Peneliti keamanan David Litchfield telah merilis rincian teknis dari jenis serangan baru yang membuat seorang hacker dapat mengakses database Oracle.
Teknik tersebut dinamakan dengan lateral SQL injection , si penyerang bisa mendapatkan wewenang sebagai database administrator pada sebuah server Oracle yang dengannya dia bisa merubah dan menghapus data ataupun menginstall software, ungkap Litchfield dalam sebuah wawancara pada hari Kamis.
Litchfield pertama kali mengungkapkan jenis serangan seperti ini pada konferensi Black Hat di Washington Februari kemarin, tetapi pada hari Kamis kemarin ia mengumumkan sebuah tulisan lengkap dengan tekniknya secara rinci.
Di SQL injection, penyerang membuat sebuah istilah pencarian yang khusus yang bisa menipu database untuk menjalankan perintah-perintah SQL. Sebelumnya, para ahli keamanan beranggapan bahwa SQL injections hanya dapat bekerja jika si penyerang menginput karakter string ke dalam database, tapi Litchfield menunjukkan kalau penyerangan bisa dilakukan dengan menggunakan tipe data baru yang dikenal dengan tipe data angka dan tanggal.
Serangan yang disebutkan Litchfield mentargetkan Procedural Language/Bahasa pemrograman SQL yang digunakan oleh pengembang Oracle.
Dalam database hacker, Litchfield dikenal sebagai peneliti yang mengumumkan tentang rincian 'bug' di SQL Slammer worm 2003, yang mentargetkan Server database Microsoft SQL .
Litchfield belum yakin bagaimana perluasan kelemahan lateral SQL injection ini, tapi dia memperkirakan serangan seperti ini akan mampu membuat kerusakan yang cukup serius dalam beberapa skenario.
"Jika saja kebetulan anda menggunakan Oracle dan anda menulis sendiri aplikasi didalamnya maka iya anda pun akan menuliskan kode yang mudah diserang. Langit belum akan runtuh ... tapi hal ini patut membuat kita waspada."
Programmer database harus meninjau ulang kode yang mereka buat untuk memastikan semua data diproses dengan sesuai dan tidak bisa 'disuntik' perintah-perintah SQL, ungkapnya.
Oracle tidak menanggapi penemuan ini.
wah manteb neh infonya ..salam kenal
ReplyDelete