Dokumen tersebut membahas tentang SQL injection dan cross-site scripting. SQL injection adalah teknik mengeksploitasi aplikasi web dengan memanfaatkan input data dari klien untuk menjalankan skrip SQL, sedangkan cross-site scripting adalah serangan yang menyisipkan kode jahat ke halaman web untuk mengakses informasi pengguna. Dokumen ini juga menjelaskan teknik, dampak, dan contoh kasus dari kedua serangan tersebut.

1. Kelompok II
Agung Pradana Iskandar
Yode Arliando
Prahasti
Venny Novita Sari
Hari Aspriyono
MATA KULIAH : KOMPUTER SEKURITI
Dosen Pengampu: Dr. Rusdianto

2. Pengertian SQL Script Injection dan
Cross-Site Scripting
Sebelum menjelaskan teknik atau mekanisme kedua
serangan tersebut, kemi akan menjelaskan terlebih
dahulu pengertian dari masing-masing serangan.
SQL Script Injection adalah sebuah teknik untuk mengeksplorasi
aplikasi web dengan memanfaatkan suplai data dari client
dalam sintak atau script SQL.
Cross-Site Scripting atau XSS merupakan sejenis serangan yang
ditujukan ke pengguna lainnya. Serangan ini tidak akan
memberikan akses root ataupun system dalam server web,
serangan ini hanya berusaha mendapatkan informasi yang
berkaitan dengan aplikasi web yang digunakan. Aplikasi web
ini dapat berupa aplikasi email berbasiskan web, forum online
atau situs e-shopping.

3. Teknik atau Mekanisme SQL Script
Injection
Teknik atau mekanisme SQL Script Injection dimulai dari
pencarian target yaitu berupa halaman web yg memiliki
submit data seperti login atau web yang memiliki
parameter url tertentu seperti “id=”, tes vulnerabilitas
pada form submit data atau Url dengan menambahkan
karakter tertentu biasanya karakter (‘), Menentukan
jumlah kolom untuk mengetahui kolom tabel pada
database, mencari kolom yang Vulnerable untuk
memasukkan SQL Script Injection, menentukan nama
database untuk menelusuri seluruh kolom dan data yang
ada, menemukan nama tabel untuk mencari data
tertentu, mencari nama kolom seperti username dan
password serta menampilkan isi data yang diperlukan.

4. Gambar SQL Script Injection

5. Teknik atau Mekanisme Cross-Site
Scripting
Ada tiga hal yang berkait dan dapat disusun sebagai
sebuah anatomi serangan XSS yaitu penemuan,
serangan, dan eksploitasi.
Penemuan Titik Rawan Aplikasi
Serangan XSS berdampak pada ketidaksempurnaan
aplikasi berbasis web dan bermuasal pada masukan
pengguna (user) yang tidak begitu baik dibersihkan pada
penggunaan karakter HTML. Hal ini dapat
memungkinkan penyerang menyisipkan kode HTML
tambahan dimana mereka dapat mengendalikan
eksekusi pada halaman tersebut dibawah izin yang
diberikan oleh situs itu sendiri.

6. Serangan
Sekali masukan rawan teridentifikasi pada metode HTTP
yang bergantung pada fasilitas protokol HTTP, maka
aktivitas serangan dapat dilakukan baik dengan metode
GET, POST dan metode lainnya.
Penyisipan dengn metode GET merupakan cara termudah
tapi juga sering dijumpai. Karena pengguna cukup banyak
mengerti akan adanya pengarahan ulang (redirection) atau
adanya pemanggilan alamat lain yang tampak pada
tabulasi alamat (address bar). Metode cukup dilihat pada
URI dan biasanya tercatat di server HTTP. Contoh
serangan dengan metode ini dapat dilihat seperti berikut:
http://www.microsoft.com/education/?ID=MCTN&target
=http://www.microsoft.com/education/?ID=MCTN&targe
t="><script>alert(document.cookie)</script>

7. Eksploitasi
Setelah melakukan serangan, penyerang dapat
melakukan eksploitasi atas situs web yang menjadi
target. Umumnya dilakukan dengan membajak sesi
koneksi dari korban dan melakukan aksi seperti
layaknya si korban mengakses situs web target.
Kerugian yang muncul dapat merugikan situs web itu
sendiri ataupun korban. Setelah eksploitasi ini, sesi
serangan XSS dapat dikatakan telah sempurna.

8. Gambar untuk Cross-Site Scripting

9. Kerusakan Yang Terjadi Akibat
SQL Script Injection
Kerusakan yang terjadi akibat SQL Script
Injection adalah data pada database aplikasi
website dapat di baca, dimanfaatkan dan
dirubah oleh Attacker.
Sistem autentifikasi seperti Login dapat di
bypass oleh Attacker.

10. Kerusakan Yang Terjadi Akibat
Cross-Site Scripting
Kerusakan yang terjadi akibat Cross-Site
Scripting adalah keamanan yang dapat
dibypass, dibajaknya informasi yang sensitif,
aplikasi web dapat disisipi aplikasi
berbahaya seperti trojan.

11. Perbedaan SQL Script Injection
dengan Cross-Site Scripting
Perbedaan SQL Script Injection dan Cross-Site Scripting
dapat dilihat dari script yang digunakan dimana SQL
Script Injection menggunakan Script / Bahasa SQL untuk
menelusuri isi data dalam database. Sedangkan pada
Cross-site scripting menggunakan menggunakan Client
Side Scripting atau skrip yang berjalan di sisi client
seperti html, javascript, bahkan flash script.
Selain itu dilihat dari sisi hasil serangan, jika SQL Script
Injection hanya menguasai database, sedangkan Cross-site
scripting selain dapat menguasai data pada
database juga dapat menguasai aplikasi sampai dapat
memasukkan aplikasi berbahaya seperti trojan pada web
server.

12. Contoh SQL Script Injection dan
Kerusakan Yang Ditimbulkan
 Pada Tanggal 11 Mei 2011 : Andi Kurniawan
(Mahasiswa STIMIK Amikom Jogjakarta)
melakukan tindakan hacking dengan teknik SQL
Script Injection di website Mabes Polri
Kerusakan:
Website yang berisikan informasi tentang
Kepolisian Republik Indonesia itu berubah
tampilannya. Tampilan website menjadi gambar
dua orang yang salah satunya memegang
bendera dan bertuliskan kata-kata seruan jihad.

13. Contoh Cross-Site Scripting dan
Kerusakan Yang Ditimbulkan
 Pada tanggal 15 April 2004 silam, seorang peretas
kawakan dengan inisial Xnuxer atau juga kadang dikenal
dengan nama Schizoprenic berhasil temukan lubang di
situs TNP-KPU.
Dia melakukan uji coba terhadap sistem keamanan di situs
Tnp.Kpu.go.id dengan menggunakan XSS (cross site
scripting) dari IP 202.158.10.117.
Kerusakan:
Nama-nama partai yang ada di dalam database TNP-KPU
dengan nama buah-buahan. Akhirnya, pada tanggal 21
April 2004 pukul 14.30 WIB, dia tangkap Satuan Cyber
Crime Direktorat Reserse Khusus Kepolisian Daerah Metro
Jaya dan resmi di tahan pada tanggal 24 April 2004 sekitar
pukul 17:20 di Jakarta.