Makalah ini membahas tentang keamanan pada Web 2.0 dengan menjelaskan definisi dan teknologi Web 2.0, masalah keamanan klasik dan pada Web 2.0 seperti sisi server, klien, dan social engineering, serta penutup yang menekankan bahwa merusak situs web tidak menunjukkan kemampuan seseorang.

1. Security di Web 2.0
Bambang Purnomosidi D. P.
STMIK AKAKOM Yogyakarta
November 22, 2007
Daftar Isi
1 Memahami Web 2.0 1
1.1 Definisi Web 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Teknologi Web 2.0 . . . . . . . . . . . . . . . . . . . . . . . . 2
2 Sisi Keamanan Web 2.0 3
2.1 Masalah “Klasik” Keamanan Web . . . . . . . . . . . . . . . 4
2.1.1 Keamanan Sisi Server . . . . . . . . . . . . . . . . . . 4
2.1.2 Keamanan Sisi Klien . . . . . . . . . . . . . . . . . . . 4
2.1.3 Social Engineering . . . . . . . . . . . . . . . . . . . . 5
2.2 Keamanan pada Web 2.0 . . . . . . . . . . . . . . . . . . . . 5
3 Penutup 6
4 Metadata 6
4.1 Tentang Penulis . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4.2 Tentang Makalah . . . . . . . . . . . . . . . . . . . . . . . . . 7
Abstraksi
Web 2.0 merupakan perkembangan lebih lanjut daru teknologi web.
Istilah Web 2.0 muncul sekitar akhir tahun 2004 dan digunakan untuk
menunjukkan berbagai layanan di web yang memungkinkan pemakai
web untuk berkolaborasi dan berbagi informasi secara online. Makalah
ini menguraikan tentang Web 2.0 dengan titik pembahasan dari sisi
keamanan.
1 Memahami Web 2.0
1.1 Definisi Web 2.0
Web 2.0 merupakan istilah yang digunakan untuk menunjukkan berbagai
layanan di web yang memungkinkan pemakai untuk berkolaborasi dan berbagi
1

2. informasi secara online. Web 2.0 juga merupakan istilah yang digunakan un-
tuk menunjukkan suatu aplikasi web yang mempunyai interaktivitas dengan
pemakainya sama seperti halnya dengan aplikasi desktop.
Saat ini, Web 2.0 bersama-sama dengan SOA (Service-Oriented Archi-
tecture) merupakan teknologi yang “memenuhi janji” implementasi proses
bisnis yang fleksibel [2] dan memungkinkan organisasi untuk beroperasi lebih
efisien meskipun menuntut perubahan budaya dan pola pikir yang lebih sig-
nifikan.
Gambar 1 di halaman 2 menunjukkan hal-hal yang seringkali berada di
sekitar Web 2.0.
Gambar 1: Web 2.0 Meme Maps
1.2 Teknologi Web 2.0
Pembicaraan tentang web 2.0 biasanya akan melibatkan berbagai teknologi
yang sering dikaitkan dengan istilah Web 2.0 antara lain adalah: 1
• Rich Internet Application. RIA merupakan aplikasi berbasis web yang
mempunyai fitur dan fungsionalitas seperti hal aplikasi desktop (GUI)
1
http://en.wikipedia.org/wiki/Web_2.0
2

3. 2. RIA biasanya berjalan pada web browser atau dijalankan secara
lokal di secure environment yang disebut sandbox. Teknologi RIA sebe-
narnya telah muncul sekitar tahun 1998 (Microsoft Remote Scripting)
serta sekitar tahun 2000 dicetuskan oleh Forrester Research dengan
istilah X Internet.
• XHTML dan HTML markup yang valid secara semantik.
• Microformats, memungkinkan penggunaan semantik dalam markup
sehingga memungkinkan content yang “bisa dipahami mesin” selain
bisa dipahami oleh manusia [1].
• Folksonomy, sering juga disebut sebagai collaborative tagging, so-
cial classification, social indexing, social tagging merupakan
layanan di web yang memungkinkan pemakai untuk secara kolaboratif
membuat dan mengelola tag untuk anotasi serta kategorisasi dari con-
tent 3 .
• Cascading Style Sheets (CSS) yang memungkinkan pemisahan antara
lapisan presentasi dengan content.
• REST dan/atau API berbasis XML dan/atau JSON. REST (Repre-
sentational State Transfer ) merupakan arsitektur software untuk me-
dia terdistribusi (seperti WWW)4 .
• Sindikasi, agregasi, dan notifikasi data menggunakan RSS / Atom.
• Mash-up, content yang berisi penggabungan dari berbagai sumber
• Publikasi weblog
• Wiki / forum yang mendukung user-generated content
2 Sisi Keamanan Web 2.0
Web 2.0 menggunakan teknologi yang sejak lama dikembangkan untuk web,
ditambah dengan berbagai teknologi yang memungkinkan kolaborasi serta
berbagai informasi, sehingga secara logis bisa dikatakan bahwa Web 2.0 akan
mempunyai masalah keamanan yang sama dengan aplikasi web sebelumnya
bahkan lebih.
2
http://en.wikipedia.org/wiki/Rich_Internet_Application
3
http://en.wikipedia.org/wiki/Folksonomy
4
http://www.ics.uci.edu/~fielding/pubs/dissertation/rest_arch_style.htm
3

4. 2.1 Masalah “Klasik” Keamanan Web
Masalah keamanan web pada dasarnya bisa dibagi menjadi 3 bagian:5
• Sisi server
• Sisi klien
• Social Engineering
2.1.1 Keamanan Sisi Server
Keamanan pada sisi ini meliputi berbagai layanan yang disediakan oleh
server serta sisi keamanan sistem operasi itu sendiri. Pada dasarnya, hal-
hal yang perlu diperhatikan adalah berbagai security hole yang ada pada
software-software penyedia layanan tersebut, diantaranya adalah:
• Web server
• Database server
• Mail server
• DNS
• Application Server (JEE, Zope, dan lain-lain)
Penyerangan biasanya diawali dengan mengumpulkan sebanyak mungkin
data mengenai web yang bersangkutan, terutama berkaitan dengan software-
software yang digunakan tersebut. Software yang bisa digunakan antara
lain adalah nikto (http://www.cirt.net/code/nikto.shtml). Hal yang
perlu diwaspadai adalah setting konfigurasi default dari software-software
tersebut. Sebagai contoh, Apache Tomcat mempunyai user admin dengan
password default yang terdapat pada dokumentasinya.
Internet saat ini juga penuh dengan berbagai software tools yang bisa di-
gunakan untuk keperluan ini. Kebanyakan software-software tersebut meru-
pakan software bebas dan gratis. Informasi lengkap tentang berbagai tools
tersebut tersedia antara lain di buku Security Power Tools, terbitan O’Reilly.
2.1.2 Keamanan Sisi Klien
Keamanan pada sisi ini meliputi keamanan dari sisi web browser serta trans-
port data dari klien ke server. Keamanan yang berhubungan dengan hal ini
adalah:
5
Bagian ini hanya merupakan hasil identifikasi dari penulis, sama sekali tidak bermak-
sud untuk menyatakan sebagai hal yang lengkap. Kemungkinan yang ada bisa saja jauh
lebih banyak lagi
4

5. • Session hijacking, merupakan eksploitasi dari session yang valid untuk
memperoleh akses.
• XSS (Cross-site Scripting, keamanan terutama berkaitan dengan kode-
kode HTML dan client-side script seperti JavaScript, VBScript.
• Spoofing, yaitu ”menipu” dengan cara memalsukan data yang ditrans-
fer antar node. Beberapa bentuk spoofing ini antara laini adalah URL
spoofing, referer spoofing, poisoning of file-sharing network, caller ID
spoofing, e-mail address spoofing, IP address spoofing, dan login spoof-
ing.
• MITM (man-in-the-middle) attack, yaitu penyerangan dalam bentuk
membaca / memasukkan / memodifikasi data antar dua pihak tanpa
diketahui bahwa data yang lewat antar link tersebut telah diserang.
2.1.3 Social Engineering
Social Engineering merupakan berbagai teknik yang digunakan untuk mem-
bujuk korban melakukan tindakan tertentu atau memberikan informasi ter-
tentu. Berbagai teknik yang digunakan antara lain adalah:
• Pretexting, yaitu penggunaan skenario tertentu untuk membujuk kor-
ban melakukan tindakan tertentu atau memberikan informasi tertentu.
• Phising, yaitu penggunaan e-mail sedemikian rupa sehingga bisa mem-
bujuk orang untuk melakukan sesuatu atau memberikan informasi ter-
tentu.
• Trojan Horse/Gimmes, yaitu memanfaatkan rasa ingin tahu seseorang
dan memberikan malware untuk keperluan itu.
• Road Apple, yaitu menggunakan media fisik yang bisa memancing rasa
ingin tahu seseorang dan memberikan malware sebagai isinya.
2.2 Keamanan pada Web 2.0
Web 2.0 menggunakan teknologi Ajax serta SOA. Ajax (Asynchronous JavaScript
and XML) merupakan teknologi yang memungkinkan interaktivitas aplikasi
web seperti aplikasi desktop GUI. Pada setiap page view, bagian tertentu
dari page akan mengakses ke server, tanpa perlu merefresh kembali seluruh
page. Beberapa insiden yang berkaitan dengan Ajax/JavaScript, antara lain
adalah:
• MySpace worm, ditulis oleh “Sammy”. Source code dari worm ini bisa
diperoleh di http://namb.la/popular/tech.html, wawancara serta
penjelasan tentang cara kerja worm ini oleh pembuatnya bisa diakses
di http://blogoscoped.com/archive/2005-10-14-n81.html.
5

6. • Yamanner worm, merupakan worm yang ditulis menggunakan JavaScript
dan ditujukan untuk mengksploitasi layanan mail dari Yahoo.
Beberapa kemungkinan eksploitasi kelemahan yang bisa dilakukan an-
tara lain adalah:
• Vulnerability pada protokol HTTP: validasi input, autentikasi dan ses-
sion management,
• XSS
• Injection vulnerability: SQL Injection, LDAP Injection, command/process
injection, DOM Injection, CSRF Cross-site Request Forgery, cross-
user defacement, dan lain-lain.
• Web services security
• API yang remote-accessible (misalnya Google API, RESTful Yahoo/Flickr
API) menuntut mekanisme keamanan yang lebih memadai.
• XMLHTTPRequest yang terdapat pada mekanisme Ajax bisa dila-
cak dengan menggunakan tools plugins browser Firefox yaitu Firebug
(https://addons.mozilla.org/firefox/1843/). Meskipun belum
tentu merupakan masalah keamanan, bisa saja hal ini akan menuju ke
kelemahan sistem.
3 Penutup
Tidak ada yang perlu dibanggakan dari merusak milik orang. Merusak hala-
man web (deface) serta berbagai serangan lain yang menyebabkan web tidak
berfungsi, sama sekali tidak menunjukkan bahwa si pengacau adalah orang
yang pandai. Security adalah masalah multidimensi di semua organisasi.
4 Metadata
4.1 Tentang Penulis
Penulis adalah dosen tetap di STMIK AKAKOM, saat ini sebagai kepala
Sistem Informasi dan Jaringan STMIK AKAKOM serta lead developer di
Araya Software / Media Visi. A self-educated person who loves to hack in
Ruby on Rails for Web 2.0-based enterprise manageability software. Kontak
penulis: e-mail (bpurnomo@akakom.ac.id) atau jabber (bpdp@jabber.no).
6

7. 4.2 Tentang Makalah
Makalah ini dibuat menggunakan L TEX 2ε pada sistem operasi Linux - Arch-
A
linux (http://www.archlinux.org) dan dipresentasikan di seminar Virus
and Computer Security di Fakultas Teknik Universitas Diponegoro.
Referensi
[1] John Allsopp, Microformats: Empowering Your Markup for Web 2.0,
Apress, 2007
[2] Sandy Carter, The New Language of Business: SOA and Web 2.0, IBM
Press, 2007
[3] Christopher Wells, Securing Ajax Applications, O’Reilly, 2007
7