Serangan Keamanan Database dan Tindak Preventifnya

     1.       Keamanan Database

Keamanan database adalah suatu cara untuk melindungi database dari ancaman, baikdalam bentuk kesengajaan atau pun bukan. Ancaman adalah segala situasi atau kejadian baik secara sengaja maupun tidak yang bersifat merugikan dan mempengaruhi system serta secara konsekuensi terhadap perusahaan/organisasi yang memiliki system database.Keamanan database tidak hanya berkenaan dengan data yang ada pada database saja, tetapi juga meliputi bagian lain dari system database, yang tentunya dapat mempengaruhi database tersebut. Hal ini berarti keamanan database mencakup perangkat keras, perangkat lunak, orang dan data.
Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat. Seseorang yang mempunyai hak untuk mengontrol dan mengatur database biasanya disebut Administrator database. Seorang administratorlah yang memegang peranan penting pada suatu system database, oleh karena itu administrator harus mempunyai kemampuan dan pengetahuan yang cukup agar dapat mengatur suatu system database Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh pemakai yang tidak punya kewenangan.

     2.        Contoh Serangan Tindakan Database

A.    PHP Injection.

Script PHP merupakan salah satu script yang sampai saat ini banyak digunakan oleh seorang webmaster, disamping rival nya Java. Script PHP ini begitu 'Powerfull', mengapa dikatakan demikian karena dalam script PHP ini kita bisa melakukan banyak hal. Mulai dari membuat file, membuat counter, membuat date, membuat bukutamu, membuat forum (salah satunya PhpBB), mengakses database secara langsung maupun juga membuat gambar dan animasi.Kesemuanya itu sudah terdapat dalam fungsi dari script PHP ini, karena hal itu lah maka masih banyak orang yang menggunakannya untuk membangun sebuah website, selain karena cukup mudah dipelajari. Jadi PHP Injection adalah mencari bugs pada script php yang ada yang dilakukan oleh sebagian hacker.

PHP Injection Terjadi Karna PHP Funcion + Didukung Konfigurasi PHP.INI Yang Salah. Yang Perlu Diketahui Sebelumnya, Keterangan Variable Arrays PHP :

·       $_GET : berisi parameter yang disampaikan dalam query string (url parameter)

·       $HTTP_GET_VARS : sama dengan $_GET

·       $_POST : berisi parameter yang disampaikan dalam body request

·       $HTTP_POST_VARS : sama dengan $_POST

·       $_COOKIE : berisi cookie yang sampaikan dalam request

·       $HTTP_COOKIE_VARS : sama dengan $_COOKIE

·       $_REQUEST : gabungan dari $_GET,$_POST dan $_COOKIE

·       $_FILES : berisi file yang di upload yang di sampaikan dalam request.

·       $HTTP_POST_FILES : sama dengan $_file.

Keterangan Konfigurasi Pada PHP.INI (semua dalam on) :

· register_globals: berfungsi untuk menentukan variable array apa yang digunanakan(get,post,etc)

·       magic_quotes: filter input terhadap single quote (’), the double quote (”), the backslash ( \ ), and NULL (%0)

·       safe_mode: melakukan os level pada PHP level dengan melakukan check uid.(artinya hanya admin/root yang dapat menjalankan command os)

·       allow_url_fopen: memperbolehkan melakukan remote file pada beberapa file funcions php.

·       allow_url_include: memperboleh include funcion digunakan untuk remote file.

·       display_errors: memperboleh semua error tampil dibrowser.
etc.

 B.   Jenis serangan PHP Injection dan Scriptnya.

1.     Local File Include

   Local file include (lfi) atau juga bisa disebut Path Traversal adalah Suatu jenis vulnerabilities yang mengakibatkan user dapat melihat secara lengkap path suatu direktori atau file dari suatu situs/website. 

Contoh Scriptnya :

                  2.   Remote FilInclude

remote file include (rfi) adalah Suatu jenis serangan yang dilakukan dengan meng-include-kan halaman web lain kepada suatu web aplikasi.

                   3.  OS Command Injection

OS command injection adalah sebuah serangan dengan menginjeksikan os commands pada server.

4.     Dynamic Code Execution

Dynamic Code Execution adalah serangan dengan menginjeksikan php funcions atau variable pada server.

        C. Tindakan Preventif

         Sebenarnya dalam mengatasi PHP Injection hampir sama dengan SQL Injection, karena SQL Injection biasanya diaplikasikan di web PHP. Ada beberapa cara yang bisa kita lakukan untuk mengatasi serangan SQL injection , kita bisa membuat script anti SQL injection dengan memanfaatkan fungsi bawan dari PHP yaitu mysql_real_escape atau mysql_real_escape_string. cara penggunaanya adalah sebagai berikut.

$id = mysql_real_escape_string($_GET['id']).

         selain cara di atas, ada beberapa tips aplikatif yang bisa anda gunakan untuk mengamankan web anda dari serangan SQL injection, berikut ini tips nya :

1. Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5. Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server Security tab.

Sumber :

1. http://sobarudinfile.blogspot.co.id/2014/08/jenis-jenis-serangan-jaringan-pada_26.html

2. https://rumahradhen.wordpress.com/materi-kuliahku/semester-ii/sistem-keamanan-komputer/pengamanan-sistem-basis-data/

3. https://andiwijaya.wordpress.com/2009/10/30/php-injection/

4. https://belajarphp.net/tutorial-mengatasi-serangan-sql-injection/