Cara pencegahan SQL INJECTION
Batasi panjang input box (jika memungkinkan), dengan cara
membatasinya di kode program, jadi si cracker pemula akan bingung
sejenak melihat input box nya gak bisa diinject dengan perintah yang
panjang.
Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika ” menggunakan low privilege user di SQL Server Security tab.
referensi : Budi Raharjo, ”Keamanan Sistem Informasi Berbasis Internet”,SanaPoker.com JUDI POKER, AGEN POKER, AGEN JUDI POKER ONLINE INDONESIA TERPERCAYA PT Insan Indonesia & PT INDOCISC, Jakarta,2002.
CROSS SCRIPTING
Cross site scripting adalah kelemahan keamanan yang
terjadi pada penggunaan teknologi dynamic page. Cross site scripting
dapat diartikan sebagai kelemahan yang terjadi akibat ketidakmampuan
server dalam memvalidasi input yang diberikan oleh pengguna. Algoritma,
yang digunakan untuk pembuatan halaman yang diinginkan, tidak mampu
melakukan penyaringan terhadap masukkan tersebut. Hal ini memungkinkan
halaman yang dihasilkan menyertakan perintah yang sebenarnya tidak
diperbolehkan.
Cross site scripting merupakan
kelemahan yang populer untuk dieksploitasi. Namun sayangnya, banyak
penyedia layanan yang tidak mengakui kelemahan tersebut dan melakukan
perubahan pada sistem yang mereka gunakan. Citra penyedia layanan
merupakan harga yang dipertaruhkan ketika mereka mengakui kelemahan
tersebut. Sayangnya dengan tindakan ini konsumen atau pengguna menjadi
pihak yang dirugikan.
Cara Kerja Cross Site Scripting
Cross site scripting bekerja bak penipu dengan kedok yang
mampu mengelabui orang yang tidak waspada. Elemen penting dari
keberhasilan cross site scripting adalah social engineering yang baik
dari si penipu. Social engineering merupakan elemen terpenting yang
menentukan keberhasilan penipuan yang akan dilakukan. Cross site
scripting memampukan seseorang yang tidak bertanggungjawab melakukan
penyalahgunaan informasi penting. Sebelum sampai pada proses
penyalahgunaan tersebut, penyerang mengambil langkah-langkah dengan
mengikuti pola tertentu. Langkah pertama, penyerang melakukakan
pengamatan untuk mencari web-web yang memiliki kelemahan cross site
scripting. Langkah kedua, sang penyerang mencari tahu apakah web
tersebut menerbitkan informasi yang dapat digunakan untuk melakukan
pencurian infomasi lebih lanjut. Informasi tersebut biasanya berupa
cookie. Langkah kedua ini ituDomino.com JUDI DOMINO, AGEN DOMINO, AGEN JUDI DOMINO ONLINE INDONESIA TERPERCAYA tidak selalu dijalankan. Langkah ketiga, sang
penyerang membujuk korban untuk mengikuti sebuah link yang mengandung
kode, ditujukan untuk mendapatkan informasi yang telah disebutkan
sebelumnya. Kemampuan social engineering dari sang penyerang diuji
disini. Setelah mendapatkan informasi tersebut, sang penyerang melakukan
langkah terakhir, pencurian maupun pengubahan informasi vital.
memungkinkan. Ubah “Startup and run SQL Server
14.02 |
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar