Abstrak—Keamanan dan privasi basis data pada aplikasi web sangat beragam jenisnya untuk terhindar dari serangan. Hal ini dikarenakan banyaknya kebutuhan manusia berupa layanan yang berbasis web, seperti online banking, toko online, dan lain-lain. Salah satu jenis serangan yang sangat banyak dilakukan oleh penyerang adalah SQL injection. Dimana serangan tersebut dapat menyebabkan kerugian besar terhadap vendor komersil yang mengelola aplikasi web, dikarenakan SQL injection dapat memanipulasi basis data, bahkan sampai merusak sistem aplikasi web tersebut.

Untuk mengatasi serangan SQL injection, dibutuhkan sistem yang dapat mendeteksi dan mencegah serangan tersebut. Salah satu metode yang banyak digunakan adalah metode dinamis yang bekerja menggunakan analisis data kelemahan pada aplikasi web. Berdasarkan metode dinamis tersebut, dikembangkan algoritma SQL Injection Free (SQL-IF) untuk mencegah segala kemungkinan injeksi yang terdeteksi dan bagaimana caranya mengikuti prosedur untuk mencegah hal tersebut. Algoritma ini mendeteksi karakter spesial, kata kunci, dan karakter Boolean yang terdapat pada masukan pengguna. Sehingga penyerang tidak dapat melakukan SQL injection.

Dalam artikel ini, diajukan metode pengamanan sistem aplikasi web dari serangan SQL injection dengan menggunakan algoritma SQL-IF. Sistem ini bertindak sebagai proxy yang dapat menyaring semua masukan ketika menjalankan sebuah aplikasi web. Dari hasil uji coba, sistem ini dapat mendeteksi masukan pengguna yang dapat memicu terjadinya serangan. Sehingga serangan SQL injection dapat dicegah.

Kata Kunci—Algoritma SQL IF, Proxy, SQL Injection. I. PENDAHULUAN

ELAH keamanan pada aplikasi web sangat sering ditemukan seiring berkembangnya aplikasi-aplikasi web yang terhubung dengan basis data seperti online banking, web mail, toko online, social networks, dan sebagainya. Hal ini terjadi karena pengembang website tersebut gagal dalam merancang framework dan menulis kode program. Sehingga dibutuhkan teknik pengamanan yang tepat untuk menghindari celah-celah tersebut.

Salah satu serangan yang berbahaya adalah SQL injection. Dimana terdapat hasil sebuah riset pada tahun 2007 yang menyatakan bahwa 70% aplikasi web dengan database berisiko besar untuk diserang, dan serangan yang paling banyak dilakukan adalah SQL injection [2, 3, dan 4]. SQL injection merupakan cara mengeksploitasi celah keamanan yang ditunjukkan pada saat penyerang memasukkan nilai “string” dan karakter-karakter ke dalam instruksi SQL pada suatu aplikasi web. Dengan menggunakan perintah-perintah

SQL seperti Select, Where, Insert, Delete dan Update, seorang penyerang dapat merekonstruksi kode SQL sebenarnya dan mengeksekusi kode yang lemah terhadap aplikasi web. Pada umumnya mereka mengambil keuntungan pada kesalahan pentransmisian parameter, penggunaan jenis error handling, serta kesalahan penggunaan SQL statement, seperti („ OR ) 1 = -- ʼ).

Untuk menghindari serangan SQL injection pada aplikasi web, dibuat suatu aplikasi pendeteksi serangan SQL injection dengan menggunakan algoritma SQL Injection Free Secure (SQL-IF). Aplikasi ini dimaksudkan untuk mendeteksi dan mencegah serangan SQL injection yang dapat membuka celah keamanan lapisan basis data suatu aplikasi. Dengan menggunakan aplikasi ini, maka baik administrator maupun pengembang aplikasi web dapat terhindar dari serangan SQL injection pada aplikasi web mereka.

II. KAJIANPUSTAKA A. SQL Injection

SQL injection merupakan sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data suatu aplikasi. Dengan menggunakan perintah SQL seperti Select, Where, Insert, Delete, dan Update, seorang penyerang dapat mengubah struktur (memanipulasi) kode SQL sebenarnya dan mengeksekusi kode injeksi tersebut kedalam aplikasi web. Jika serangan ini berhasil dilakukan, penyerang dapat dengan mudah mengakses data-data yang bersifat sensitif, memodifikasi data yang terproteksi, mengeksekusi data, dan bahkan penyerang dapat merusak keseluruhan aplikasi, sehingga tidak dapat memberi layanan kepada web server.

Metode SQL injection ada bermacam-macam, yang paling umum digunakan adalah memanfaatkan kesalahan pada pentrasmisian parameter, jenis penanganan (handling), dan penggunaan kode SQL, seperti („ OR ) 1 = -- ʼ). Jenis SQL injection juga bermacam-macam, antara lain tautologi, ilegal query, UNION query, Piggy-backed query, Stored Procedures, Blind SQL, Timing Attack, Alternate Encoding, dan lain-lain [5 dan 6].

B. Protokol HTTP

HTTP atau Hypertext Transfer Protocol adalah sebuah protokol jaringan pada lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan

Pendeteksi Serangan SQL Injection

Menggunakan Algoritma SQL Injection Free

Secure pada Aplikasi Web

Rahajeng Ellysa, Muchammad Husni, dan Baskoro Adi Pratomo

Jurusan Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember

(ITS)

Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia

E-mail: husni@its.ac.id

menggunakan hipermedia. Pada umumnya, HTTP merupakan sebuah protokol yang memproses permintaan dari client dan jawaban dari server, atau sebaliknya. Protokol tersebut mengirimkan data maya (disebut resources) pada World Wide Web (WWW).

HTTP berkomunikasi melalui TCP/IP. Sebuah client HTTP seperti web browser, biasanya memulai permintaan dengan membuat hubungan ke port tertentu (biasanya port 80). Sebuah server HTTP yang mendengarkan port tersebut, menunggu client mengirimkan kode permintaan yang akan meminta halaman yang sudah ditentukan, lalu diikuti dengan pesan MIME yang memiliki beberapa informasi kode kepala yang menjelaskan permintaan tersebut dan badan pesan. C. Algoritma SQL-Injection Free Secure

Algoritma SQL Injection Free Secure (SQL-IF) ini menggunakan metode dinamis yang berfokus pada peningkatan serangan IF (Injection Free), dimana berbagai jenis tes dilakukan untuk mendeteksi SQL injection tersebut [1].

Algoritma SQL-IF dijelaskan pada diagram alir Gambar 1. Pada gambar tersebut, form-form yang terdapat dalam script HTML diberi status free dan attack (FS). Setelah itu dilakukan pendeteksian dengan menggunakan metode CheckVulnerability(f‟) untuk mendeteksi adanya celah keamanan setiap fields f’ pada suatu form.

Proses pendeteksian SQL injection dengan menggunakan algoritma SQL Injection Free Secure ini dilakukan dengan beberapa pengecekan, antara lain pengecekan karakter-karakter unik seperti {([„,&+=<><=>=])}, kata kunci SQL seperti union, selec, intersect, insert, update, delete, drop, truncate, yang terakhir adalah pengecekan pada karakter Boolean seperti 'or '|'or', 'AND‟,‟. Semua pengecekan tersebut terdapat dalam sebuah metode untuk mendeteksi SQL injection yaitu CheckVulnerability(f‟).

III. DESAINSISTEM A. Deskripsi Umum

Pada artikel ini akan dibangun suatu sistem pendeteksi dan pencegah serangan SQL injection dengan menggunakan algoritma SQL Injection Free Secure (SQL-IF). Aplikasi ini mencegah serangan SQL injection yang terdeteksi pada masukan pengguna di lapisan aplikasi web.

Aplikasi ini bekerja sebagai filter atau proxy diantara klien HTTP dan web server. Dimana setiap masukan pengguna akan disaring oleh filter tersebut menggunakan algoritma SQL-IF. Algoritma SQL-IF sendiri melakukan pengecekan adanya karakter spesial, kata kunci, dan karakter Boolean didalam masukan pengguna tersebut.

B. Arsitektur Sistem

Dalam artikel ini akan dirancang dan diaplikasikan sebuah sistem pendeteksi dan pencegah serangan SQL injection. Dimana secara garis besar memiliki rancangan arsitektur sistem yang dapat dilihat pada Gambar 1.

Web Server Penyerang

Sistem Pendeteksi & Pencegah SQL Injection Client

Gambar 1 Arsitektur Umum Sistem

Dari Gambar 1 di atas, dapat diketahui bahwa sistem berada diantara aplikasi klien atau browser dan web server. Sistem pendeteksi mengambil masukan pengguna yang terdapat pada kepala request HTTP bertipe POST, lalu dicek menggunakan algoritma SQL-IF. Masukan pengguna yang terdeteksi serangan, akan diubah isinya dengan karakter yang tidak berbahaya (contoh: karakter “/”). Sehingga web server tidak akan menerima serangan dari masukan tersebut. C. Fitur Sistem

Sistem ini memiliki empat kebutuhan fungsional yang harus dipenuhi untuk membuat sistem proxy antara lain, menerima HTTP request, mendeteksi serangan SQL injection pada request, mencegah serangan SQL injection dan memberikan HTTP response yang sesuai pada client. Menerima HTTP Request dari Client

Proses penerimaan HTTP request dari client dimulai dari terdapatnya koneksi dari server socket. Sehingga client dapat mengirim HTTP request kepada sistem melalui socket tersebut. Diagram alir proses penerimaan HTTP request dari client dapat dilihat pada Gambar 2.

Membuat Koneksi Socket Input Stream HTTP request dari Client Membaca Baris Input

Stream

Gambar 2 Diagram Alir Penerimaan HTTP Request dari Client

Mendeteksi Serangan SQL Injection

Diagram alir proses pendeteksian terdapat pada. Untuk proses pengecekan setiap field yang ada pada parameter, penjelasannya terdapat pada diagram alir. Kedua gambar tersebut merupakan satu kesatuan fungsi yang terdapat pada sistem.

HTTP request dari Client Request Method = POST Ambil Parameter Ya HTTP Request Diteruskan ke Web Server Tidak Inisialisasi Status Parameter = False Teruskan Request ke Web Server Cek Setiap Field False

Cegah Serangan True Ambil Setiap

Field

Gambar 3 Diagram Alir Pendeteksian SQL Injection

Dari diagram alir Gambar 3 dan Gambar 4, dapat dijelaskan bahwa setelah sistem mendapatkan HTTP request dari client, lalu dilakukan pengecekan terhadap request method tersebut apakah POST atau yang lain. Karena sistem ini hanya mendeteksi masukan pengguna atau parameter yang terdapat pada request method POST. Setelah itu, dilakukan dilakukan pengecekan terhadap parameter yang masuk. Pengecekan dilakukan berdasarkan ditemukannya karakter spesial, kata kunci SQL, dan karakter Boolean pada parameter. Field Dari Parameter Data Serangan yang terdeteksi pada Field Menghimpun Koleksi Karakter p Menghimpun Koleksi Keywords k Menghimpun Koleksi Karakter Boolean b

Field Berisi Parameter Berbahaya

Keluar Tidak

Ya

Gambar 4 Diagram Alir Cek Celah pada Field

Mencegah Serangan SQL Injection

Proses pencegahan ini termasuk dalam algoritma SQL-IF, setelah status parameter berubah menjadi true. Diagram alir untuk proses ini terdapat pada Gambar 5.

Status Parameter = True

Ubah Parameter Menjadi Parameter yang Tidak Berbahaya

Parameter Baru

Gambar 5 Diagram Alir Pencegahan SQL Injection

Menerima HTTP Response dari Web Server

Pada proses terakhir, HTTP response yang dikirimkan oleh web server dapat diterima sistem dan diteruskan kepada client yang meminta respon tersebut. Gambar 6 memperlihatkan diagram alir untuk proses penerimaan HTTP response dari web server.

Buat input stream dari socket ke server

Buat output stream dari socket ke client

Input Stream memiliki data

Ambil data dari input stream Kirim data ke client

melalui output stream

Keluar Tidak

Ya

Gambar 6 Diagram Alir Penerimaan HTTP Response

IV. IMPLEMENTASI

A. Implementasi Penerimaan HTTP Request dari Client Proses pertama dalam sistem ini adalah menerima HTTP request dari client. HTTP request akan selalu diterima oleh sistem setiap kali ada koneksi dari client yang terhubung.

Implementasi dari proses ini, dimulai dari pembuatan server socket pada sisi sistem. Lalu proses penerimaan HTTP request dari client terjadi setiap kali ada koneksi pada port 80 (port standar protokol HTTP) pada server. Baris input stream yang dimasukkan oleh client akan dibaca oleh sistem. Di dalam HTTP request terdapat banyak data yang mungkin dikirimkan client, antara lain Host, Cookies, Method, dan juga parameter data.

B. Implementasi Pengecekan HTTP Request Method Dari HTTP request yang sudah didapat, dilakukan pengecekan request method yang digunakan oleh client dikarenakan metode untuk menangani setiap request method bisa jadi berbeda. Request method berada pada baris pertama dari setiap HTTP request. Oleh karena itu isi dari baris pertama dianggap mengandung request method.

C. Implementasi Pengambilan Data Masukan pada Parameter POST

Data masukan pengguna terdapat dalam parameter POST diperlukan untuk melakukan pendeteksian terhadap serangan SQL injection. Masukan pengguna tersebut diambil dari message body yang terdapat pada POST request.

D. Implementasi Pendeteksian SQL Injection

Untuk melakukan pendeteksian serangan SQL injection yang terdapat pada parameter POST, dilakukan pengambilan masukan pengguna atau field dari parameter tersebut. Terdapat 2 fungsi dalam algoritma SQL-IF yaitu, fungsi untuk mengambil field pada parameter POST dan fungsi pengecekan serangan.

Fungsi pengambilan field pada parameter POST, dilkukan dengan cara mengambil setiap string masukan pengguna yang terdapat paameter tersebut. Sedangkan fungsi pengecekan serangan SQL injection, berguna untuk mengecek apakah didalam field tersebut berisi parameter berbahaya yang dapat memicu serangan SQL injection. Parameter berbahaya tersebut antara lain, karakter spesial seperti {([„,&+=<><= >=])}, kata kunci SQL seperti union, select, intersect, insert, update, delete, drop, truncate, serta karakter Boolean („ or „|‟or‟|‟AND‟|‟and‟). Jika field berisi satu atau lebih dari parameter-parameter berbahaya tersebut, maka parameter akan dimasukkan ke dalam koleksi data yang berbahaya dan status dari form atau parameter diubah sebagai true atau serangan.

E. Implementasi Pencegahan SQL Injection

Setelah melakukan pendeteksian terhadap parameter dan didapat status parameter berupa serangan, maka dilakukan pencegahan serangan tersebut. Pencegahan dilakukan dengan cara mengganti isi dari masukan pengguna yang terdapat pada parameter dengan masukan yang tidak berbahaya. Sehingga parameter tersebut dapat dikirim ke web server sebagai parameter yang tidak berbahaya.

F. Implementasi Penerimaan HTTP Response dari Web Server

Salah satu kebutuhan fitur sistem yang harus dipenuhi adalah sistem harus mampu meneruskan HTTP request dari client kepada web server dan juga meneruskan HTTP response dari web server kepada client. Hal ini dikarenakan sistem berperan seolah-olah dirinya adalah sebuah web server dihadapan client. Oleh karena itu sistem harus mampu meneruskan HTTP request dari client untuk diberikan respon oleh web server, lalu meneruskan respon tersebut ke client. Kedua fungsionalitas ini diimplementasikan pada fungsi forward().

V. UJICOBADANEVALUASI A. Uji Coba Penerimaan HTTP Request dari Client

Uji coba ini dilakukan ketika ada koneksi dari client, lalu sistem akan menerima HTTP request yang dikirim. Proses ini bertujuan untuk mendapatkan keterangan request client yang akan diproses oleh web server.

Pada Gambar 7 menunjukkan isi HTTP request dari client yang menggunakan GET method. Sedangkan Gambar 8 menunjukkan isi HTTP request dari client yang menggunakan POST method. Kedua gambar menunjukkan

sistem sudah mampu menerima HTTP request dari client yang nantinya akan diteruskan ke web server.

Gambar 7 HTTP Request dari Client dengan GET Method

Gambar 8 HTTP Request dari Client dengan POST Method

B. Uji Coba Pendeteksian Serangan SQL Injection

HTTP request yang dikirimkan client dapat dibagi menjadi dua jenis yaitu request normal yang akan dikirimkan ke web server dan resquest yang mengandung SQL injection. Untuk request yang mengandung SQL injection maka nantinya request akan diproses dengan algoritma SQL-IF untuk mencegah serangan tersebut terjadi. Uji coba ini dilakukan untuk mengetahui kemampuan sistem dalam mengenali serangan SQL injection.

Hasil uji coba menunjukkan bahwa sistem sudah mampu mendeteksi serangan SQL injection. Contohnya pada proses login aplikasi web, yang mengirimkan data username dan password yang digunakan untuk melakukan query pada basis data.

Gambar 9 Pendeteksian Parameter yang Tidak Berbahaya

Sistem mampu mendeteksi bahwa HTTP request pada Gambar 9 merupakan HTTP request yang mengandung SQL injection dan ditemukan operator-operator berbahaya di dalam parameter.

C. Uji Coba Pencegahan Serangan SQL Injection

Parameter yang terdeteksi sebagai serangan dari proses sebelumnya akan dicegah, sehingga parameter tersebut tidak akan berbahaya jika diteruskan ke web server.

Gambar 10 Hasil Pencegahan Serangan SQL Injection pada Parameter

Pada Gambar 10 dapat dilihat dengan kondisi HTTP request yang dapat menyebabkan serangan SQL injection sudah diganti dengan parameter yang tidak berbahaya. Parameter tersebut diganti dengan ditambahkan karakter “/&” diawal dan diakhir field.

D. Uji Coba Penerimaan HTTP Response dari Web Server HTTP response yang nantinya dikirimkan kembali ke client bukan dihasilkan oleh aplikasi proxy, melainkan oleh web server sesuai dengan request yang dikirimkan client. Oleh karena itu, perlu dilakukan pengujian kemampuan sistem untuk menerima HTTP response dari web server yang nantinya akan diteruskan ke client.

Gambar 11 HTTP Response Web Server

Pada Gambar 11 dapat dilihat dengan kondisi HTTP request yang tidak berbahaya dan sistem mampu meneruskan request dengan baik kepada web server. Hal ini dibuktikan dengan HTTP response yang diterima dari web server.

Untuk pengujian HTTP response, juga dilakukan dari sisi client. Dalam hal ini, web browser mengakses http://192.168.56.1/mutillidae/index.php?page=login.php tanpa dan dengan melewati sistem proxy. Pada halaman web tersebut, akan terlihat web form login untuk mengisi username dan password pengguna. Web form tersebut diisi dengan masukan pengguna yang berbahaya (contoh: „ OR ) 1 = -- ʼ). Dan pada Gambar 12, menunjukkan halaman pengguna “Admin”, setelah penyerang mengirim masukan berbahaya tersebut. Hal ini menunjukkan bahwa aplikasi web Mutillidae tersebut lemah terhadap serangan SQL injection. Sehingga penyerang dapat melakukan pengeksploitasian terhadap web itu sendiri.

Sedangkan pada Gambar 13, menunjukkan hasil penginjeksian masukan pengguna yang berbahaya pada aplikasi web yang sama, tetapi dilewatkan ke sistem proxy. Sehingga, penyerang tidak dapat masuk ke dalam sistem aplikasi web tersebut.

Gambar 12 Halaman Pengguna "Admin"

Gambar 13 Halaman Login Setelah Dilakukan Penginjeksian

E. Uji Coba SQLMap

Pada uji coba ini dilakukan pengaksesan sistem dengan menggunakan perangkat lunak SQLMap sebagai client. Uji coba dilakukan dengan 2 skenario. Yang pertama SQLMap mengakses web server langsung dengan paramteter yang berbahaya, sedangkan yang kedua SQLMap mengakses web server dengan melewati proxy server.

Untuk pengujian SQLMap, dilakukan dengan mengakses halaman Login kepada web server terlihat pada Gambar 13. Gambar 12 menunjukkan hasil akhir pengujian, dimana SQLMap dapat mengakses basis data aplikasi web dengan menggunakan parameter berbahaya.

Sedangkan untuk pengujian SQLMap dengan mengakses web server melalui proxy server, terlihat pada Gambar 13. Parameter yand dimasukkan dalam hal ini merupakan parameter yang berbahaya. Jadi, username dan password yang terdeteksi oleh sistem tidak dapat diinjeksi. Ini membuktikan bahwa sistem berhasil dijalankan.

Gambar 14 Hasil Pengujian SQLMap Mengakses Web Server dengan Parameter Berbahaya

Gambar 15 Pengujian SQLMap Mengakses Web Server Melewati Sistem dengan Username Berbahaya

F. Uji Coba Performa

Uji coba performa ini dilakukan untuk mengetahui kehandalan sistem dari sisi response time setiap kali menangani request. Metode penghitungan response time menggunakan dua cara yaitu dari sisi aplikasi pendeteksi dengan menghitung waktu yang dibutuhkan sistem dalam millisecond untuk menangani setiap request mulai dari awal request tersebut diterima hingga setelah selesai mengirimkan response kepada client. Kemudian juga dihitung response time dari sisi client menggunakan perangkat lunak Firebug.

Pengujian ini menggunakan sebuah web browser sebagai client untuk melakukan pengaksesan secara langsung URL http://192.168.56.1/mutillidae. Hasil uji coba menunjukkan bahwa sistem membutuhkan rata-rata sekitar 5914 millisecond untuk menangani setiap request yang menggunakan GET method dan grafiknya dapat dilihat pada Gambar 14.

Gambar 16 Grafik Hasil Uji Coba Response Time GET Method

Gambar 17 Grafik Perbandingan Response Time Proxy

Untuk mengetahui performa sistem proxy yang dibuat dalam artikel ini, dilakukan pengujian performa yang

membandingkan response time sistem proxy ini dengan proxy yang lain. Dimana sistem proxy ini dibuat pada perangkat yang sama dengan client. Setelah mengonfigurasi client agar dapat dilewatkan ke sistem proxy, pengujian dilakukan dengan mengakses halaman web Mutillidae.

Grafik perbandingan tersebut dapat dilihat pada Gambar 17. Dari gambar tersebut, didapat waktu yang digunakan sistem proxy lain untuk menangani request lebih cepat dari sistem proxy yang dibuat dalam artikel ini.

VI. KESIMPULAN

Dari hasil pengamatan selama perancangan, implementasi, dan proses uji coba perangkat lunak yang dilakukan, penulis mengambil kesimpulan sebagai berikut:

1. Dari hasil uji coba fungsionalitas pada sistem pendeteksi dan pencegah serangan SQL injection, semua fungsionalitas sistem sudah berhasil berjalan sehingga sistem bisa berperan selayaknya sebuah web server sesungguhnya.

2. Dari hasil uji coba dapat disimpulkan sistem telah memenuhi semua kebutuhan dan menjalankan perannya dengan baik dalam mendeteksi serangan SQL injection yang dikirimkan melalui POST method.

3. Dari hasil uji coba didapatkan rata-rata waktu yang dibutuhkan sistem dalam menangani setiap request pada GET method selama 5914 ms, sedangkan pada POST method dibutuhkan rata-rata waktu selama 5841 ms. Dan untuk proses pendeteksian hanya membutuhkan waktu 5 ms. Hal ini menunjukkan algoritma sudah berhasil dijalankan dan tidak memberatkan sistem proxy secara keseluruhan, tetapi masih belum bisa berjalan secara cepat seperti halnya respon dari web server pada umumnya.

UCAPANTERIMAKASIH

Penulis R.E. mengucapkan terima kasih kepada Tuhan Yang Maha Esa, kedua orangtua dan keluarga penulis, kedua dosen pembimbing, seluruh dosen dan kepala jurusan Teknik Informatika, teman-teman Teknik Informatika angkatan 2009, serta berbagai pihak yang telah membantu penulis dalam menyelesaikan artikel ini.

DAFTARPUSTAKA

[1] N. Kanchana, S. Sarala, Generation of SQL-injection Free Secure Algorithm to Detect and Prevent SQL-injection Attacks, Procedia Technology, Elsevier Ltd, 2011, pages: 790-796.

[2] Shaukat Ali, Azhar Rauf, Huma Javed, SQLIPA: An Authentication Mechanism against SQL Injection, European Journal of Scientific

Research, 2009, Vol.38, pages: 604-611.

[3] Ivano Alessandro Elia, José Fonseca, Marco Vieira, Comparing SQL Injection Detection Tools Using Attack Injection: An Experimental Study, 21st IEEE International Symposium on Software Reliability

Engineering, 2010, pages: 289-298.

[4] J. Park, B. Noh, SQL injection attack detection: profiling of web application parameter using the sequence pairwise alignment,

Journal of Information Security Applications, LNCS, 2007, vol.

4298, pages: 74-82.

[5] W. Halfond, A. Orso, AMNESIA: Analysis and Monitoring for Netralizing SQL-Injection Attacks, 2005.

[6] OWASP. SQL Injection [Internet]. 2009 [diperbaharui pada 3 Februari 2009; disitat pada 28 Juni 2013]. Bisa diakses pada: https://www.owasp.org/index.php/SQL_Injection.