Peretasan
Peladen Web
Ethical Hacking and Countermeasures (PAI 083213)
Program Studi Teknik Informatika, Unsoed
Iwan Setia...
Peladen dan aplikasi web sangat potensial.
(untuk diretas dan dikuasai)

 
Ethical Hacking and Countermeasures  (PAI 08321...
Mengapa?

 
Layanan web pasti terbuka untuk umum.
(setiap organisasi memiliki web untuk diakses khalayak)

 
Ethical Hacking and Count...
Pintu atau jendela terbuka ;-)

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Un...
Peladen dan aplikasi web.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Tim Morgan, CC BY

Informasi target: basis data.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Tekn...
Peladen Web

 
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program ...
Stallings, W. 2003. Data and Computer Communications, 7th Edition.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ ...
Stallings, W. 2003. Data and Computer Communications, 7th Edition.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ ...
HTTP dan HTTPS

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program ...
Operasi Protokol HTTP
●

●

●

●

Klien web membuka koneksi ke alamat IP 
peladen web menggunakan porta TCP 80.
Peladen we...
Tipe-Tipe Kerentanan
Peladen Web

 
Tipe-Tipe Kerentanan Peladen Web
●

Kerentanan pada pemasangan SO/perangkat lunak default.
●

●

Konfigurasi SO dan progra...
Given enough eyeballs,
all bugs are shallow.
– Linus Torvalds

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Progr...
Demilitarized Zone, DMZ.
(bagian infrastruktur yang “netral” dan dapat diakses
publik, umumnya berada di antara dua/lebih ...
“batu loncatan”

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Web Cloaking

 
Teknik untuk menyembunyikan
sumber daya/isi situs web.
(dapat berdasarkan alamat IP klien)

 
Ethical Hacking and Counterm...
Periksa URL, bila perlu halaman webnya.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Inform...
Serangan
Peladen Web

 
Serangan Peladen Web
●

Porta HTTP: TCP 80 dan HTTPS: TCP 443.

●

Dingap akan mengijinkan lalu lintas ke/dari peladen web...
Contoh Serangan Web
●

●

●

●

●

●

Menangkap informasi privat administrator melalui MiTM.
Melakukan serangan brute­forc...
 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Pengelolaan Tambalan
(patch-management)

 
Pengelolaan Tambalan/Perbaikan
●

●

Mencegah dan mengurangi risiko serangan pada 
peladen dan aplikasi web.
Proses memuta...
Metode Pertahanan
Peladen Web

 
Metode Pertahanan Peladen Web
●

Mengubah nama pengguna/administrator dan menggunakan kata sandi yang kuat.

●

Mematikan ...
Daftar Bacaan
●

Graves, K. 2010. CEH: Certified Ethical Hacker 
Study Guide, Sybex

 
Ethical Hacking and Countermeasures...
Upcoming SlideShare
Loading in …5
×

Peretasan Peladen Web

409 views

Published on

Materi kuliah Ethical Hacking tahun ajaran 2011/2012.

Saya diminta mengajar mata kuliah ini di program studi Teknik Informatika[1], Unsoed. Tadinya saya menempatkan diri sebagai "ban serep" saja, ternyata memang tidak ada yang "berani".

Jadi, akhirnya saya mengajar dengan riang gembira, membaca buku serta menuliskan dan menceritakan sedikit pengalaman saya di dunia keamanan.

[1] Program studi "rumah" saya adalah Teknik Elektro.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
409
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Peretasan Peladen Web

  1. 1. Peretasan Peladen Web Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id> Tahun Ajaran 2011/2012
  2. 2. Peladen dan aplikasi web sangat potensial. (untuk diretas dan dikuasai)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  3. 3. Mengapa?  
  4. 4. Layanan web pasti terbuka untuk umum. (setiap organisasi memiliki web untuk diakses khalayak)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  5. 5. Pintu atau jendela terbuka ;-)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  6. 6. Peladen dan aplikasi web.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  7. 7. Tim Morgan, CC BY Informasi target: basis data.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  8. 8. Peladen Web  
  9. 9. Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  10. 10. Stallings, W. 2003. Data and Computer Communications, 7th Edition.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  11. 11. Stallings, W. 2003. Data and Computer Communications, 7th Edition.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  12. 12. HTTP dan HTTPS   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  13. 13. Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  14. 14. Operasi Protokol HTTP ● ● ● ● Klien web membuka koneksi ke alamat IP  peladen web menggunakan porta TCP 80. Peladen web menunggu metode GET dari klien  untuk meminta sumber daya web. Peladen merespon dengan sumber daya web  yang diminta, misal kode HTML. Klien memproses kode HTML dan menerjemah­ kannya melalui peramban web klien.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  15. 15. Tipe-Tipe Kerentanan Peladen Web  
  16. 16. Tipe-Tipe Kerentanan Peladen Web ● Kerentanan pada pemasangan SO/perangkat lunak default. ● ● Konfigurasi SO dan program peladen web setelah pemasangan perlu diubah dan  dimutakhirkan. Konfigurasi perangkat lunak peladen web yang keliru. ● Contoh: IIS mengijinkan semua orang/publik mempunyai kendali terhadap direktori  web default. – – Perlu mematikan konfigurasi default. – ● Berhubungan dengan ijin akses. Periksa dan mutakhirkan konfigurasi secara berkala. Kelemahan/bug pada SO atau/dan aplikasi. ● ● ● Perlu ditambal dan dimutakhirkan secara berkala. Menggunakan program penjadwal seperti cron atau aplikasi pengelola dan  pemutakhiran paket bawaan SO. Isu Free Software/Open Source?   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  17. 17. Given enough eyeballs, all bugs are shallow. – Linus Torvalds   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  18. 18. Demilitarized Zone, DMZ. (bagian infrastruktur yang “netral” dan dapat diakses publik, umumnya berada di antara dua/lebih dingap)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  19. 19. “batu loncatan”   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  20. 20. Web Cloaking  
  21. 21. Teknik untuk menyembunyikan sumber daya/isi situs web. (dapat berdasarkan alamat IP klien)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  22. 22. Periksa URL, bila perlu halaman webnya.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  23. 23. Serangan Peladen Web  
  24. 24. Serangan Peladen Web ● Porta HTTP: TCP 80 dan HTTPS: TCP 443. ● Dingap akan mengijinkan lalu lintas ke/dari peladen web. ● ● Program aplikasi web berada di atas peladen web dan  mempunyai akses ke port layanan lain, misal basis data  MySQL (porta TCP 3306). Penggunaaan teknik banner­grabbing. ● ● ● telnet [target] 80; HEAD/HTTP/1.0. Mendapatkan nama dan versi program peladen web. Tipe serangan web yang digemari adalah defacement.  ● Mengubah tampilan situs web dengan mengganti halaman dan/atau  isi/sumber daya yang ada di sana.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  25. 25. Contoh Serangan Web ● ● ● ● ● ● Menangkap informasi privat administrator melalui MiTM. Melakukan serangan brute­force terhadap kata sandi  administrator. Mengalihkan pengguna ke peladen web berbeda dengan  serangan DNS. Mengalihkan rute lalu lintas web melalui router/dingap,  atau serangan penyisipan URL. Menguasai peladen FTP, surel, telnet, SSH, dll. Mengeksploitasi kelemahan peladen (+ekstensi) dan  aplikasi web.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  26. 26.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  27. 27. Pengelolaan Tambalan (patch-management)  
  28. 28. Pengelolaan Tambalan/Perbaikan ● ● Mencegah dan mengurangi risiko serangan pada  peladen dan aplikasi web. Proses memutakhirkan tambalan dan perbaikan dari  vendor/produsen perangkat lunak. ● Memilih bagaimana perbaikan dipasang dan diverifikasi. ● Mengujicoba perbaikan tersebut di mesin pengujian. ● ● Menyimpan catatan/log perbaikan pada setiap sistem di  dalam jaringan. Menggunakan perangkat lunak yang ditujukan untuk  pengelolaan tambalan/perbaikan.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  29. 29. Metode Pertahanan Peladen Web  
  30. 30. Metode Pertahanan Peladen Web ● Mengubah nama pengguna/administrator dan menggunakan kata sandi yang kuat. ● Mematikan layanan web/ FTP default . ● Mematikan akses jarak jauh. ● Menghapus program/paket yang tidak diperlukan. ● Sesuaikan dengan tujuan sistem. ● Mematikan “perambanan direktori” pada konfigurasi peladen web. ● Memutakhirkan tambalan dan perbaikan pada sistem. ● Melakukan validasi pada masukan borang di aplikasi web dan memeriksa potensi­potensi  serangan dari permintaan web yang dikirimkan oleh klien. ● Mengaktifkan audit dan pencatatan kejadian­kejadian yang terjadi di dalam sistem. ● Mengoptimalkan dingap dan memasang IDS. Periksa kinerja akses webnya. ● Gunakan metode POST untuk menggantikan GET ketika mengirim data ke peladen web. ● Menambahkan pemberitahuan legal tentang implikasi serangan pada sistem ;­)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  31. 31. Daftar Bacaan ● Graves, K. 2010. CEH: Certified Ethical Hacker  Study Guide, Sybex   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

×