Optimasi Serangan Blind NoSQL Injection Dengan Pendekatan Algoritma Binary Search
DOI:
https://doi.org/10.32664/j-intech.v11i2.980Kata Kunci:
informasi, blind noSQL injection, noSQL, binary search, database securityAbstrak
NoSQL Injection adalah salah satu jenis serangan pada Database Management System (DBMS) NoSQL. Serangan ini dapat dimaanfaatkan oleh attacker dengan cara mengirim request arbitrary code ke server database. Apabila server memberikan respon error query atau query tidak valid, attacker akan melakukan manipulasi pada query. Proses melakukan Blind NoSQL Injection itu cukup rumit. Akibatnya, Pentester seringkali membutuhkan waktu yang lama untuk dapat memperoleh informasi dan menembus server database. Berdasarkan permasalahan tersebut, penelitian ini akan memberikan solusi dengan mengembangkan tool untuk mengotomasi serangan Blind NoSQL Injection. Hasil penelitian ini menunjukkan bahwa pengembangan tool exploit dapat meningkatkan kinerja dan efisiensi. Algoritma binary search memiliki keunggulan waktu yang lebih singkat pada parameter runtime dibandingkan linear search, sehingga binary search lebih efektif digunakan. Selain itu, pendekatan mitigasi dengan sanitasi dan validasi input pada setiap key object terbukti efektif dalam mencegah serangan NoSQL Injection.
Referensi
(n.d.). Retrieved from V8: https://v8.dev/
(n.d.). Retrieved from NodeJS: https://nodejs.org/en/about/
Fitri, M. O. (2013). TREND PENGGUNAAN NOSQL UNTUK BASIS DATA.
Guptaa, S., Singha, N. K., & Tomara, D. S. (2018). Analysis Of NoSQL Database Vulnerabilities. 3rd International Conference on Internet of Things and Connected Technologies (ICIoTCT).
Hou, B., Shi, Y., Qian, K., & Tao, L. (2017). Towards Analyzing MongoDB NoSQL Security and Designing Injection Defense Solution. IEEE 3rd International Conference on Big Data Security on Cloud.
IBM. (n.d.). Retrieved from IBM - United States: https://www.ibm.com/cloud/learn/nosql-databases
Nugroho, A. B., & Mandala, S. (2020, Desember 02). Study the Best PenTest Algorithm for Blind SQL Injection Attacks. INTL. JOURNAL ON ICT, 7-10.
Nugroho, A., & Winarko, E. (2013). STUDI PERBANDINGAN PERBEDAAN KONSEPTUAL ANTARA SISTEM BASIS DATA RELASIONAL DENGAN SISTEM PENYIMPANAN DATA BERTIPE NON-RELASIONAL (NO-SQL) : EKSPLORASI PADA SERVER DATA CASSANDRA.
Ombagi, J. (2017). Time-Based Blind SQL Injection via HTTP Headers: Fuzzing and Exploitation.
Priyadharshini, S., & Rajmohan, R. (2017). Analysis on Database Security Model Against NOSQL Injection.
Purnomosidi, B. (2013). Buku Cloud Node.js. Retrieved from https://github.com/bpdp/buku-cloud-nodejs
Simanjuntak, H. T., Simanjunta, L., Situmorang, G., & Saragih, A. (2015). QUERY RESPONSE TIME COMPARISON NOSQLDB MONGODB WITH SQLDB ORACLE.
Singh, S. (2019). Security Analysis of MongoDB.
Trudeau, M., & Kolodny, J. (2017). An Analysis and Overview of MongoDB Security.
What is Python? Executive Summary. (n.d.). Retrieved from Python: https://www.python.org/doc/essays/blurb/
Shachi, M., Siddiqui Shourav, N., Syeed, A., Ahmed, S., Brishty, A. A., & Sakib, N. (2021). A Survey on Detection and Prevention of SQL and NoSQL Injection Attack on Server-side Applications. In International Journal of Computer Applications (Vol. 183, Issue 10
