Kamis, 07 Juni 2012

Web Security

Web Security

Sejak tahun 1990-an, internet berkembang pesat ke seluruh dunia karena semakin mudahnya akses informasi ke jejaring internet, dengan menggunakan teknologi WWW (World Wide Web) dan juga dukungan visi PC (Personal Computer)-nya Microsoft, serta perkembangan open source OS Linux yang sangat pesat. Saat ini, internet telah menjadi bagian dari kehidupan kita sehari-hari sebagai salah satu wahana komunikasi dalam bisnis maupun untuk privat. Tetapi di balik itu masih banyak lubang kelemahan sistem.   Di masyarakat umum, istilah hacker ini banyak tersalahgunakan atau rancu dengan istilah Cracker. Khususnya ketika pembahasan mengarah kepada kejahatan. Dimana istilah untuk penjahat yang mereka maksud sebenarnya adalah Cracker. Hacker dianggap sebagai orang yang paling bertanggungjawab dalam kejahatan komputer tersebut. Padahal kalau kita melihat apa sebenarnya istilah dan apa saja yang dilakukan oleh hacker maka anggapan tersebut tidak selalu benar. Ada beberapa tipe para penggila teknologi computer seperti berikut ini :
a. – Hacker
Sekumpulan orang/team yang tugasnya membangun serta menjaga sebuah sistem sehingga dapat berguna bagi kehidupan dunia teknologi informasi, serta penggunanya. hacker disini lingkupnya luas bisa bekerja pada field offline maupun online, seperti Software builder(pembuat/perancang aplikasi), database administrator, dan administrator. Namun dalam tingkatan yang diatas rata-rata dan tidak mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari itu hacker terkenal akan kerendahan hati dan kemurahan memberikan segenap ilmunya.
b. – Cracker
Seorang/sekumpulan orang yang memiliki kemampuan lebih dalam merusak sebuah sistem sehingga fungsinya tidak berjalan seperti normalnya, atau malah kebalikannya, sesuai keinginan mereka, dan mereka memang diakui memiliki kemampuan yang indigo dan benar-benar berotak cemerlang. Biasanya cracker ini belum dikategorikan kejahatan didunia maya, karena mereka lebih sering merubah aplikasi, seperti membuat keygen, crack, patch(untuk menjadi full version).
c. – Defacer
Seorang/Sekumpulan orang yang mencoba untuk mengubah halaman dari suatu website atau profile pada social network(friendster, facebook, myspace), namun yang tingkatan lebih, dapat mencuri semua informasi dari profil seseorang, cara mendeface tergolong mudah karena banyaknya tutorial diinternet, yang anda butuhkan hanya mencoba dan mencoba, dan sedikit pengalaman tentang teknologi informasi.
d. – Carder
Seorang/sekumpulan lamers yang mencoba segala cara untuk mendapatkan nomor kartu kredit seseorang dan cvv2nya dengan cara menipu, menggenerate sekumpulan kartu kredit untuk kepentingan dirinya sendiri. Namun pada tingkatan tertentu carder dapat mencuri semua informasi valid dari sebuah online shopping. Ini adalah Malingnya dunia Maya.
e. – Frauder
Seorang/sekumpulan orang yang mencoba melakukan penipuan didunia pelelangan online, belum ada deskripsi jelas tentang orang ini, mereka sering juga dikategorikan sebagai carder.
Apa security itu?
Definisi Statis :
<> Kerahasiaan
<>Keutuhan
<> Dapat dipertanggung jawabkan
Defenisi Dinamis :
<> Taksiran
<> Proteksi
<> Deteksi
<> Reaksi
Jenis Jenis Serangan
Berikut adalah 10(sepuluh) dafttar celah yang dapat menyebabkan website terancam.
1 – Cross Site Scripting (XSS)
Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa harus melakukan validasi dan encoding terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan potongan kode (script) miliknya di browser target, dan memungkinkan untuk mencuri user session milik target, bahkan sampai menciptakan Worm.
2 – Injection Flaws
Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web. Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian dari perintah (query) yang menipu interpreter untuk menjalankan perintah tersebut atau merubah suatu data.
3 – Malicious File Execution
Celah ini mengakibatkan penyerang dapat secara remote membuat file yang berisi kode dan data untuk di eksekusi, salah satunya adalah Remote file inclusion (RFI).
4 – Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi internal penggunaan objek, seperti file, direktori, database record, dll
5 – Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap aplikasi web yang diketahui memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan penyerang.
6 – Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang didapatkan dari celah yang di akibatkan oleh informasi yang diberikan oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang bisa di lihat.
7 – Broken Authentication and Session Management
Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang di gunakan untuk otentikasi.
8 – Insecure Cryptographic Storage
Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk melindungi data penting yang dimiliki, atau menggunakan fungsi kriptografi yang di ketahui memiliki kelemahan.
9 – Insecure Communications
Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan informasi berharga.
10 – Failure to Restrict URL Access
Seringkali, aplikasi web hanya menghilangkan tampilan link (URL) dari pengguna yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung.
Pengamanan secara Umum
1. Pemilihan Sistem Operasi (OS), Setting Server, dan Desain Aplikasi
2. Instalasi Patch
3. Kontrol Akses
4. Audit dan Log File
5. Menerapkan Kriptografi
6. Sekuritas Jaringan
  • Network firewall
  • Sentralisasi Log
  • Network monitoring
  • Pendeteksian gangguan serangan
7. Penggunaan Proxy (front door)
  • Semua akses http melalui proxy
  • Sentralisasi akses
8. Penggunaan Proxy (Integration reserve proxy)
  • Kombinasikan multi web server menjadi satu
9. Penggunaan Proxy (protection reserve proxy)
  • Awasi akses masuk dan keluar
  • Block akses yg mencurigakan
10. Penggunaan Proxy (performance reserve proxy)
  • Transparan caching
  • Transparan respon

Tidak ada komentar:

Posting Komentar