Kali ini kita akan membahas tutorial hacing dengan teknik SQL Injection menggunakan tool SQLMap untuk melakukan hacking atau serangan pada website berbasis data dengan tujuan untuk menemukan kerentanan keamanan pada website tersebut.
SQL Injection adalah teknik injeksi code yang digunakan untuk melakukan serangan pada aplikasi web berbasis data di mana pernyataan malicious SQL dimasukkan ke dalam entri untuk di eksekusi (misalnya untuk menampilkan konten database ke penyerang). SQL injection dapat mengeksploitasi kerentanan keamanan pada perangkat lunak aplikasi, misalnya saat user salah melakukan filter inputan untuk pengiriman karakter yang disematkan dalam pernyataan SQL atau inputan user tidak diketik dengan benar dan tanpa diduga dieksekusi. SQL Injection lebih dikenal sebagai vektor serangan untuk sebuah situs web namun juga dapat digunakan untuk menyerang semua jenis database SQL.
Apa itu SQLMap
SQLMap adalah salah satu tool otomatis untuk melakukan SQL Injection yang paling populer dan hebat. Dengan url http request yang rentan, sqlmap dapat mengeksploitasi remote database dan melakukan hacking seperti mengekstrak nama database, tabel, kolom, semua data dalam tabel, dll. Bahkan dapat membaca dan menulis file pada remote sistem file pada kondisi tertentu. Ditulis dalam bahasa python dan merupakan salah satu alat hacking yang paling hebat. SQLMap adalah SQL Injection metasploit.SQLMap disertakan dalam beberapa distro linux pen testing seperti kali linux, backtrack, backbox dll. Pada distro lain bisa diunduh dari url berikut.
http://sqlmap.org
Karena ditulis dalam bahasa python, maka anda harus menginstal python di sistem anda terlebih dahulu. Di ubuntu install python dari synaptic. Pada windows install activestate python. Silahkan cek posting dengan judul Installasi dan menjalankan SQLMap di Windows untuk rincian tentang cara menginstal dan menjalankan sqlmap di windows.
http://sqlmap.org
Karena ditulis dalam bahasa python, maka anda harus menginstal python di sistem anda terlebih dahulu. Di ubuntu install python dari synaptic. Pada windows install activestate python. Silahkan cek posting dengan judul Installasi dan menjalankan SQLMap di Windows untuk rincian tentang cara menginstal dan menjalankan sqlmap di windows.
Fitur-Fitur SQLMap
Dukungan penuh untuk sistem manajemen basis data MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase dan SAP MaxDB.
Dukungan penuh untuk enam teknik SQL Injection: boolean-based blind, time-based blind, error-based, UNION query, stacked queries and out-of-band.
Dukungan untuk langsung terhubung ke database tanpa melalui SQL Injection, dengan menyediakan kredensial DBMS, alamat IP, port dan nama database.
Dukungan untuk menghitung pengguna, hash kata sandi, privileges, roles, database, tabel dan kolom.
Pengenalan otomatis format hash password dan dukungan untuk cracking menggunakan serangan berbasis kamus.
Dukungan untuk membuang tabel database seluruhnya, kisaran entri atau kolom spesifik sesuai pilihan pengguna. Pengguna juga dapat memilih untuk membuang hanya sejumlah karakter dari entri masing-masing kolom.
Dukungan untuk mencari nama database tertentu, tabel spesifik di semua database atau kolom spesifik di semua tabel database. Ini berguna, misalnya, untuk mengidentifikasi tabel yang berisi kredensial aplikasi kustom di mana nama kolom yang relevan mengandung string seperti nama dan password.
Dukungan untuk mendownload dan mengunggah file apapun dari database server yang mendasari sistem file pada perangkat lunak database MySQL, PostgreSQL atau Microsoft SQL Server.
Dukungan untuk mengeksekusi perintah acak dan mengambil output standar mereka pada database server yang mendasari sistem operasi saat perangkat lunak database adalah MySQL, PostgreSQL atau Microsoft SQL Server.