SQL INJECTION

SQL Injection merupakan teknik yang sering dipakai oleh hacker untuk meretas keamanan suatu Web Application, teruntuk mendapatkan database yang dimiliki oleh suatu server. Top  ten OWASP [1]menyatakan bahwa Injection merupakan jenis serangan yang banyak terjadi di web apps.

Contoh pengunaan SQL Injection dapat dilihat di gambar dibawah yang akan dilakukan pada web–application dummy DVWA yang dapat di unduh di: http://www.dvwa.co.uk/

Dapat dilihat pada gambar, inputan meminta USERID lalu akan mengembalikan First Name dan Surname sebagai outputnya.

Kita bisamemodifikasi payloadnya menjadi: ‘ OR ‘1’ = ‘1 yang dimana kita ingin mengatakan bahwa semua yang memiliki nilai akan di return, karena hasil dari OR ‘1’ = ‘1’ adalah jika TRUE. Dan hasil yang akan direturn adalah:

Semua data yang terdapat pada database dan table yang ditujukan dikembalikan. Beberapa payload yang lazim digunakan untuk melakukan SQL Injection dasar adalah :

1. 1’ OR ‘1’ = ‘1
2. 1 OR 1=1
3. 1’ OR ‘1=1

Semua payload akan berfungsi jika web memiliki kerentanan terhadap SQL Injection. Dan tergantung bagaimana cara web-applicationnya memfilter input yang masuk.

Referensi :
[1]      OWASP, “OWASP Top Ten Project,” 2017. [Online]. Available: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project. [Accessed: 13-Dec-2018].