Skip to main content

Apa Itu Cyber Security? Ini Yang Perlu Anda Ketahui Agar Bisnis Aman !

Jaminan keamanan terhadap pelayanan adalah hal penting dalam bisnis. Ketika seorang nasabah ingin menabung, tentu ia perlu menimang apakah ada jaminan keamanan di sana. Sebab, tidak sedikit penyedia layanan yang sering kali kebobolan untuk pengamanan sistem. Maka dari itu, isu tersebut menjadi penting karena termasuk bagian dari cyber security. Lalu, apa yang dimaksud dengan cyber security? Mari kita simak bersama di artikel berikut ini! Apa Itu Cyber Security? Cyber Security (Keamanan Siber) adalah perlindungan sistem yang terhubung ke internet seperti perangkat keras, perangkat lunak, dan data dari Cyber Threat dan Cyber Crime. Praktik ini digunakan oleh individu dan perusahaan untuk melindungi dari akses tidak sah ke pusat data dan sistem komputerisasi lainnya. Strategi keamanan siber yang kuat dapat memberikan postur keamanan yang baik terhadap serangan jahat yang dirancang untuk mengakses, mengubah, menghapus, menghancurkan, atau memeras sistem dan data sensitif organisasi atau pe...
Post a Comment

Mengenal Teknik Pentesting SQL Injection Dan Cara Pencegahannya!

 

Adanya suatu vulnerability pada sistem dapat meningkatkan potensi terjadi serangan. Vulnerability tersebut dapat terjadi diberbagai sektor sistem. Celah inilah yang dimanfaatkan oleh penyerang, untuk menyusupi sistem kita. Salah satu serangan yang dapat dieksploitasi adalah tipe serangan SQL Injection. SQL Injection memanfaatkan celah kerentanan yang ada pada sistem terutama bagian database untuk dilakukan eksploitasi. Nyatanya, untuk mempermudah eksploitasi, SQL Injection telah disediakan sebuah tools yang mempermudah eksploitasi menggunakan metode SQL Injection. Yap, ialah SQLMAP. Sebelum kita masuk lebih dalam, mari kita ketahui terlebih dahulu apa itu SQL Injection!

Apa Itu SQL Injection?

SQL Injection, juga dikenal sebagai SQLI, adalah vektor serangan umum yang menggunakan kode SQL berbahaya untuk manipulasi database backend untuk mengakses informasi yang tidak dimaksudkan untuk ditampilkan. Informasi ini dapat mencakup sejumlah item, termasuk data perusahaan yang sensitif, daftar pengguna, atau detail pribadi pelanggan.

Dampak SQL Injection pada bisnis sangat luas. Serangan yang berhasil dapat mengakibatkan tampilan daftar pengguna yang tidak sah, penghapusan seluruh tabel dan, dalam kasus tertentu, penyerang mendapatkan hak administratif ke database, yang semuanya sangat merugikan bisnis.

Saat menghitung potensi biaya SQLi, penting untuk mempertimbangkan hilangnya kepercayaan pelanggan jika informasi pribadi seperti nomor telepon, alamat, dan detail kartu kredit dicuri. Meskipun vektor ini dapat digunakan untuk menyerang basis data SQL apa pun, situs web adalah target yang paling sering.

Tipe-Tipe Serangan SQL Injection

SQL Injection biasanya termasuk dalam tiga kategori: SQLi In-band (Klasik), SQLi Inferensial (Blind) dan SQLi Out-of-band. Anda dapat mengklasifikasikan jenis SQL Injection berdasarkan metode yang digunakan untuk mengakses data backend dan potensi kerusakannya.

1. In-Band SQLi 

Penyerang menggunakan saluran komunikasi yang sama untuk meluncurkan serangan mereka dan untuk mengumpulkan hasil mereka. Kesederhanaan dan efisiensi SQLi in-band menjadikannya salah satu jenis serangan SQLi yang paling umum. Ada dua sub-variasi dari metode ini:

>> Error-Based SQLi — penyerang melakukan tindakan yang menyebabkan database menghasilkan pesan kesalahan. Penyerang berpotensi menggunakan data yang disediakan oleh pesan kesalahan ini untuk mengumpulkan informasi tentang struktur database.

>> Union-Based SQLi — teknik ini memanfaatkan operator SQL UNION, yang menggabungkan beberapa pernyataan pilih yang dihasilkan oleh database untuk mendapatkan satu respons HTTP. Respons ini mungkin berisi data yang dapat dimanfaatkan oleh penyerang.

2. Inferential (Blind) SQLi

Blind SQL Injection bergantung pada respons dan pola perilaku server sehingga biasanya lebih lambat untuk dieksekusi tetapi mungkin sama berbahayanya. Blind SQL Injection dapat diklasifikasikan sebagai berikut:

>> Boolean — penyerang itu mengirimkan kueri SQL ke database yang meminta aplikasi untuk mengembalikan hasil. Hasilnya akan bervariasi tergantung pada apakah kueri itu benar atau salah. Berdasarkan hasil, informasi dalam respons HTTP akan berubah atau tetap tidak berubah. Penyerang kemudian dapat mengetahui apakah pesan tersebut menghasilkan hasil yang benar atau salah.

>> Time-Based — penyerang mengirim kueri SQL ke database, yang membuat database menunggu (selama beberapa detik) sebelum dapat bereaksi. Penyerang dapat melihat dari waktu yang dibutuhkan database untuk merespons, apakah suatu kueri benar atau salah. Berdasarkan hasil, respons HTTP akan dibuat secara instan atau setelah masa tunggu. Dengan demikian penyerang dapat mengetahui apakah pesan yang mereka gunakan mengembalikan benar atau salah, tanpa bergantung pada data dari database.

3. Out-of-band SQLi

Out-Of-Band SQLi dilakukan ketika penyerang tidak dapat menggunakan saluran yang sama untuk meluncurkan serangan dan mengumpulkan informasi, atau ketika server terlalu lambat atau tidak stabil untuk melakukan tindakan ini. Teknik ini mengandalkan kapasitas server untuk membuat permintaan DNS atau HTTP untuk mentransfer data ke penyerang.

Cara Mencegah Terjadinya SQLi

Ada beberapa cara efektif untuk mencegah serangan SQLI terjadi, serta melindunginya, jika terjadi.

Langkah utama adalah validasi input (alias sanitasi), yaitu praktik penulisan kode yang dapat mengidentifikasi input pengguna yang tidak sah.

Contohnya seperti ini:

Meskipun validasi input harus selalu dianggap sebagai praktik terbaik, namun hal tersebut jarang menjadi solusi yang sangat mudah. Kenyataannya, dalam banyak kasus tidak mungkin memetakan semua masukan legal dan ilegal—setidaknya tanpa menyebabkan sejumlah besar kesalahan positif, yang mengganggu pengalaman pengguna (UX) dan fungsionalitas aplikasi.

Atas alasan tersebut, muncul langkah kedua yaitu penggunaan Web Application Firewall (WAF). WAF biasanya digunakan untuk mem-filter SQLI, serta ancaman online lainnya. Untuk melakukannya, WAF biasanya bergantung pada daftar crafted signature yang megah, diperbarui secara konstan, dan dibuat dengan cermat yang memungkinkannya untuk menyingkirkan kueri SQL berbahaya secara operasi. Biasanya, daftar tersebut menyimpan tanda tangan untuk mengatasi vektor serangan tertentu dan secara teratur ditambal untuk memperkenalkan aturan pemblokiran untuk kerentanan yang baru ditemukan.

Web App Firewall Modern juga sering terintegrasi dengan solusi keamanan lainnya. Maka dari itu, WAF dapat menerima informasi tambahan yang semakin meningkatkan kemampuan keamanan sistem.

Labels:

Comments

Post a Comment

Popular posts from this blog

HTTP Security Headers: Cara Mudah Memperkuat Web Kita!

  Menjamin adanya keamanan adalah hal yang penting bagi tiap service dan website. Untuk itu membangun dan memperkuat keamanan suatu website menjadi hal yang mesti dilakukan. Akan tetapi, pasti beberapa dari kita berpikir bahwa untuk menjaga keamanan website, kita perlu membeli software  atau sistem keamanan yang rentang biayanya cukup tinggi. Padahal, terdapat langkah awal tetapi pasti, untuk menjaga keamanan website kita. Salah satunya dengan patching  HTTP Security Header! Oke, agar lebih paham, yuk kita simak bersama! Apa Itu HTTP Security Header? Header keamanan HTTP adalah subset dari header HTTP dan dipertukarkan antara klien web (biasanya browser) dan server untuk menentukan detail komunikasi HTTP yang terkait dengan keamanan. Beberapa header HTTP yang secara tidak langsung terkait dengan privasi dan keamanan juga dapat dianggap sebagai header keamanan HTTP. Dengan mengaktifkan header yang sesuai di aplikasi web dan pengaturan server web, Anda dapat meningkatkan ke...
Post a Comment
Read more

Ayo Mendalami Face Recognition, Salah Satu Teknologi Keamanan Biometrik Yang Menarik!

      Teknologi di bidang keamanan sudah sangat berkembang. Hal tersebut tentunya harus terus dikembangkan lagi karena teknologi untuk pembobolan juga sudah marak berkembang. Agar mendapat keamanan maksimal misalnya pada suatu akun, pengguna harus membuat kata sandi yang cukup rumit agar tidak dapat dibobol oleh penjahat cyber . Namun apabila kata sandi yang kita buat terlalu rumit, terkadang kita sendiri sering lupa dan tidak dapat masuk ke akun tersebut. Nah, kali ini ada sebuah teknologi keamanan yang kiranya dapat menjamin keamanan dan privasi kita di dunia digital tanpa harus membuat kata sandi yang ribet. Mungkin kalian sudah mengenalinya ya. Yap, teknologi tersebut ialah Face Recognition  atau Pengenal Wajah. Terus, gimana cara kerja Face Recognition dan gimana kalo ada orang yang wajahnya mirip kayak kita dan dia dapat menggunakannya untuk membobol akun dan privasi kita? Pelan-pelan dulu yak, kita bahas dari awal terlebih dahulu, Oke! Apa Itu Face Recognition...
Post a Comment
Read more

Apa Sih CRISPR Gene Editing Itu? Dan Apa Dampaknya?

          Baru-baru ini, negara Tiongkok telah merancang konsep teknologi terbaru. Teknologi tersebut tentunya merupakan terobosan masa depan terbaru yang tentunya bisa membuat orang-orang kegirangan. Pasalnya, teknologi yang sedang dikembangkan disana memiliki tujuan untuk mengedit struktur Gen atau DNA manusia. Sangat menakjubkan sekali bukan? Namun, tentunya rasa tersebut bisa bercampur aduk dengan rasa ngeri dikarenakan kita sendiri belum pernah melakukan yang namanya mengedit struktur gen yang secara harfiah dilakukan langsung pada seorang bayi manusia. Ya betul, bayi manusia.  Teknik untuk mengedit   DNA ini disebut teknik rekayasa genetika dan teknologi yang digunakannya disebut CRISPR Gene Editing . Bentar,  CRISPR  Gene Editing  itu apa sih? Mari kita simak bersama, dimulai dari pengertian rekayasa genetika! Apa Itu Teknik Rekayasa Genetika?     Teknik rekayasa genetika atau modifikasi genetika merupakan...
Post a Comment
Read more