44CyberHunterX

SQL Injection adalah teknik serangan yang memanfaatkan celah keamanan dalam aplikasi web dengan menyisipkan kode SQL berbahaya ke dalam input aplikasi yang kemudian dieksekusi oleh database. Ini memungkinkan penyerang untuk mengakses, mengubah, atau menghapus data sensitif di database.

SQL Injection itu cukup sederhana. Ketika kamu memasukkan data ke dalam sebuah formulir di website, data tersebut akan dikirim ke server dan biasanya akan dimasukkan ke dalam sebuah query SQL. Jika aplikasi tidak memvalidasi input pengguna dengan benar, hacker bisa menyuntikkan kode SQL yang berbahaya ke dalam query tersebut.

A1.Contoh serangan SQL injection 

A.Ekstrak Data

    https://target.id/?id=1' UNION SELECT 1,username,password FROM users--

     -- Query hasil:

    SELECT * FROM articles WHERE id = '1' UNION SELECT 1,username,password FROM users--'

B.Bypass Login

   Username: admin', 'or 1=1'

  Password: or 1=1

  -- Query yang dieksekusi:

   SELECT * FROM users WHERE username = 'admin' --' AND password = '[hash]'

C.Defacement 

 SQL injection bisa digunakan hacker defacement untuk melakukan defacement atau pengubahan Halam website secara paksa dengan cara menemukan username dan password.

D.Pencurian Informasi

Serangan ini memungkinkan menyerang untuk mendapatkan, baik secara Langsung maupun tidak langsung informasi-informasi sensitif di dalam database.

E.sosial engineering 

Dari kebocoran data dari SQL injection bisa menjadi bahan hacker untuk melakukan sosial engineering penipuan digital (scammer).

A.Error-based SQLi

SQLi berbasis kesalahan adalah teknik SQL Injection in-band yang mengandalkan pesan kesalahan yang diberikan oleh server database untuk memperoleh informasi tentang struktur database. Dalam beberapa kasus, injeksi SQL berbasis kesalahan saja sudah cukup bagi penyerang untuk menghitung seluruh database 

B.Boolean-based (Blind) SQLi

adalah salah satu jenis serangan SQL Injection di mana hasil dari query SQL tidak ditampilkan secara langsung, tetapi penyerang masih bisa menebak kondisi logika dari sistem berdasarkan respons aplikasi.

C.Time-based (Blind) SQLi

Time-based Blind SQL Injection adalah teknik serangan yang digunakan untuk menguji dan mengeksploitasi kerentanan dalam database ketika tidak ada cara langsung untuk mengambil informasi dari server. Serangan ini bekerja dengan menyuntikkan segmen SQL yang mengandung fungsi tertentu atau kueri berat yang menyebabkan penundaan waktu. Berdasarkan waktu respons dari server, penyerang dapat menyimpulkan informasi tentang database yang ditargetkan

D.Union-based SQLi

Union-based SQL Injection adalah teknik serangan yang memanfaatkan operator UNION dalam SQL untuk menggabungkan beberapa pernyataan SELECT dan mendapatkan data dari tabel lain dalam database. Serangan ini terjadi ketika aplikasi rentan terhadap SQL Injection dan hasil kueri dikembalikan dalam respons aplikasi.

E.Out-of-band SQLi

adalah teknik serangan SQL Injection di mana penyerang mengekstrak data dari database menggunakan saluran komunikasi yang berbeda dari aplikasi web yang diserang. Berbeda dengan teknik lain seperti Union-based atau Blind SQL Injection, metode ini tidak bergantung pada respons langsung dari server web, melainkan menggunakan mekanisme lain seperti DNS queries atau HTTP requests untuk mengirimkan data yang berhasil diekstrak

A.Parameterized Query

Parameterized Query adalah metode dimana sebuah kueri database bahasa SQL menggunakan placeholder atau parameter untuk nilai input yang akan dimasukkan. Parameter ini kemudian diisi dengan nilai-nilai pada saat eksekusi kueri. Hal ini membantu mencegah SQL injection dan meningkatkan keamanan dan efisiensi aplikasi.

B. Web Application Firewall (WAF)

adalah sistem keamanan yang dirancang khusus untuk melindungi aplikasi web dari berbagai serangan siber, seperti injeksi SQL, Cross-Site Scripting (XSS), dan Distributed Denial of Service.

Contoh waf terkenal. Cloudfare,akamai,F5 BIG-IP,

C.Validasi Input

Pastikan input yang bisa sistem terima harus melalui proses validasi dengan benar dan runtut. Terutama memblokir karakter yang tidak penting untuk memastikan data yang pengguna masukkan sesuai dengan format yang Anda mau.

D.Database Hardening

Metode Ini melibatkan tindakan seperti membatasi akses, mengkonfigurasi sistem operasi, dan menggunakan enkripsi untuk meminimalkan risiko serangan. 

keamanan aplikasi web yang paling berbahaya dan umum terjadi. Kerentanan ini terjadi ketika input pengguna tidak divalidasi atau disanitasi dengan benar, sehingga memungkinkan penyerang untuk menyisipkan perintah SQL berbahaya ke dalam query database.

 Ping of Death (PoD) adalah jenis serangan DoS (Denial of Service) yang populer. Penjahat dunia maya yang memulainya bertujuan untuk membuat perangkat, server, atau layanan korban tidak stabil atau benar-benar mati sementara (503). Untuk mencapai tujuan itu, penyerang mengirim paket yang tidak berfungsi atau berukuran besar dengan bantuan perintah Ping. Sayangnya, saat sistem korban memproses paket data, sistem tersebut mengalami kesalahan yang memaksanya untuk mati sementara (503).

A.Bagaimana ping of death(POD)

 Ping of Death (PoD) adalah serangan DoS (Denial of Service) klasik yang memanfaatkan cara sistem menangani paket ICMP (Internet Control Message Protocol), terutama paket ping.Normalnya:Ping mengirimkan paket ICMP Echo Request berukuran kecil (biasanya 32-64 byte).Maksimum ukuran paket IP standar adalah 65.535 byte.Eksploitasi:Penyerang mengirimkan paket ping yang ukurannya melebihi batas maksimum (dengan cara memecahnya jadi beberapa fragmen IP).Saat target mencoba menggabungkan kembali fragmen-fragmen itu, ukuran totalnya menjadi lebih dari batas yang bisa ditangani sistem.Ini menyebabkan buffer overflow di sistem operasi korban.

B.Dampaknya ping of death 

1.Crash sistem operasi

2.Blue Screen of Death (pada Windows lama)

3.Restart atau freeze

4.Denial of Service (target menjadi tidak responsif)

5.maintenance 

C.Apakah serangan serangan ini masih bisa digunakan 

Tentu saja serangan ping of death(POD) masih berfungsi hingga saat ini contoh adalah dugaan seragan KPU.go.id pada 14 Febuari 2024 dengan tidak terjaganya website tersebut no ssl menyebabkan error pada sistem KPU.go.id dari pagi pukul 06.00-17.00

 D.Cara mengatasi ping of death(POD) 

A.Periksa Ukuran Paket Data Pastikan ukuran fragmen paket jaringan yang masuk tidak melebihi batas yang diizinkan.

B.Blokir ICMP Memblokir protokol ICMP dapat mencegah sistem menerima paket ping berbahaya.

C.Perbarui Sistem Operasi Pastikan sistem operasi selalu diperbarui untuk menutup celah keamanan yang bisa dimanfaatkan oleh serangan PoD.

D.Sesuaikan MTU di Jaringan Mengatur Maximum Transmission Unit (MTU) dapat membantu mengontrol ukuran paket yang diterima.