SQL Injection adalah jenis aksi hacking pada keamanan komputer dimana seorang penyerang bisa mendapatkan akses ke sistem database dengan memanfaatkan celah keamanan yang terjadi pada level aplikasi. Sedangkan serangan dapat melalui dua method, GET dan POST, method GET dapat dianalisa dengan menggunakan GHDB (Google Hacking DataBase) atau melalui exploit-db.com. Sedangkan method POST adalah jenis serangan yang berawal dari sebuah form (form login misalnya) yang tidak dilengkapi dengan filter input.

Ada banyak alat yang dapat digunakan untuk melakukan injeksi SQL antara lain SQLMap, BSQL Hacker, The Mole, Pangolin, Havij. Baris-baris perintah di bawah ini adalah baris perintah dalam SQLMap dari paket sistem operasi Kali Linux.

1. Mendapatkan nama database dari suatu aplikasi dengan opsi –dbs

Misalnya hasil dari scanning database di atas di dapatkan nama database “databaseku_db”

2. Mendapatkan nama tabel dari database “databaseku_db”

Misal didapatkan daftar tabel sebagai berikut :

3. Mendapatkan kolom dari daftar tabel yang sudah ditemukan, misalnya diambil tabel pengguna, kenapa tabel pengguna? Karena tujuan utama dari SQL Injection adalah mendapatkan username dan password dari sebuah aplikasi

Dari perintah di atas, misalnya di dapatkan daftar kolom sebagai berikut:

4. Melakukan dumping (export) data dari server ke storage lokal

Secara default SQLMap akan menyimpan hasil dump data ke direktori /usr/share/ssqlmap/output

Catatan:
Tutorial ini menggunakan alamat yang tidak sebenarnya, untuk mendapatkan target serangan dapat dengan membuat satu aplikasi sederhana di level localhost, aplikasi Login misalnya, atau jika anda adalah seorang administrator aplikasi dari sebuah organisasi/perusahaan, maka mulailah melakukan scanning terhadap aplikasi-aplikasi berbasis web yang anda kelola, alat scanning website yang paling populer bernama Acunetix.

Host target di atas memang tidak sebenarnya, tapi saya jamin step-stepnya bisa langsung diterapkan. Gunakan itu untuk melakukan evaluasi terhadap aplikasi berbasis web yang anda kelola, dan jangan digunakan untuk sesuatu yang bersifat destruktif.