Sejarah SQL Injection

Sejarah SQL Injection

Sejarah SQL dimulai dari artikel seorang peneliti dari IBM bernama EF Codd yang membahas tentang ide pembuatan basis data relasional pada bulan Juni 1970. Artikel ini juga membahas kemungkinan pembuatan bahasa standar untuk mengakses data dalam basis data tersebut. Bahasa tersebut kemudian diberi nama SEQUEL (Structured English Query Language). Setelah terbitnya artikel tersebut, IBM mengadakan proyek pembuatan basis data relasional berbasis bahasa SEQUEL. Akan tetapi, karena permasalahan hukum mengenai penamaan SEQUEL, IBM pun mengubahnya menjadi SQL. Implementasi basis data relasional dikenal dengan System/R. Di akhir tahun 1970-an, muncul perusahaan bernama Oracle yang membuat server basis data populer yang bernama sama dengan nama perusahaannya. Dengan naiknya kepopuleran Oracle, maka SQL juga ikut populer sehingga saat ini menjadi standar de facto bahasa dalam manajemen basis data. Standarisasi SQL dimulai pada tahun 1986, ditandai dengan dikeluarkannya standar SQL oleh ANSI. Standar ini sering disebut dengan SQL86.Standar tersebut kemudian diperbaiki pada tahun 1989 kemudian diperbaiki lagi pada tahun 1992. Versi terakhir dikenal dengan SQL92. Pada tahun 1999 dikeluarkan standar baru yaitu SQL99 atau disebut juga SQL99, akan tetapi kebanyakan implementasi mereferensi pada SQL92. Saat ini sebenarnya tidak ada server basis data yang 100% mendukung SQL92. Hal ini disebabkan masing-masing server memiliki dialek masing-masing. Secara umum, SQL terdiri dari dua bahasa, yaitu Data Definition Language (DDL) dan Data Manipulation Language (DML). Implementasi DDL dan DML berbeda untuk tiap sistem manajemen basis data (SMBD)[1], namun secara umum implementasi tiap bahasa ini memiliki bentuk standar yang ditetapkan ANSI. Artikel ini akan menggunakan bentuk paling umum yang dapat digunakan pada kebanyakan SMBD.

Berikut merupakan beberapa berita mengenai SQL Injection :

Pembobol Situs KPU pada pemilu 2004 ditangkap

Aparat Satuan Cyber Crime Direktorat Reserse Khusus
Kepolisian Daerah Metro Jaya telah menangkap Dani Firmansyah (25), yang
diduga kuat sebagai pelaku yang membobol situs (hacker) di Pusat Tabulasi
Nasional Pemilu Komisi Pemilihan Umum (TNP KPU).
Kepada polisi, Dani mengaku meng-hack situs tersebut hanya karena ingin
mengetes keamanan sistem keamanan server tnp.kpu.go.id, yang disebut-sebut
mempunyai sistem pengamanan berlapis-lapis.

“Motivasi tersangka melakukan serangan ke website KPU hanya untuk
memperingatkan kepada tim TI KPU bahwa sistem TI yang seharga Rp 125 miliar
itu ternyata tidak aman. Tersangka berhasil menembus server tnp.kpu.go.id
dengan cara SQL Injection,” kata Kepala Polda Metro Jaya Inspektur Jenderal
Makbul Padmanagara. Ia didampingi Kepala Bidang Humas Komisaris Besar
Prasetyo dan Direktur Reserse Kriminal Khusus Komisaris Besar Edmond Ilyas.
Meski perbuatan itu hanya iseng, kata Makbul, polisi tetap menilai tindakan Dani
telah melanggar hukum. “Kalau kita mempunyai keahlian tertentu, janganlah
disalahgunakan untuk melakukan pelanggaran hukum. Lebih baik datang ke KPU.
Bilang, ’Pak, ini masih bisa ditembus’. Itu akan jauh lebih bermanfaat,” tutur
Makbul.

Saat diperiksa polisi , Dani tampak ditemani ibunya. Dani tidak banyak
bicara, tapi sempat tertawa ketika ditanya wartawan mengenai keahliannya menghack
sebuah situs di internet. Suara tawanya seperti tawa anak nakal yang
kepergok sedang berbuat jahil.

Menurut ibunya, Dani mempelajari teknologi komputer sejak kelas satu
SMU. “Belajar secara otodidak, tidak sekolah khusus komputer atau kursus,” kata
sang ibu, yang enggan menyebut namanya.

Selain kuliah, Dani bekerja sebagai konsultan teknologi informasi (TI) di PT
Danareksa di Jalan Merdeka Selatan, Jakarta, dengan gaji Rp 3 juta per bulan.
Untuk itu, ia harus bolak balik Jakarta-Yogya. Paling tidak satu minggu sekali ia
harus ke Jakarta untuk melaksanakan kontrak kerjanya dengan PT Danareksa.
Dalam meng-hack TNP KPU, Dani pun memanfaatkan fasilitas PT Danareksa.
Pada Jumat 16 April, Dani mencoba melakukan tes sistem sekuriti kpu.go.id
melalui XSS (cross site scripting) dengan menggunakan IP Public PT Danareksa
202.158.10.117, namun dilayar keluar message risk dengan level low (website
KPU tidak dapat ditembus atau dirusak).

Hari Sabtu, 17 April 2004 pukul 03.12,42, Dani mencoba lagi menyerang
server tnp.kpu.go.id dengan cara SQL Injection dan berhasil menembus IP
tnp.kpu.go.id 203.130.201.134, serta berhasil meng-up date daftar nama partai
pada pukul 11.23,16 sampai pukul 11.34,27. Teknik yang dipakai Dani dalam
meng-hack yakni melalui teknik spoofing (penyesatan). Dani melakukan hacking
dari IP public PT Danareksa 202.158.10.117, kemudian membuka IP Proxy
Anonymous Thailand 208.147.1.1 lalu msuk ke IP tnp.kpu.go.id 203.130.201.134,
dan berhasil membuka tampilan nama 24 partai politik peserta pemilu.
Menurut polisi, Dani juga mengubah hasil perolehan suara dengan cara
perolehan suara dikalikan 10. Tetapi upaya itu tidak berhasil, karena field jumlah
suara tidak sama dengan field yang Dani tulis dalam sintaks penulisan.
Menurut Kepala Polda Metro Jaya, pengungkapan kasus pembobolan situs
KPU ini merupakan keberhasilan Satuan Cyber Crime yang menonjol sejak dua
tahunan satuan tersebut terbentuk. “Sebetulnya, banyak kasus cyber crime yang
sudah diungkap, namun baru kasus ini yang mendapat sorotan publik cukup besar.
Keberhasilan kami juga dibantu instansi lain seperti KPU dan telekomunikasi,”
tutur Makbul.

Ia menambahkan, karena undang-undang tentang cyber crime belum ada,
tersangka Dani dikenakan UU Nomor 36 Tahun 1999 tentang Telekomunikasi.
Salah satu pasal yang disangkakan adalah Pasal 50, yang ancamannya pidana
penjara paling lama enam tahun dan atau denda paling banyak Rp 600 juta.

Mahasiswa Amikom Bobol Website Polri Ditahan di Mabes

SLEMAN - Kepolisian Republik Indonesia (Polri) kecolongan. Website korps penegak hukum ini dibobol seorang mahasiswa. Adalah Andi Kurniawan alias Fandiekun, 22, yang diduga melakukan tindakan hacking di website Mabes Polri pada 11 Mei 2011. Kasus itu ditangani langsung Bareskrim Polri Direktorat Tindak Pidana Ekonomi dan Khusus. Berkas perkara telah dilimpahkan ke Kejaksaan Agung dan telah diteruskan ke Kejaksaan Negeri (Kejari) Sleman. “Berkas perkara baru kami terima Rabu (27/7) kemarin berikut tersangka. Saat ini kami masih pelajari berkas ini,” ujar Kepala Kejaksaan Negeri (Kajari) Sleman Juniman Hutagaol, kemarin (28/7).
Untuk menindaklanjuti perkara itu, Juniman mengaku telah membentuk tim jaksa. Tim ini ditugaskan secara khusus kasus ini. “Saya beri waktu beberapa hari bagi tim jaksa untuk dipelajari berkas dulu dan secepatnya akan dilimpahkan ke Pengadilan Negeri Sleman untuk disidangkan,” lanjutnya.

Sesuai berkas perkara pemeriksaan (BAP), nomor BP/21/VII/2011/Dit Tipideksus, mahasiswa jurusan Teknik Informatika, STIMIK Amikom Jogjakarta itu didakwa melakukan pelanggaran pasal 167 ayat (1) KUHP, pasal 50 jo Pasal 22 huruf b UU RI Nomor 36 Tahun 1999 tentang Telekomunikasi.

Selain itu, Andi juga dijerat dengan pasal 46 ayat (1), ayat (2), dan ayat (3) jo Pasal 30 ayat (1), ayat (2), dan (3) UU RI Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE). ”Sejak berkasa perkara dilimpahkan ke Kejari Sleman, tersangka ditahan di Lapas Cebongan. Masa penahanan terhitung sejak 27 Juli hingga 15 Agustus 2011,” terang Juniman, tersangka asal dusun Ngestirejo, Karanganom, Klaten itu disebut telah melakukan hacking pada server website Polri beralamat www.polri.go.id menggunakan komputer miliknya. Proses hacking dilakukan di tempat kos mahasiswa angkatan 2009 itu di Jalan Madukoro, No 48, Pringgolayan, Condongcatur, Depok, Sleman. Aksi diketahui pada Senin (16/5) setelah seorang anggota menemukan adanya server yang berada di ruang data center Rotekinfo Polri di gedung TNCC lantai IV rusak.
Website yang berisikan informasi tentang Kepolisian Republik Indonesia itu berubah tampilannya. Tampilan website menjadi gambar dua orang yang salah satunya memegang bendera dan bertuliskan kata-kata seruan jihad. ”Atas dugaan tersebut, pelaku lantas ditangkap pada 2 Juni 2011 dengan sura perintah penangkapan Nomor SP. Kap/18/VI/2011/Dit Tipideksus,” paparnya.

Pelaku lantas ditahan di rumah tahanan Bareskrim Polri sejak 3 Juni 2011. Berdasarkan surat direktur Tindak Pidana Ekonomi dan KhususBareskrim Polri, dilakukan perpanjangan masa penahanan kepada kejaksaan Agung RI.
Juniman menjelaskan Pada BAP, tersangka mengaku pernah masuk ke dalam website menggunakan software dengan nama “HAVIJ”. Sofware tersebut didapat dengan mendownload di internet secara gratis. Software itu untuk membantu melihat isi database Polri. ”Dia mengaku melakukan hack sekitar pukul 02.33 dengan menggunakan jaringan local area network yang ada dalam kamar kosnya,” terangnya. (yog)

Tweet

Subscribe to receive free email updates: