web security informasi informasi mengenai internet security

1. Sekilas Web Security
Sejak tahun 1990-an, internet berkembang pesat
ke seluruh dunia karena semakin mudahnya
akses informasi ke jejaring internet, dengan
menggunakan teknologi WWW (World Wide
Web) dan juga dukungan PC (Personal
Computer)-nya Microsoft, serta perkembangan
open source OS Linux yang sangat pesat. Saat
ini, internet telah menjadi bagian dari kehidupan
kita sehari-hari sebagai salah satu wahana
komunikasi dalam bisnis maupun untuk privat.
Tetapi di balik itu masih banyak lubang
kelemahan sistem.

2. Sedikit Informasi Mengenai Internet
Security
 Jakarta - Serangan Internet menimbulkan kerugian
global berkisar US$ 300 miliar hingga US$ 1 triliun,
atau sekitar Rp 2.800 triliun hingga Rp 9.600 triliun).
Temuan ini adalah data yang dirilis dari riset gabungan
antara perusahaan antivirus McAfee dan Center for
Strategic and International Studies.
 "Mengalkulasi secara akurat agak sulit karena
sejumlah perusahaan cenderung menyembunyikan
kerugian yang diderita," demikian tertulis pada laporan
yang dikutip CNET pada Selasa, 23 Juli 2013.
"Lainnya malah tidak tahu berapa kerugian yang
mereka alami.
 Jenis kerugian itu terdiri dari hak kekayaan intelektual,
kejahatan internet, hilangnya informasi bisnis,
gangguan layanan, munculnya biaya tambahan
pengamanan, dan rusaknya reputasi perusahaan.
 Untuk memberikan gambaran, laporan ini juga
membandingkan kerugian dari kejahatan internet ini
dengan kerugian di sektor lain seperti transprortasi.

3. Dampak dari Hacking
 Hacker dapat mengontrol PC atau server anda
yang akan digunakan sebagai Bots.
 Hacker dapat merusak informasi atau data
penting di website anda bahkan
menghapusnya.
 Hacker dapat menggunakan email anda untuk
kegiatan spamming ,atau reset password akun-
akun penting anda seperti : Facebook,Twitter,
bahkan online banking.
 Hacker dapat mencuri dan menggunakan data
seperti: credit card, business data, business

4. Who Is Hacker
 Hacker adalah seseorang yang memiliki
pengetahuan komputer sangat hebat, dan juga
bisa membuat dan mengeksplorasi sebuah
aplikasi pada komputer tersebut agar menjadi
lebih baik lagi.
 Pengetahuannya bisa juga menjadi sangat
bermanfaat namun juga bisa membahayakan
dirinya jika mereka menggunakannya untuk hal
hal ilegal.
 Kadang, bagi seorang hacker, hacking adalah
sebuah hobi untuk melihat seberapa banyak
yang telah dilumpuhkan dengan

5. Hacker Classes
Dikutip dari Certified Ethical Hacking v7,
Kelompok hacker digolongkan menjadi 4, yaitu :
 Black Hat Hacker : Individual dengan skill
komputer yang luar biasa. Lebih menjurus ke
aktivitas malicious dan perusakan dan juga bisa
dibilang sama dengan CRACKERS.
 White Hat Hacker : Individual professional
hacker, mereka menggunakan skillnya untuk
kegiatan defensif dan juga biasa disebut
dengan Security Analyst.
 Gray Hat Hacker : Individual hacker yang
bekerja antara ofensif dan defensif pada saat-

6. Motif dari Penyerangan
 Coba-coba dan rasa ingin tahu
 Faktor ekonomi
 Ingin unjuk diri
 Sakit hati

7. Statistik Attack

8. Alur Penyerangan Website
Scanning - > Information Gathering -> Exploiting / Attacking ->Take
Over Access -> Uploading Backdoor -> Deface / Stealing Important Data
-> Delete Logs –> Rooting

9. Scanning
 Scanning adalah bagian kita untuk memulai
pendekatan terhadap target kita. Scanning
berguna untuk mengetahui informasi-informasi
penting dari target. Yang nantinya kita bisa
himpun untuk proses information gathering.
Dari hasil information gathering tadilah kita bisa
melakukan eksploitasi agar bisa masuk ke
dalam sistem web tersebut.

10. Apa Saja yang Bisa Kita Lakukan pada
Tahap Scanning?
 Mengetahui port-port yang terbuka.
 Mengumpulkan informasi tentang server
mereka.
 Mencari dan menemukan file yang rentan akan
eksploitasi.
 Directory Checking
 IP, Hostname, DNS, dan Data Whois dari
Domain tsb

11. Apakah Target Tahu Kita Melakukan
Scanning
 Jawabannya tergantung proses dan intensitas
scanning kita, untuk IP jelas mereka tahu
karena semua yang datang atau scan website
tersebut akan masuk ke dalam apache log di
server. Dan kita juga bisa dituntut apabila
instansi yang bersangkutan tidak berkenan
dengan kegiatan kita.

12. Information Gathering
 Information gathering adalah suatu proses di
mana kita mengumpulkan semua bahan pada
tahap scanning untuk selanjutnya digunakan
bahan eksploitasi.
 Hasil dari information gathering bisa kita buat
mencari sebuah exploit. Contohnya pada saat
kita scanning, kita menemukan sebuah email
pemilik domain atau kita menemukan sebuah
Full Path Disclosoure (FPD). Yang nantinya kita
gunakan pada aksi penyerangan kita.

13. Exploiting / Attacking
Pada tahap ini, ada banyak yang bisa kita lakukan untuk memanfaatkan
semua kemungkinan yang ada di Information Gathering.
Kita bisa menggunakan teknik teknik hacking yang sudah ada atau kita
mengombinasikan beberapa teknik tersebut .Yang penting tujuan kita
tercapai.

14. Teknik-teknik Penyerangan Website
 SQLI
 RFI
 LFI
 CSRF
 XSS
 TAMPERING
 DDOS
 DNS HIJACK

15. Bug-bug Apakah yang Paling Sering
Ditemukan?
 Bug yang paling banyak ditemukan,
jawabannya adalah SQLI dan XSS. Untuk XSS
mungkin tidak seberapa berbahaya kalau hanya
sekadar XSS Reflected. Yang dicari mungkin
hanyalah SESSID untuk Session Hijacking .
Mungkin kalau XSS yang berupa Stored. Bisa
melakukan JS Overlay untuk mengubah
tampilan website.
 Bug SQLI adalah yang paling fatal. Data anda
bisa dicuri secara mudah melalui injeksi
tersebut. Juga bisa melakukan bypassing jika
web anda diberikan privileges untuk read

16. Take Over Access
 Pada bagian take over access,sebenarnya ini
termasuk pada exploiting. Namun karena cukup
penting jika kita menemukan sebuah data pada
saat attacking.Take over access di sini adalah
kita memanfaatkan semua data yang kita
temukan, seperti Id dan Password pada
database atau pada script configuration
tertentu.
 Biasanya, admin yang lalai dan malas akan
menyamakan semua passwordnya baik itu
MySQL, Panel, Admin Page. Jadi itu
merupakan suatu keuntungan tersendiri bagi

17. Uploading a Backdoor
 Uploading Backdoor / Shell juga sangat penting
agar kita tidak perlu repot-repot login pada
backend website. Cukup dengan mengupload
sebuah backdoor atau sebuah jalan pintas agar
kita bisa masuk ke dalam web sistem tanpa
autentikasi sebagai admin.
 Selain menghemat waktu, juga sangat berguna
untuk langkah selanjutnya seperti bypassing,
symlink, rooting, back connect, jumping, dll.

18. Deface, Stealing, or Dropping
 Maksudnya adalah, setelah mendapatkan
akses ke dalam sistem melalui backdoor. Kita
bisa mendeface (mengubah halaman utama)
situs tersebut atau hanya ingin mencuri data-
data penting seperti email, nomor telepon, atau
bahkan ingin mencuri sebuah kartu kredit.
 Atau kita ingin mengingatkan admin yang lalai
sekaligus kita ingin mendapatkan sebuah
imbalan dari admin. Kita dapat melakukan
pemback-up-an situs tersebut lalu delete semua
tanpa ada yang tersisa.

19. Delete Logs
 Saat seorang hacker akan menghapus file
logs/jejak dalam server target jangan sampai
meninggalkan jejak sedikit pun agar admin tidak
dapat membaca kita telah datang dalam
sistemnya. Supaya kegiatan hacking bisa
berjalan semulus dan selembut mungkin.

20. Rooting
 Rooting adalah sebuah teknik atau proses agar
kita mendapatkan privileges sebagai root. Jika
kita mendapatkan privileges root.
 Semua bisa kita lakukan, mulai dari mengontrol,
mematikan dan, memalfungsikan server
tersebut menjadi sebuah bot.

21. Bagan Trend Attack Saat Ini

22. Tools yang Sering Digunakan
Attacker
 Sqlmap
 Havij
 Nmap
 Acunetix

23. Pengamanan Website
Dan
Meminimalisasi Kegiatan Hacking

24. Sebagai User
 Gunakan firewall, antivirus, anti trojan, backup
data.
 Penggunaan password/pass phrase yang baik.
 Berhati-hati terhadap semua tawaran
“menggiurkan” (social engineering),
attachment/program.
 Penggunaan fasilitas secara hati- hati (warnet,
public internet cafe).
 Penggunaan secure login/secure connection
(https, ssh).

25. Sebagai Developer
 Gunakan enkripsi untuk autentikasi atau proses
lain yang dianggap perlu.
 Matikan error_log (kecuali saat development).
 Sesuai kebutuhan dan kemampuan.
 Update informasi umum secara berkala dan
terus lakukan update pada program anda.

26. Sebagai Admin
 Update/patching versions jika memakai cms.
 Hapus file backup di publik_html.
 Setting optimal pada environtment dan
configurasi server.
 Batasi fungsi yang bisa berinteraksi dengan
sistem environtment.

27. Terima Kasih