Patching SQLi

Apa sih patching itu?

• Patching adalah kegiatan memperbaiki sebuah celah keamanan yang dapat digunakan hacker / atacker untuk mendapatkan informasi penting / vital yang ada dalam suatu website.

Apa sih bahaya situs yang belum dipatch?

• Situs yang belum dipatch / mempunyai bug SQLi akan rentan terhadap serangan hacker.

• Misalkan: ada sebuah rumah, di bagian belakan ada pintu yang rusak kuncinya, sehingga mudah untuk dibuka. Apakah yang akan terjadi?? Pasti pencuri akan mudah untuk masuk. Begitu juga pada website, seorang hacker akan mudah masuk ke dalam situs tersebut jika masih terdapat bug SQLi pada web tersebut.

• Contoh akibat dari bug SQLi

Bagaimana sih cara mempatch bug SQL Injection??

• Kita tahu, bahwa SQL Injection itu memanfaatkan kelemahan filter pada suatu website, filter yang buruk pada input, akan menyebabkan suatu situs vuln bug SQL injection. Sehingga, jika kita ingin mempatch bug SQLi, kita harus memperbaiki filter web tersebut.

Beberapa Contoh Scrip Patch Bug SQLi

• Agar hanya angka pada inputif (!preg_match("/^[0-9]+$/”, $ variable)){command;}

• Agar tidak ada nilai minus pada inputif ($ variable < 0){command;}

• Membatasi jumlah length pada inputif (strlen($variable)>3){command;}

if (!preg_match("/^[0-9]+$/”, $ variable)){

command;}

• Fungsi: untuk membatasi input agar input hanya berupa angka saja.

• Kelemahan: pada saat kita mengakses news.php, maka perintah akan diekskusi, padahal tidak ada attacker yang melakukan serangan.

if ($ variable < 0){

command;}

• Fungsi: untuk memfilter tanda minus (-) pada input, sehingga menyulitkan hacker untuk melakukan SQLinjection

• Kelemahan: Tanda minus (-) tidak selalu digunakan dalam melakukan SQLi sehingga script ini masih kurang sempurna.