Skip to main content

Apa Itu Cyber Security? Ini Yang Perlu Anda Ketahui Agar Bisnis Aman !

Jaminan keamanan terhadap pelayanan adalah hal penting dalam bisnis. Ketika seorang nasabah ingin menabung, tentu ia perlu menimang apakah ada jaminan keamanan di sana. Sebab, tidak sedikit penyedia layanan yang sering kali kebobolan untuk pengamanan sistem. Maka dari itu, isu tersebut menjadi penting karena termasuk bagian dari cyber security. Lalu, apa yang dimaksud dengan cyber security? Mari kita simak bersama di artikel berikut ini! Apa Itu Cyber Security? Cyber Security (Keamanan Siber) adalah perlindungan sistem yang terhubung ke internet seperti perangkat keras, perangkat lunak, dan data dari Cyber Threat dan Cyber Crime. Praktik ini digunakan oleh individu dan perusahaan untuk melindungi dari akses tidak sah ke pusat data dan sistem komputerisasi lainnya. Strategi keamanan siber yang kuat dapat memberikan postur keamanan yang baik terhadap serangan jahat yang dirancang untuk mengakses, mengubah, menghapus, menghancurkan, atau memeras sistem dan data sensitif organisasi atau pe...
Post a Comment

Mengenal Teknik Pentesting SQL Injection Dan Cara Pencegahannya!

 

Adanya suatu vulnerability pada sistem dapat meningkatkan potensi terjadi serangan. Vulnerability tersebut dapat terjadi diberbagai sektor sistem. Celah inilah yang dimanfaatkan oleh penyerang, untuk menyusupi sistem kita. Salah satu serangan yang dapat dieksploitasi adalah tipe serangan SQL Injection. SQL Injection memanfaatkan celah kerentanan yang ada pada sistem terutama bagian database untuk dilakukan eksploitasi. Nyatanya, untuk mempermudah eksploitasi, SQL Injection telah disediakan sebuah tools yang mempermudah eksploitasi menggunakan metode SQL Injection. Yap, ialah SQLMAP. Sebelum kita masuk lebih dalam, mari kita ketahui terlebih dahulu apa itu SQL Injection!

Apa Itu SQL Injection?

SQL Injection, juga dikenal sebagai SQLI, adalah vektor serangan umum yang menggunakan kode SQL berbahaya untuk manipulasi database backend untuk mengakses informasi yang tidak dimaksudkan untuk ditampilkan. Informasi ini dapat mencakup sejumlah item, termasuk data perusahaan yang sensitif, daftar pengguna, atau detail pribadi pelanggan.

Dampak SQL Injection pada bisnis sangat luas. Serangan yang berhasil dapat mengakibatkan tampilan daftar pengguna yang tidak sah, penghapusan seluruh tabel dan, dalam kasus tertentu, penyerang mendapatkan hak administratif ke database, yang semuanya sangat merugikan bisnis.

Saat menghitung potensi biaya SQLi, penting untuk mempertimbangkan hilangnya kepercayaan pelanggan jika informasi pribadi seperti nomor telepon, alamat, dan detail kartu kredit dicuri. Meskipun vektor ini dapat digunakan untuk menyerang basis data SQL apa pun, situs web adalah target yang paling sering.

Tipe-Tipe Serangan SQL Injection

SQL Injection biasanya termasuk dalam tiga kategori: SQLi In-band (Klasik), SQLi Inferensial (Blind) dan SQLi Out-of-band. Anda dapat mengklasifikasikan jenis SQL Injection berdasarkan metode yang digunakan untuk mengakses data backend dan potensi kerusakannya.

1. In-Band SQLi 

Penyerang menggunakan saluran komunikasi yang sama untuk meluncurkan serangan mereka dan untuk mengumpulkan hasil mereka. Kesederhanaan dan efisiensi SQLi in-band menjadikannya salah satu jenis serangan SQLi yang paling umum. Ada dua sub-variasi dari metode ini:

>> Error-Based SQLi — penyerang melakukan tindakan yang menyebabkan database menghasilkan pesan kesalahan. Penyerang berpotensi menggunakan data yang disediakan oleh pesan kesalahan ini untuk mengumpulkan informasi tentang struktur database.

>> Union-Based SQLi — teknik ini memanfaatkan operator SQL UNION, yang menggabungkan beberapa pernyataan pilih yang dihasilkan oleh database untuk mendapatkan satu respons HTTP. Respons ini mungkin berisi data yang dapat dimanfaatkan oleh penyerang.

2. Inferential (Blind) SQLi

Blind SQL Injection bergantung pada respons dan pola perilaku server sehingga biasanya lebih lambat untuk dieksekusi tetapi mungkin sama berbahayanya. Blind SQL Injection dapat diklasifikasikan sebagai berikut:

>> Boolean — penyerang itu mengirimkan kueri SQL ke database yang meminta aplikasi untuk mengembalikan hasil. Hasilnya akan bervariasi tergantung pada apakah kueri itu benar atau salah. Berdasarkan hasil, informasi dalam respons HTTP akan berubah atau tetap tidak berubah. Penyerang kemudian dapat mengetahui apakah pesan tersebut menghasilkan hasil yang benar atau salah.

>> Time-Based — penyerang mengirim kueri SQL ke database, yang membuat database menunggu (selama beberapa detik) sebelum dapat bereaksi. Penyerang dapat melihat dari waktu yang dibutuhkan database untuk merespons, apakah suatu kueri benar atau salah. Berdasarkan hasil, respons HTTP akan dibuat secara instan atau setelah masa tunggu. Dengan demikian penyerang dapat mengetahui apakah pesan yang mereka gunakan mengembalikan benar atau salah, tanpa bergantung pada data dari database.

3. Out-of-band SQLi

Out-Of-Band SQLi dilakukan ketika penyerang tidak dapat menggunakan saluran yang sama untuk meluncurkan serangan dan mengumpulkan informasi, atau ketika server terlalu lambat atau tidak stabil untuk melakukan tindakan ini. Teknik ini mengandalkan kapasitas server untuk membuat permintaan DNS atau HTTP untuk mentransfer data ke penyerang.

Cara Mencegah Terjadinya SQLi

Ada beberapa cara efektif untuk mencegah serangan SQLI terjadi, serta melindunginya, jika terjadi.

Langkah utama adalah validasi input (alias sanitasi), yaitu praktik penulisan kode yang dapat mengidentifikasi input pengguna yang tidak sah.

Contohnya seperti ini:

Meskipun validasi input harus selalu dianggap sebagai praktik terbaik, namun hal tersebut jarang menjadi solusi yang sangat mudah. Kenyataannya, dalam banyak kasus tidak mungkin memetakan semua masukan legal dan ilegal—setidaknya tanpa menyebabkan sejumlah besar kesalahan positif, yang mengganggu pengalaman pengguna (UX) dan fungsionalitas aplikasi.

Atas alasan tersebut, muncul langkah kedua yaitu penggunaan Web Application Firewall (WAF). WAF biasanya digunakan untuk mem-filter SQLI, serta ancaman online lainnya. Untuk melakukannya, WAF biasanya bergantung pada daftar crafted signature yang megah, diperbarui secara konstan, dan dibuat dengan cermat yang memungkinkannya untuk menyingkirkan kueri SQL berbahaya secara operasi. Biasanya, daftar tersebut menyimpan tanda tangan untuk mengatasi vektor serangan tertentu dan secara teratur ditambal untuk memperkenalkan aturan pemblokiran untuk kerentanan yang baru ditemukan.

Web App Firewall Modern juga sering terintegrasi dengan solusi keamanan lainnya. Maka dari itu, WAF dapat menerima informasi tambahan yang semakin meningkatkan kemampuan keamanan sistem.

Labels:

Comments

Post a Comment

Popular posts from this blog

Begini Cara Mengirim Email PGP Dengan Kleopatra!

  Sebelumnya kita sudah mengenali tentang apa itu PGP atau Email Terenkripsi. Sekarang, kita akan mengenali tentang cara mengirim Email PGP dengan software GPG Kleopatra. Software  GnuPG ini tergolong open-source yaa, jadi kita bisa menggunakan dengan free  untuk kebutuhan enkripsi email kita. So, mari kita langsung simak saja! Mengenal Kleopatra ( OPENGPG ) Kleopatra adalah manajer sertifikat dan GUI untuk GnuPG. Perangkat lunak ini menyimpan sertifikat dan kunci OpenPGP Anda. Ini tersedia untuk Windows dan Linux. Terkait dengan klien email KMail, kita juga dapat memanfaatkan fitur kriptografis untuk komunikasi melalui email. Step-by-Step Oke, jadi ini adalah langkah-langkah untuk mengoperasikan Kleopatra agar dapat mengirim email terenkripsi kepada recipient  kita tanpa bisa dilihat oleh orang lain. 1. Download dan Install GPG4WIN Langkah paling pertama pastinya menginstall software -nya terlebih dahulu. Cek link berikut untuk mendapatkan installer packagenya: GPG...
Post a Comment
Read more

Integrasi Sistem: Pengertian, Jenis, dan Pendekatannya

  Menggunakan komponen TI yang berbeda untuk tugas yang berbeda adalah praktik umum. Namun seiring berkembangnya fungsi bisnis, perusahaan mungkin kewalahan oleh banyak alat yang terputus-putus yang tidak dapat berbagi data dan bekerja bersama. Saat itulah integrasi sistem datang untuk menyelamatkan. Di artikel ini, kita akan mendalami tentang apa itu integrasi sistem beserta seluk-beluknya, jadi dibaca sampai habis yaa! Apa Itu Integrasi Sistem? Integrasi sistem adalah proses menggabungkan modul perangkat lunak dan perangkat keras ke dalam satu infrastruktur yang kohesif (padu), memungkinkan semua bagian bekerja secara keseluruhan. Selain itu, integrasi sistem yang sering disebut sebagai integrasi TI atau integrasi perangkat lunak, ini menghasilkan keuntungan sebagai berikut: Peningkatan produktivitas.  Sistem terintegrasi memungkinkan kontrol terpusat atas proses harian yang menambah efisiensi seluruh alur kerja. Perusahaan menyelesaikan lebih banyak pekerjaan dalam waktu ya...
Post a Comment
Read more

HTTP Security Headers: Cara Mudah Memperkuat Web Kita!

  Menjamin adanya keamanan adalah hal yang penting bagi tiap service dan website. Untuk itu membangun dan memperkuat keamanan suatu website menjadi hal yang mesti dilakukan. Akan tetapi, pasti beberapa dari kita berpikir bahwa untuk menjaga keamanan website, kita perlu membeli software  atau sistem keamanan yang rentang biayanya cukup tinggi. Padahal, terdapat langkah awal tetapi pasti, untuk menjaga keamanan website kita. Salah satunya dengan patching  HTTP Security Header! Oke, agar lebih paham, yuk kita simak bersama! Apa Itu HTTP Security Header? Header keamanan HTTP adalah subset dari header HTTP dan dipertukarkan antara klien web (biasanya browser) dan server untuk menentukan detail komunikasi HTTP yang terkait dengan keamanan. Beberapa header HTTP yang secara tidak langsung terkait dengan privasi dan keamanan juga dapat dianggap sebagai header keamanan HTTP. Dengan mengaktifkan header yang sesuai di aplikasi web dan pengaturan server web, Anda dapat meningkatkan ke...
Post a Comment
Read more