivenaco.fr/notre-village.php?id=6
• https://www.kratingdaeng.com/mobile/ads.php?id=1
• http://pongyeangtravel.com/village.php?id=9
• http://www.carolinasbasschallenge.com/results.php?id=1
• https://sportsvillageqatar.com/project.php?id=9
• http://centralasiapac.com/products.php?id1=217
• https://www.bukugaby.com/news.php?news_id=21
• http://www.travel-to-ikaria.com/member.php?id=1
• http://www.satgo.com.tw/shop/shop.php?id=15
• https://www.meknight.com/product.php?id=13
• http://pr.fujiyoshida-yeg.jp/shop.php?id=15
• http://www.mehtahealthcare.com/apply_job.php?job_id=1
• http://bestpracticesbangladesh.com/manufacturers.php?id=21
• http://www.dswbrand.com/siren_detail.php?id=1
• http://www.palfi.net/financial-news.php?id=12
• https://vibharam.com/department-detail.php?clinic_id=10
• http://www.berkeleyrecycling.org/page.php?id=2
• http://www.xingke-lighting.com/en/pView.php?id=1
• http://carolinasbasschallenge.com/standings.php?id=1
• http://indomasjayafood.com/index.php?r=product/view&id=1
• http://musculoskeletalsociety.in/page.php?id=5
• http://kreserve.com/blog/kreserveblogeachpost.php?id=1
• https://aringocomputer.com/product.php?id=4
• https://www.fleurizon.com/catalog.php?action=view_subcat&subcat_id=1
• http://fleurizon.com/catalog.php?action=view_maincat&maincat_id=1
• http://www.hungyang.com.tw/tvp-dt_en.php?id=13
• http://envis.frlht.org/amruthvana/gallery-photo.php?gal_id=1
• http://www.mittalindia.in/domestic-products.php?id=2
• http://www.dswbrand.com/flash_detail.php?id=1
• http://alaberest.com/groups.php?id=21
• http://www.zivithinfo.com/news_view.php?Id=1
• https://kraveart.com/art-detail.php?id=4
• http://springbokinflatables.co.uk/services.php?id=4
• https://www.chicagostreet.com/rubyrose/detail.php?id=4
• http://www.conntronics.com/products.php?ID=4
• https://sunitasilvershoppe.com/categories.php?id=25
• http://www.centralmarket.com.my/store.php?id=21
• https://www.bigbasstabs.com/profile/31852.html
• http://www.msk.com.pk/company.php?ConCatID=3
• http://ideamodularkitchen.com/products.php?id=4
• http://sidexoverseas.com/products.php?subcategory_id=12
• http://www.a-plussoft.com/en/products.php?id=1
• http://www.hctm.in/medical.php?id=4
• http://www.hotelthaire.com/showroom.php?id=1
• http://www.glamourpp.com/product.php?productmainid=21
• http://bigmanzana.com/productos.php?id=1
• http://www.peacecenter.org.pk/detail.php?ContentID=94
• http://www.tamphuong.com/partnerDetail.php?id=15
• http://www.offball.com/news.php?id=4
• http://adventurefoundation.org.pk/news_detail.php?NewsID=-68
• http://www.garudon.com/parts_list.php?parts=13
• http://www.dodyplast.net/product.php?id=3
• http://www.suthep.go.th/news.php?cateid=2
• http://www.unawatunadive.com/view-dive-courses.php?id=2
• http://ibrubinetterie.com/eng/collezione.php?ID=2
• http://www.ammetals.com/DeptMent.php?id=1
• http://layanhyper.com/news-details.php?newsid=5
• http://www.fulton.com/fultonDotCom/rental-equipment-summary.php?id=6
• http://www.tashun.com/eshop/company_profile.php?id=6
• http://www.mddmedical.com/content.php?id=1
• http://www.laifual.net/products_show.php?id=1
• http://www.builderguides.com/areas/development.php?id=21
• http://atsvssmc.org/academic_details.php?id=1
• http://pharm.buu.ac.th/department-teacher-info.php?id=1
• http://beerdorks.com/reviews.php?reviewer_id=1
• https://ccrc.in/awareness_tips.php?id=1
• http://www.doctorshrugs.com/foxhound/comic.php?id=1
• http://www.disappearfear.com/shop_details.php?productcategory_id=1
• https://www.unitamasarimas.co.id/career.php?ID=1
• http://code8hackers.com/ourproducts.php?pr=5
• http://www.traveltouroman.com/package-details.php?id=5
• https://mmltd.co.ke/services.php?id=5
• http://lovewithastrology.com/servicedet.php?id=9
• https://atencioncanina.com/staff_detail.php?id=1
• http://www.royalporcelain.co.th/showroom.php?id=1
• http://holybiblesays.org/articles.php?ID=15
• http://thelionofjudahministries.com/aboutLOJM.php?Id=15
• https://www.dmwims.com/wims.php?id1=26
• https://www.hydraulic-calculation.com/article.php?ID=1
• http://robei.com/read.php?id=1
• http://www.thebluemountaingoats.com/blog_detail.php?name=WARANGAL
• http://www.nrmcw.org/readnews.php?nid=8
• http://www.radhikaind.in/img/p-detail.php?p_id=23

Jika anda ingin melindungi website anda dari SQL Injection maka silahkan anda menerapkan beberapa tips yang sudah kami jelaskan pada sub pertama.

Akan tetapi untuk tips tersebut memang tidak menjamin keamanannya 100%, namun tidak ada salahnya anda menerapkannya agar sedikit tidak mengurangi resiko yang bisa saja terjadi terkait hal yang tidak diinginkan.