Pengamanan Sistem Jaringan

Slides:



Advertisements
Presentasi serupa
Antonius Wahyu Sudrajat, S. Kom., M.T.I. Trigger.
Advertisements

FORM HANDLING
KEAMANAN WEB SURYAYUSRA, M.KOM.
PHP + MySQL.
Pemrograman Web – PHP 2 Antonius RC. PHP dan Form (1)
Membuat form HTML+PHP Dwi Cahyono.
Widhy Hayuhardhika NP, S.Kom.  PHP – MySql installed  MySql telah running (cek xampp control panel)  Database  Tabel  Query  SQL (Structured Query.
Error Handling (Exception) & INDEX
KONSEP PEMROGRAMAN WEB
Database Create-Retrieve-Update-Delete (CRUD)
Penggunaan Struktur Kontrol IF
Konsep Basis Data di Web
PHP dalam HTML Statement Variabel
Isnardi,M.Kom Ikhsan, S.Kom, M.Kom Novinaldi, S.Kom
Pertemuan 5 Web Security.
Konsep Pemrograman Web
MEMBUAT HALAMAN LOGIN dan PENGGUNAAN SESSION
Form.
Otentifikasi.
Keamanan Sistem World Wide Web
PHP.
Stored Procedure Basis Data Terapan.
Pemrograman Berbasis WEB
As’ad Djamalilleil Variabel & Konstanta As’ad Djamalilleil
Keamanan Web Server Pertemuan XI.
Pemrograman Berbasis WEB
PHP L. Erawan. Pengantar PHP itu bahasa script berjenis server-side (kalau bahasa javascript berjenis client-side) Anda harus menginstall software PHP.
Dasar-Dasar PHP.
Pertemuan II Kuliah Pemrograman Web Menggunakan JSP
Sistem Pendeteksi Penyusup Sebuah sistem keamanan adalah sekumpulan komponen yg bertugas untuk mengamankan sesuatu yg berharga. Analoginya jika kita ingin.
Dasar-dasar Pemrograman PHP
PHP.
JavaScript Pemrograman Web 1.
Fungsi-fungsi tambahan dalam PHP Session dan Cookie
Telnet + SSH + RDC.
FORM.
DBMS Dr. Kusrini, M.Kom.
Interaksi Client - Server
27 maret 2009 by : nazRuL [at] delaforta.net.
Keamanan Web Server Pertemuan XI.
Pemrogaman Web PHP.
Pemrograman Web II Ganjil
Website Security.
PENJURUSAN DI ORACLE ORACLE DEVELOPER
Lutfi Budi Ilmawan Univ. Muslim Indonesia
PHP dan MySQL Pemrogaman Web.
Keamanan Web Server.
Pemrograman PHP Lanjut
Pemrograman internet ABU SALAM, M.KOM.
Keamanan Web Server.
Passing Variable Dalam PHP
Metode CGI dan Struktur bahasa PHP
Komputer Aplikasi IT 2 Variabel.
Keamanan Sistem World Wide Web
PENGAMANAN WEB.
SESSION AND USER AUTHENTICATION
PHP5 Internet Programming.
KEAMANAN WEBSITE.
Keamanan Sistem World Wide Web
Pengembangan Aplikasi Framework
WEB DASAR PERTEMUAN III
Keamanan Web Server Pertemuan 9.
KEAMANAN PADA APLIKASI WEB DENGAN PHP
PHP.
Pertemuan 1 KEAMANAN KOMPUTER.
Dosen Pengasuh: Evanita V. Manullang MT
Komputer Aplikasi IT 2 Variabel.
PEMROGRAMAN WEB II.
Administrasi basis data
WEB DASAR PERTEMUAN III
Transcript presentasi:

Pengamanan Sistem Jaringan Nama Kelompok : Devindra Pradika (123140050) Eska Yasa (123140142) Hadian Dzakia Rangga (123140143) Yogi Surya Saputra (123140171) Anggy Yudha (123140172)

SQL Injection 1. Pengertian SQL injection adalah suatu teknik yang dapat dilakukan oleh cracker untuk dapat masuk kedalam system administrator tanpa mengetahui username dan password administrator terlebih dahulu dengan memanfaatkan perintah-perintah SQL yang dimasukkan kedalam database mesin server.

2. Sebab Terjadinya Tidak adanya penanganan terhadap karakter – karakter tanda petik satu dan juga karakter double minus yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.

3. Karakteristik Teknik serangan ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account. Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data – data yang berada didalam database.

4. Tools Pendukung Internet Exploler / Browser PC yang terhubung internet Program atau software seperti softice

Contoh Sintaks dalam php Adapun beberapa contoh sintaks agar para hacker dapat melakukan penyerangan dengan menggunakan metode SQL injection adalah sebagai berikut : 1.$SQL = “select * from login where username = ’$username’ and password = ‘$password’”; , {dari GET atau POST variable} 2.Isikan password dengan string ’ or ’’ = ’ 3.Hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password = ’pass’ or ‘ = ′ ”; , {dengan SQL ini hasil selection akan selalu TRUE } 4.Dan hasilnya, para hacker bisa inject sintax SQL kedalam SQL

SQL Injection pada situs url Untuk dapat melakukan SQL injection pada setiap target situs tidak harus melalui inboxnya saja akan tetapi hacker bisa memasukan string-string SQL di URL situs yang telah menjadi target sebelumnya. Misalnya ada sebuah situs www.target.com/moreinfo.cfm dengan ProductID = 245 lalu hacker mengetikkan string injeksi debuging SQL tadi ke address bar yang dituju dibelakang url target itu, contohnya: www.target.com/moreinfo.cfm dengan ProductID = 245' having 1 = 1 dan juga hacker dapat menghapus nilai produk dari URL tersebut dan menggantinya dengan debugging code, sebagai contoh: www.target.com/moreinfo ProductID = 'having 1=1— Setelah itu akan keluar sebuah error page dari situs itu yang memberi informasi tentang struktur database situs itu. Dari hasil informasi yang telah didapat ini, hacker dapat melakukan serangan berikutnya.

5. Penanganan SQL Injection 1. Merubah Script PHP 2. Menggunakan Mysql_escape_string Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion Contoh : $kar = “SQL injec’tion”; $filter = mySQL_escape_string($kar); echo ”Hasil filter : $filter”;

3. Pemfilteran Karakter Dengan Memodifikasi Php.Ini Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php. Contoh script yang membatasi karakter yang bisa masukkan : function validatepassword( input ) good_password_chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ" validatepassword = true for i = 1 to len( input ) c = mid( input, i, 1 ) if ( InStr( good_password_chars, c ) = 0 ) then validatepassword = false exit function end if next end function

6. Meminimalisirkan SQL Injection Warning atau Error pada query tidak perlu ditampilkan. Lebih baik dibuat script yang akan langsung memfeedback log error/warning ke developer/adminnya jika terjadi kesalahan query, sementara di end-user bisa ditampilkan, misal error 404. Developer hendaknya melakukan validasi terhadap URL dan memfilter bentuk request yang menjurus terhadap tindakan injeksi. Jangan pernah dumping database ke direktori yang tidak restrict permissionnya / publik. Lakukaan audit sendiri dengan berbagai macam tools yang ada Jika dana tidak mencukupi maka tidak ada salahnya konsultasi dengan pihak yang lebih pandai tentang SQL Injection.

7. Cara Pencegahan SQL Injection Membatasi panjang dari suatu input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si hacker pemula akan bingung sejenak melihat input box nya tidak bisa diinject dengan perintah yang panjang. Memfilterisasi input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation). Mematikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan. Mematikan fasilitas - fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan. Mengubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.

TERIMA KASIH