Database adalah inti dari sistem komputer karena memungkinkan Anda untuk mengontrol proses bisnis Anda. Database menyimpan data yang diperlukan untuk menyampaikan konten khusus bagi pengunjung, pelanggan, pemasok, dan karyawan. Kredensial pengguna, keuangan, informasi pembayaran, dan statistik perusahaan semua mungkin berada dalam database yang dapat diakses oleh pengguna yang sah dan sayangnya havker juga. SQL atau Structured Query Language adalah bahasa komputer yang memungkinkan Anda untuk menyimpan, memanipulasi, dan mengambil data yang tersimpan dalam database
SQL injection adalah eksploitasi sistem website atau komputer yang disebabkan oleh pengolahan data yang tidak valid yang dimasukkan ke dalam kolom formulir oleh pengguna malicious. SQL injection dapat digunakan oleh hacker untuk memperkenalkan (atau "menyuntikkan") kode ke dalam program komputer untuk mengubah jalannya eksekusi dalam rangka mengakses dan memanipulasi database dari belakang situs, sistem atau aplikasi.
Kerentanan SQL Injection timbul karena bidang yang tersedia untuk input pengguna memungkinkan pernyataan SQL untuk melewati ke database secara langsung untuk memproses data dan permintaan pengguna. Jika input tidak disaring dengan benar, aplikasi web dapat memungkinkan perintah SQL yang memungkinkan hacker untuk melihat informasi yang tidak sah dari database atau bahkan menghapusnya.
Serangan itu mengambil keuntungan dari coding aplikasi berbasis web dan jaringan komputer dengan menggabungkan fitur yang memberikan konten dinamis seperti:
- Masuk halaman
- Halaman dukungan pelanggan
- Formulir permintaan produk
- Formulir tanggapan
- Halaman pencarian
- Shopping cart
Ketika pengguna yang sah mengajukan rincian nya, sebuah query SQL yang dihasilkan dari detail dan diserahkan ke database untuk verifikasi. Dengan menggunakan SQL Injection, hacker dapat input khusus dibuat perintah SQL dengan maksud melewati penghalang berupa dan melihat apa yang ada di balik itu.
Banyak hacker melakukan hacking serangan SQL Injection pada sebuah browser web, dengan mengandalkan pengetahuan tentang query SQL, dan kreativitas untuk menebak tabel penting dan nama field.
Sebuah ilustrasi sederhana dari serangan
SQL injection berjalan seperti ini, seorang penyerang mencoba berkompromi terhadap sistem yang tidak memiliki akses ke kode bukan identitas masuk. Jadi, ketika penyerang diminta untuk memasukkan Username dan Password mereka memasukan kode seperti 'x' = 'x'. Dan tergantung bagaimana perangkat lunak sistem ditulis, perintah ini akan benar karena x selalu sama x, sehingga Username dan kombinasi Sandi akan selalu Benar atau sama!
Setelah penyerang menyadari bahwa sistem yang rentan terhadap SQL Injection, dia mampu menyuntik Perintah SQL melalui kolom input. Hal ini memungkinkan penyerang untuk mengeksekusi perintah SQL pada database, termasuk memodifikasi, menyalin, dan menghapus data.
sumber :
blog.jaringanhosting.com