Ainun Nafidzah

Anggi Supriatna

Nina Rahmayani

Kemanan Web

How Web Works ? Menggunakan protokol HTTP Klien meminta dokumen melalui URL (Request) Server membalas dengan memberikan dokumen jika

ada (Replay) HTTP bersifat Stateless

Elemen web lainya : HTML, ASP, PHP, JSP, dll Aplikasi : Audio/Video, Postscript, pdf Browser :

Untuk menampilkan dokumen dan gambar Untuk membantu menjalakan aplikasi IE, Mozilla, Netscape, Konqueror, Lynx, dll

Keamanan Web

http://www.w3.org/Security/FaqIntercept informasi dari klien

Data, password, dllPencurian data di server

Data, password, dllMenjalankan aplikasi di server

Memungkinkan melakukan eksekusi program “tidak benar” di server

Denial Of ServicesServer Side Scripting, Cgi-Bin

Kesalahan pemograman membuka peluang

Web Vulnerabilities

Authentikasi FORM HTMLBasic, DigestKlien Side + Server Side Scripting

Manajemen SesiMenggunakan Layer lain

S-HTTP ( discontinoued)HTTPS ( HTTP ovel SSL)IPSec

Konfigurasi Web ServerHak AksesIndexesPenempatan File

Kemanan Web

FORM HTML <form action="modules.php?name=Your_Account" method="post">... <br><input type="hidden" name="op" value="login"> ... </form>

Tidak di enkripsiBASIC

Algortima Base64Mudah di Dekrip

DIGESTAlghoritma Digest Ex: MD5Belum 100% di support

CS + SS ScriptBelum 100% di supporthttp://toast.newcastle.edu.au/js/md5/browsertest.php3.

Authentikasi

Hiden Form Field<input type="hidden" name="uniqueticket" View page Source

CookiesUser harus mennghidupkan fasilitasPoisoned cookies

Session Id-rw------- 1 nobody nobody 180 Jun 30 18:46 sess_5cbdcb16f ...

Dapat menggunakan History jika umur sesi belum habis

URL Rewriting http://login.yahoo.com/config/login?.tries=&.src=ym&.last=&promo=&.intl=us

Manajemen Sesi

Hak AksesLinux / Unix : Web Server => user = apache

Penempatan filePenempatan file-file penting <? php include ("./db.inc");?><? php include ("./config.php");?>Backup file konfigurasi

IndexesListing Isi Direktori

Konfigurasi Web Server

Untuk Semua Protokol TCPTelnet -> SSHHTTP -> HTTPS

Public Key ServerHashing

MD5 + SHACASekarang -> TLS

SSL

Menggunakan enkripsi untuk mengamankan transmisidata

Mulanya dikembangkan oleh NetscapeImplementasi gratis pun tersedia openSSL

Secure Socket Layer (SSL)

HTTPS adalah varian dari protocol HTTP dimana user mengakses dengan https://

Data yang dikirim ke server adalah data yang terenkripsi.

Enkripsi yang digunakan adalah enkripsi SSL (Secure socket Layer).

Menggunakan TCP port 443.

HTTP

Tampilan HTTP biasa

Tampilan HTTPS

Ilustrasi Cara Kerja SSL

1. Remote File Inclusion (RFI)2. Local File Inclusion (LFI)3. SQL injection4. Cross Site Scripting (XSS)

Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk menyerang suatu website:

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.

Dengan RFI seorang attacker dapat menginclude kan file yang berada di luar server yang bersangkutan.

Remote File Inclusion (RFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.

Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.

Penanganan LFI :Ubah fungsi ini

Allow_url_fopen = on gantilah dengan ofAllow_url_include = on gantilah dengan of

Local File Inclusion (LFI)

SQL injection adalah teknik yang memanfaatkan kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data input ke aplikasi tersebut.

Penanganan SQL Injection Merubah script phpMenggunakan MySQL_escape_stringPemfilteran karakter ‘ dengan memodifikasi

php.ini

SQL injection

XSS dikenal juga dengan CSS adalah singkatan dari Cross Site Scripting.

XSS adalah suatu metode memasukan code atau script HTML kedalam suatu website yang dijalankan melalui browser di client.

Cross Site Scripting (XSS)

Tips Keamanan WebsiteAda beberapa cara supaya website kita tidak mudah disusupi oleh para hacker, sehingga dapat mengurangi resiko kerusakan website, antara lain:

Jika anda menggunakan suatu CMS seperti joomla, phpbb, phpnuke, wordpress dan sebagainya, rajinlah mengupdate CMS anda dengan CMS terbaru jika muncul versi yang lebih baru.

Kunjungilah situs-situs yang membahas tentang keamanan aplikasi web seperti : www.milw0rm.com, www.securityfocus.com atau www.packetstormsecurity.org untuk mendapatkan informasi tentang bug terbaru.

Sewalah seorang yang ahli tentang keamanan website untuk menganalisis keamanan website anda.

Gunakanlah software seperti Acunetix untuk melakukan scanning atas kelemahan yang bisa terjadi di website anda

Tips keamanan website