May 02, 2026
Benidictus Tri Wibowo
Tech

Langkah Demi Langkah Analisis SQL Injection

Langkah Demi Langkah Analisis SQL Injection
Kali ini, kita akan membedah langkah demi langkah investigasi berdasarkan skenario simulasi dari platform LetsDefend terkait EventID 115: SOC165 - Possible SQL Injection Payload Detected.

Tahap 1: Triase Alert dan Pemahaman Konteks
tr6RVAUxY3FAYxN3iqg95UzDdTViUFf2X0RVScdk.png
image.png 52.79 KB
 Langkah pertama selalu dimulai dengan memahami mengapa alert dipicu. Jangan langsung melompat ke kesimpulan. Identifikasi Alert: Sistem mendeteksi adanya muatan (payload) yang menyerupai sintaks SQL dalam trafik HTTP. Informasi Awal: Target serangan adalah WebServer1001 (172.16.17.18) dan berasal dari IP eksternal 167.99.169.17. Tujuan Tahap Ini: Menentukan apakah trafik ini merupakan aktivitas bisnis normal atau ancaman nyata. Dalam kasus ini, kehadiran karakter seperti %27 dan OR 1=1 jelas menunjukkan niat jahat (malicious intent).

Tahap 2: Pengumpulan Data dan Artefak
aiUKDnKbvzABJkqgoCgBOk5ZZ1DolHJU6WG1HkPU.png
image.png 44.51 KB
2mwj6J2oN9ydJlEuRrjqrMHITad6VOAxPFxFbc2x.png
image.png 122.96 KB
cn64wqETLWmoxCkA1UsYjIOP5msld9zcWEtrzwqP.png
image.png 111.26 KB
4ebTou8KqHnzaR4GmJeKkCjEiPQ0viTTM1Xf7wMK.png
image.png 63.49 KB
 Setelah konfirmasi bahwa ini adalah ancaman, analis harus mengumpulkan informasi pendukung (Collect Data) untuk memahami cakupan serangan.
  • Kepemilikan IP: Memastikan apakah IP sumber berasal dari internal atau eksternal (Internet).
  • Reputasi IP: Melakukan pengecekan pada tools seperti VirusTotal atau AbuseIPDB untuk melihat apakah IP tersebut memiliki sejarah aktivitas malisus.
  • Log Manajemen: Mengumpulkan semua log trafik dari IP sumber tersebut dalam rentang waktu yang relevan untuk melihat pola serangan secara keseluruhan.

Tahap 3: Analisis Trafik dan Identifikasi Serangan
Di tahap ini, kita membedah log untuk melihat apa yang sebenarnya dilakukan penyerang.
  • Pola Reconnaissance: Penyerang memulai dengan mengakses halaman utama tanpa payload untuk memetakan target.
  • Active Fuzzing: Penyerang mencoba berbagai karakter khusus untuk melihat respon server.
  • Analisis Payload: Ditemukan penggunaan tautologi (OR 1=1) dan teknik enumerasi kolom (ORDER BY). Ini adalah indikator kuat serangan SQL Injection yang bertujuan memanipulasi database backend.

Tahap 4: Penentuan Keberhasilan Serangan (The Critical Verdict)
Ini adalah langkah paling menentukan. Seorang analis SOC harus bisa menjawab: "Apakah mereka berhasil masuk?"
  • Evaluasi Kode Respon: Semua permintaan malisus menghasilkan HTTP Response Status 500 (Internal Server Error). Ini menandakan server gagal memproses input dan tidak mengeksekusi perintah SQL tersebut.
  • Evaluasi Ukuran Respon: Ukuran respon tetap statis di angka 948 bytes. Jika serangan SQLi berhasil (terutama teknik dumping data), ukuran respon akan melonjak tajam karena adanya data tambahan yang dikirimkan server. Ukuran yang statis membuktikan server hanya mengirimkan halaman error standar.
  • Kesimpulan: Serangan dikategorikan sebagai True Positive namun Unsuccessful.

Tahap 5: Tindakan Penanganan dan Penutupan Kasus
KB3ZPCneLzPagIONvOjq9WZ6l4JT5J28dF9JEsZA.png
image.png 82.73 KB
cTq6yMzAToyteEnL6pusC1J7fJgbgXrlzx4L7k1Z.png
image.png 84.77 KB
Summary of Investigation: 
Incident Type: SQL Injection (SQLi) Attempt.
Source IP: 167.99.169.17 (External/Internet).
Destination: WebServer1001 (172.16.17.18) at port 443.
Analysis Findings: 
Log analysis shows a progression of malicious activity starting from reconnaissance at 11:30 AM to active fuzzing and enumeration attempts.
The attacker used various SQLi payloads, including tautologies (OR 1=1) and enumeration techniques (ORDER BY).
All malicious requests resulted in an HTTP 500 Internal Server Error with a consistent response size of 948 bytes, indicating that the payloads failed to execute successfully.
Conclusion & Action Taken: 
The alert is confirmed as a True Positive, but the attack was Unsuccessful.
Artifacts (Attacker IP and Malicious URL) have been added to the blocklist.
Tier 2 escalation is not required as no compromise was detected.
Setelah analisis selesai, langkah mitigasi harus segera dijalankan untuk mencegah upaya serangan berikutnya.
  • Containment: Memasukkan IP penyerang ke dalam blocklist di firewall atau WAF.
  • Dokumentasi Artefak: Mencatat IP sumber dan URL malisus ke dalam sistem manajemen kasus.
  • Analyst Note: Memberikan ringkasan temuan bahwa serangan telah diredam oleh mekanisme error handling server dan tidak memerlukan eskalasi ke Tier 2 (Incident Response) karena tidak ada bukti kompromi.

 Kesimpulan:
Melalui simulasi ini, kita belajar bahwa deteksi hanyalah awal dari proses. Kekuatan seorang analis SOC terletak pada kemampuannya melakukan korelasi data antara payload yang dikirimkan penyerang dengan respon yang diberikan oleh server. Dengan mengikuti playbook yang terstruktur, kita bisa memastikan keamanan infrastruktur tanpa harus melakukan eskalasi yang tidak perlu.

Komentar (0)

Belum ada komentar. Jadilah yang pertama berkomentar!

terminal
user@portfolio:~$
AI Assistant
Online
Powered by AI · Responses may not always be accurate