Keamanan Sistem World Wide Web          Pertemuan VI
Sejarah singkat WWW• Dikembangkan oleh Tim Berners-  Lee ketika bekerja di CERN  (Swiss). Untuk membaca atau  melihat sist...
Arsitektur sistem Web terdiri dari dua sisi: Server dan client.• Server (apache, IIS)• Client   – IE, Firefox, Netscape, M...
• Memungkinkan untuk mengimplementasikan sistem  secara tersentralisasi• Client hanya membutuhkan web browser (yang ada di...
• Selain menyajikan data-data dalam bentuk statis, sistem  Web dapat menyajikan data dalam bentuk dinamis dengan  menjalan...
Mekanisme untuk mengeksekusi perintah di server dapatdilakukan dengan “CGI” (Common Gateway Interface), ServerSide Include...
Adanya lubang keamanan di sistem WWW dapatdieksploitasi dalam bentuk yang beragam, antara lain:• informasi yang ditampilka...
Membatasi akses melalui Kontrol AksesPembatasan akses dapat dilakukan dengan:• membatasi domain atau nomor IP yang dapat m...
• Server WWW Apache (yang tersedia secara gratis) dapat  dikonfigurasi agar memiliki fasilitas SSL dengan  menambahkan sof...
Mengetahui Jenis Server• Informasi tentang web server yang digunakan dapat  dimanfaatkan oleh perusak untuk melancarkan se...
Keamanan Program Common Gateway Interface (CGI)• CGI digunakan untuk menghubungkan sistem WWW dengan  software lain di ser...
Lubang Keamanan CGIBeberapa contoh :• CGI dipasang oleh orang yang tidak berhak• CGI dijalankan berulang-ulang untuk mengh...
Keamanan client WWWPelanggaran Privacy  - Adanya penyimpanan data browsing pada “cookie”    yang fungsinya adalah untuk me...
The End               Saran dan Ralat dapat dikirim  melalui email ke komisitk_bsi@yahoo.com
SOAL-SOAL LATIHAN
01. Server WWW menyediakan fasilitas agar client dari tempat    lain dapat mengambil informasi dalam bentuk berkas (file) ...
02. Merubah informasi yang ditampilkan di server tanpa    sepengetahuan pemilik situs dikenal dengan istilah …    a. DoS  ...
03. Untuk menghubungkan sistem WWW dengan software lain    di server web sehingga memungkinkan hubungan interaktif    anta...
04. Pada saat melakukan browsing, browser akan menyimpan    data browsing yang berfungsi untuk menandai kemana    user men...
05. Salah satu mekanisme mengamankan data yang di    kirimkan melalui server WWW adalah dengan enkripsi    menggunakan SSL...
Pertemuan06 keamanansistemwww
Pertemuan06 keamanansistemwww
Upcoming SlideShare
Loading in …5
×

Pertemuan06 keamanansistemwww

2,836 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,836
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Pertemuan06 keamanansistemwww

  1. 1. Keamanan Sistem World Wide Web Pertemuan VI
  2. 2. Sejarah singkat WWW• Dikembangkan oleh Tim Berners- Lee ketika bekerja di CERN (Swiss). Untuk membaca atau melihat sistem WWW digunakan tools yang dikenal dengan istilah browser.• Sejarah browser dimulai dari NeXT. Selain NeXT, saat itu ada browser yang berbentuk text seperti “line mode” browser. Kemudian ada Mosaic yang multi-platform (Unix/Xwindow, Mac, Windows) dikembangkan oleh Marc Andreesen dkk ketika sedang magang di NCSA.
  3. 3. Arsitektur sistem Web terdiri dari dua sisi: Server dan client.• Server (apache, IIS)• Client – IE, Firefox, Netscape, Mozilla, Safari, Opera, Galeon, kfm, arena, amaya, lynx, K-meleon• Terhubung melalui jaringan• Program dapat dijalankan di server (CGI,[java] servlet) atau di sisi client (javascript, java applet
  4. 4. • Memungkinkan untuk mengimplementasikan sistem secara tersentralisasi• Client hanya membutuhkan web browser (yang ada di semua komputer), thin client• Update software bisa dilakukan di server saja, tanpa perlu mengubah sisi client• Browser di sisi client dapat ditambah dengan “plugin” untuk menambahkan fitur (animasi, streaming audio & video); Macromedia Flash / Shockwave• Mulai banyak aplikasi yang menggunakan basis webAplikasi baru• Blog• Authentication
  5. 5. • Selain menyajikan data-data dalam bentuk statis, sistem Web dapat menyajikan data dalam bentuk dinamis dengan menjalankan program. Program ini dapat dijalankan di server (misal dengan CGI, servlet) dan di client (applet, Javascript).• Server WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil informasi dalam bentuk berkas (file), atau mengeksekusi perintah (menjalankan program) di server. Fasilitas pengambilan berkas dilakukan dengan perintah “GET”.
  6. 6. Mekanisme untuk mengeksekusi perintah di server dapatdilakukan dengan “CGI” (Common Gateway Interface), ServerSide Include (SSI), Active Server Page (ASP), PHP, atau denganmenggunakan servlet (seperti pernggunaan Java Servlet).
  7. 7. Adanya lubang keamanan di sistem WWW dapatdieksploitasi dalam bentuk yang beragam, antara lain:• informasi yang ditampilkan di server diubah (deface)• informasi yang semestinya dikonsumsi untuk kalangan terbatas (misalnya laporan keuangan, strategi perusahaan, atau database client) ternyata berhasil disadap oleh orang lain.• server diserang (misalnya dengan memberikan request secara bertubi-tubi) sehingga tidak bisa memberikan layanan ketika dibutuhkan (denial of service attack); Informasi Deface http://www.zone-h.org/
  8. 8. Membatasi akses melalui Kontrol AksesPembatasan akses dapat dilakukan dengan:• membatasi domain atau nomor IP yang dapat mengakses; (konfigurasi Web server atau Firewall• menggunakan pasangan userid & password;• mengenkripsi data sehingga hanya dapat dibuka (dekripsi) oleh orang yang memiliki kunci pembuka. Informasi Access control : KlikSecure Socket LayerDengan menggunakan enkripsi, orang tidak bisa menyadap data-data (transaksi)yang dikirimkan dari/ke server WWW. Salah satumekanisme yang cukup populer adalah dengan menggunakanSecure Socket Layer (SSL) yang mulanya dikembangkan olehNetscape.
  9. 9. • Server WWW Apache (yang tersedia secara gratis) dapat dikonfigurasi agar memiliki fasilitas SSL dengan menambahkan software tambahan (SSLeay - yaitu implementasi SSL dari Eric Young – atau OpenSSL1 - yaitu implementasi Open Source dari SSL).• Penggunaan SSL memiliki permasalahan yang bergantung kepada lokasi dan hukum yang berlaku. Hal ini disebabkan: • Pemerintah melarang ekspor teknologi enkripsi (kriptografi). • Paten Public Key Partners atas Rivest-Shamir-Adleman (RSA) publickey cryptography yang digunakan pada SSL.
  10. 10. Mengetahui Jenis Server• Informasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan.• Informasi tentang program server yang digunakan dapat dilakukan dengan menggunakan program “telnet” dengan melakukan telnet ke port 80 dari server web.• Program Ogre (yang berjalan di sistem Windows) dapat mengetahui program server web yang digunakan.• Untuk sistem UNIX, program lynx dapat digunakan untuk melihat jenis server dengan menekan kunci “sama dengan” (=).
  11. 11. Keamanan Program Common Gateway Interface (CGI)• CGI digunakan untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web. CGI seringkali digunakan sebagai mekanisme untuk mendapatkan informasi dari user melalui “fill out form”, mengakses database, atau menghasilkan halaman yang dinamis.• Secara prinsip mekanisme CGI tidak memiliki lubang keamanan, program atau skrip yang dibuat sebagai CGI dapat memiliki lubang Keamanan. Program CGI ini dijalankan di server web sehingga menggunakan resources web server tersebut dan membuka potensi lubang keamanan.
  12. 12. Lubang Keamanan CGIBeberapa contoh :• CGI dipasang oleh orang yang tidak berhak• CGI dijalankan berulang-ulang untuk menghabiskan resources (CPU, disk): DoS• Masalah setuid CGI di sistem UNIX, dimana CGI dijalankan oleh userid web server• Penyisipan karakter khusus untuk shell expansion• Kelemahan ASP di sistem Windows• Guestbook abuse dengan informasi sampah (pornografi)• Akses ke database melalui perintah SQL (SQL injection)
  13. 13. Keamanan client WWWPelanggaran Privacy - Adanya penyimpanan data browsing pada “cookie” yang fungsinya adalah untuk menandai kemana user browsing. - Adanya situs web yang mengirimkan script (misal Javascript) yang melakukan interogasi terhadap server client (melalui browser) dan mengirimkan informasi ini ke server.• Attack (via active script, javascript, java) - Pengiriman data-data komputer (program apa yang terpasang, dsb.) - DoS attack (buka windows banyak) - Penyusupan virus, trojan horse, spyware
  14. 14. The End Saran dan Ralat dapat dikirim melalui email ke komisitk_bsi@yahoo.com
  15. 15. SOAL-SOAL LATIHAN
  16. 16. 01. Server WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil informasi dalam bentuk berkas (file) dengan perintah .. a. GET d. Download b. SSL e. Update c. CGI02. Merubah informasi yang ditampilkan di server tanpa sepengetahuan pemilik situs dikenal dengan istilah … a. DoS d. DDos b. deface e. Debug c. CGI
  17. 17. 02. Merubah informasi yang ditampilkan di server tanpa sepengetahuan pemilik situs dikenal dengan istilah … a. DoS d. DDos b. deface e. Debug c. CGI03. Untuk menghubungkan sistem WWW dengan software lain di server web sehingga memungkinkan hubungan interaktif antara user dan server web diperlukan … a. SSL d. Ogre b. SSI e. Flash Player c. CGI
  18. 18. 03. Untuk menghubungkan sistem WWW dengan software lain di server web sehingga memungkinkan hubungan interaktif antara user dan server web diperlukan … a. SSL d. Ogre b. SSI e. Flash Player c. CGI04. Pada saat melakukan browsing, browser akan menyimpan data browsing yang berfungsi untuk menandai kemana user menjelajah, disebut … a. Deface d. DDos b. CGI e. History c. cookie
  19. 19. 04. Pada saat melakukan browsing, browser akan menyimpan data browsing yang berfungsi untuk menandai kemana user menjelajah, disebut … a. Deface d. DDos b. CGI e. History c. cookie05. Salah satu mekanisme mengamankan data yang di kirimkan melalui server WWW adalah dengan enkripsi menggunakan SSL yang dikembangkan oleh ... a. Microsoft d. Opera b. Netscape e. Microsoft c. Mozilla
  20. 20. 05. Salah satu mekanisme mengamankan data yang di kirimkan melalui server WWW adalah dengan enkripsi menggunakan SSL yang dikembangkan oleh ... a. Microsoft d. Opera b. Netscape e. Microsoft c. Mozilla01. Server WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil informasi dalam bentuk berkas (file) dengan perintah .. a. GET d. Download b. SSL e. Update c. CGI

×