Mencegah SQL Injection

SQL injection... hmm
siapa kaga kenal metode hacking paling menakutkan bagi webmaster/pemilik web/situs ini? huh.. jika sampe hari ini tidak tahu.. berarti kalian benar2 gapnet.

Oke sekarang saya cerita dikit aja ya historynya..

Kira2 pada bulan April 2008 setahun yang lalu, jumlah serangan ke sejumlah web server meningkat tajam, Microsoft menjadi pihak yang paling dituding dalam masalah ini. Lewat sebuah investigasi cermat oleh tim sekuriti Microsoft, didapat kesimpulan bahwa serangan tersebut tidak berkaitan dengan lubang pada IIS 6.0, ASP, ASP.Net, ataupun teknologi Microsoft SQL. Yang terjadi adalah serangan tersebut berkaitan dengan celah SQL injection. Oleh karena itu , Microsoft menyediakan guidelines untuk menghindari serangan seperti ini.

Sebuah artikel dari Website Windows Server Division menyimpulkan bahwa “sasaran serangan SQL Injection adalah kode-kode dari aplikasi web, bukan kode dari web server itu sendiri. Jadi, untuk menghindarinya diperlukan praktek pengamanan dalam menerima input dari user, agar input tersebut tidak berisi kode-kode jahat yang dapat merusak database, web server, hingga keseluruhan sistem.”

Lewat alasan ini, pada bulletin keamanan terbarunya, Microsoft berusaha membantu pengembang dan administrator web mencegah dan meminimalisir serangan SQL Injection dengan memberikan tiga buah tool:

• Microsoft Source Code Analyzer for SQL Injection (MSCASI): Ini merupakan tool analisis kode statis yang dapat mengidentifikasi celah SQL Injection pada kode ASP. Tool ini dapat menunjukan akar penyebab celah SQL Injection pada sebuah kode.
• Scrawlr : Dikembangkan oleh Microsoft dengan HP Web Security Research group, tool ini akan menjelajah website, dan secara simultan menganalisa parameter dari setiap halaman web yang dilaluinya untuk mencari celah keamanan yang rawan oleh serangan SQL Injection.
• UrlScan 3.0 Beta (x86 dan x64) : Tool ini memungkinkan pembuatan sebuah filter SQL yang dapat membatasi tipe request HTTP yang dapat diproses oleh IIS. Tool ini diharapkan dapat mencegah request HTTP yang berpotensi merusak untuk dieksekusi di server.

Diharapakan tool ini dapat membantu kamu2 juga para web administrator dan developer dalam meminimalkan celah keamanan yang ada pada web server kalian.