Tuesday, 14 March 2017

Cara Mudah Hindari Serangan SQL Injection & Penggunaan SQLMAP oleh Attacker

Sesuai judul, kali ini gua akan share trik sederhana bagi kalian yang tak ingin websitenya di ubek-ubek oleh tools SQLmap. Ya, SQLmap merupakan sebuah tools yang sangat familiar dikalangan injector/attacker yang suka bermain-main dengan bug-bug SQL. Karena dinilai sangat mudah digunakan dan juga powerfull. Kita jadi tidak usah meng-inject secara manual ke website tujuan kita yang memiliki kelemahan SQL Injection. Tools SQLmap ini sudah akan otomatis meng-injectnya.

Yap, ini dia trik sederhananya. SQLmap sendiri dalam proses meng-injetnya, mengirimkan sebuah request HTTP Header kepada website yang di tuju. Anda bisa melihatnya dengan menambahkan option -v [level] (Verbose) .

> python sqlmap.py -u "localhost/test.php?id=1" --current-os -v 6

Lihatlah hasilnya, Disini kita akan mem-block User-Agent SQLmap, agar pada saat tools ini berjalan akan menghasilkan response lain.

berikut merupakan script sederhana yang saya buat, semoga kalian paham.
(script ini akan mudah di injeksi oleh SQLmap)

(Lalu block user-agent milik SQLmap, seperti yang saya buat pada bagian atas.)

Dan lihatlah perbedaannya saat kita eksekusi kembali pada target yang sama, namun kali ini kita memblock User-Agent nya.
( hasilnya adalah 404 Not Found, sesuai dengan apa yang sudah kita set pada script block nya tadi )

**Cara diatas tadi adalah untuk menghindari serangan dari Tools SQLMAP.
**Untuk Menghindari dari Serangan SQL Injection. Kalian tinggal memberikan beberapa fungsi seperti ini pada parameternya.

(gunakan fungsi mysqli_real_escape_string)

(hasilnya adalah seperti ini, tidak bisa di injeksi)

Oke sekian dulu , semoga bermanfaat .

2 comments: