PENDETEKSI SERANGAN SQL INJECTION MENGGUNAKAN ALGORITMA SQL INJECTION FREE SECURE PADA APLIKASI WEB
Penyusun Tugas Akhir: Rahajeng Ellysa - 5109100078 Dosen Pembimbing: Ir. Muchammad Husni, M.Kom. Baskoro Adi Protomo, S.Kom., M.Kom.
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
LATAR BELAKANG
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
• Berbagai macam serangan pada jaringan sering kali terjadi
• SQL injection merupakan salah satu jenis serangan yang mudah dilakukan
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
SOLUSI
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
• Membuat sistem pendeteksi dan pencegah serangan SQL injection
• Menggunakan algoritma SQL Injection Free Secure
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Algoritma SQL Injection Free Secure (SQLIF)
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Form_Status
Work Load Request (free)
Attack Load Request (attack)
Check Vulnerability(f’)
Compile k(ff’)
Compile p(ff’)
Compile b(ff’)
Compare (V)p←ff’; k←ff’;
b←ff’
Exit
Vulnerability Data
Collector (d)
Reset Fs
Yes
No
DESKRIPSI SISTEM
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
• Sistem mencegah serangan SQL injection yang terdeteksi pada masukan pengguna di lapisan aplikasi web
• Bekerja seperti sistem proxy
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy Server Database ServerClient
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
TUJUAN
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
• Sistem dapat mendeteksi apakah terdapat masukan pengguna yang dapat memicu terjadinya serangan SQL injection
• Mencegah terjadinya serangan SQL injection
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
RANCANGAN SISTEM
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Fungsionalitas Sistem
• Sistem menerima HTTP request dari client
• Sistem mendeteksi serangan SQL injection
• Sistem mencegah serangan SQL injection
• Sistem menerima HTTP response dari web server
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
ALUR SISTEM PROXY
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Memasukkan masukan pengguna
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Mengirim HTTP request
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Mendeteksi SQL injection &
Meneruskan HTTP request
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Menerima HTTP request
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Mengirim HTTP response
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Meneruskan HTTP response
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Web Server
Penyerang
Proxy ServerClient
Menerima HTTP response
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
UJI COBA
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Uji Coba Fungsionalitas
• Pengujian penerimaan HTTP request dari client
• Pengujian deteksi SQL injection
• Pengujian pencegahan SQL injection
• Pengujian penerimaan HTTP response dari web server
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Hasil Uji Coba Fungsionalitas pada Client
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Hasil Uji Coba Penerimaan HTTP Request dari Client
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Hasil Uji Coba Pendeteksian SQL Injection
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Hasil Uji Coba Pencegahan SQL Injection
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Hasil Uji Coba Penerimaan HTTP Response dari Web Server
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Uji Coba SQLMap • Pengaksesan langsung ke web (tanpa
melewati proxy)
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Uji Coba SQLMap (cont’d)
• Pengaksesan web melalui proxy
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Uji Coba Performa
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Rata-rata response time = 5914 ms
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Rata-rata response time = 195 ms
Kesimpulan 1. Semua fungsionalitas sistem sudah berjalan dengan
cukup baik sehingga sistem bisa berperan selayaknya sebuah web server sesungguhnya.
2. Sistem telah memenuhi semua kebutuhan dan menjalankan perannya dengan baik dalam mendeteksi serangan SQL injection yang dikirimkan melalui POST method.
3. Rata-rata waktu untuk menangani request GET method selama 5914 millisecond. Sedangkan POST method 5841 millisecond.
4. Waktu yang dibutuhkan sistem dalam proses pendeteksian hanya membutuhkan waktu 5 millisecond.
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Saran
1. Menggunakan library yang mampu menangani socket dan stream, agar kinerja proxy lebih baik dan optimal.
2. Memodifikasi sistem proxy, agar juga mampu menangani SQL injection yang menggunakan GET method.
3. Mengembangkan sistem proxy, agar dapat mendeteksi dan mencegah serangan SQL injection aplikasi database-driven lainnya.
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
Terima Kasih
Teknik Informatika - FTIf Institut Teknologi Sepuluh Nopember
2013
