6. keamanan web
DESCRIPTION
presntasi penggunaan keamanan webTRANSCRIPT
Ainun Nafidzah
Anggi Supriatna
Nina Rahmayani
Kemanan Web
How Web Works ? Menggunakan protokol HTTP Klien meminta dokumen melalui URL (Request) Server membalas dengan memberikan dokumen jika
ada (Replay) HTTP bersifat Stateless
Elemen web lainya : HTML, ASP, PHP, JSP, dll Aplikasi : Audio/Video, Postscript, pdf Browser :
Untuk menampilkan dokumen dan gambar Untuk membantu menjalakan aplikasi IE, Mozilla, Netscape, Konqueror, Lynx, dll
Keamanan Web
http://www.w3.org/Security/FaqIntercept informasi dari klien
Data, password, dllPencurian data di server
Data, password, dllMenjalankan aplikasi di server
Memungkinkan melakukan eksekusi program “tidak benar” di server
Denial Of ServicesServer Side Scripting, Cgi-Bin
Kesalahan pemograman membuka peluang
Web Vulnerabilities
Authentikasi FORM HTMLBasic, DigestKlien Side + Server Side Scripting
Manajemen SesiMenggunakan Layer lain
S-HTTP ( discontinoued)HTTPS ( HTTP ovel SSL)IPSec
Konfigurasi Web ServerHak AksesIndexesPenempatan File
Kemanan Web
FORM HTML <form action="modules.php?name=Your_Account" method="post">... <br><input type="hidden" name="op" value="login"> ... </form>
Tidak di enkripsiBASIC
Algortima Base64Mudah di Dekrip
DIGESTAlghoritma Digest Ex: MD5Belum 100% di support
CS + SS ScriptBelum 100% di supporthttp://toast.newcastle.edu.au/js/md5/browsertest.php3.
Authentikasi
Hiden Form Field<input type="hidden" name="uniqueticket" View page Source
CookiesUser harus mennghidupkan fasilitasPoisoned cookies
Session Id-rw------- 1 nobody nobody 180 Jun 30 18:46 sess_5cbdcb16f ...
Dapat menggunakan History jika umur sesi belum habis
URL Rewriting http://login.yahoo.com/config/login?.tries=&.src=ym&.last=&promo=&.intl=us
Manajemen Sesi
Hak AksesLinux / Unix : Web Server => user = apache
Penempatan filePenempatan file-file penting <? php include ("./db.inc");?><? php include ("./config.php");?>Backup file konfigurasi
IndexesListing Isi Direktori
Konfigurasi Web Server
Untuk Semua Protokol TCPTelnet -> SSHHTTP -> HTTPS
Public Key ServerHashing
MD5 + SHACASekarang -> TLS
SSL
Menggunakan enkripsi untuk mengamankan transmisidata
Mulanya dikembangkan oleh NetscapeImplementasi gratis pun tersedia openSSL
Secure Socket Layer (SSL)
HTTPS adalah varian dari protocol HTTP dimana user mengakses dengan https://
Data yang dikirim ke server adalah data yang terenkripsi.
Enkripsi yang digunakan adalah enkripsi SSL (Secure socket Layer).
Menggunakan TCP port 443.
HTTP
Tampilan HTTP biasa
Tampilan HTTPS
Ilustrasi Cara Kerja SSL
1. Remote File Inclusion (RFI)2. Local File Inclusion (LFI)3. SQL injection4. Cross Site Scripting (XSS)
Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk menyerang suatu website:
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan RFI seorang attacker dapat menginclude kan file yang berada di luar server yang bersangkutan.
Remote File Inclusion (RFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
Penanganan LFI :Ubah fungsi ini
Allow_url_fopen = on gantilah dengan ofAllow_url_include = on gantilah dengan of
Local File Inclusion (LFI)
SQL injection adalah teknik yang memanfaatkan kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data input ke aplikasi tersebut.
Penanganan SQL Injection Merubah script phpMenggunakan MySQL_escape_stringPemfilteran karakter ‘ dengan memodifikasi
php.ini
SQL injection
XSS dikenal juga dengan CSS adalah singkatan dari Cross Site Scripting.
XSS adalah suatu metode memasukan code atau script HTML kedalam suatu website yang dijalankan melalui browser di client.
Cross Site Scripting (XSS)
Tips Keamanan WebsiteAda beberapa cara supaya website kita tidak mudah disusupi oleh para hacker, sehingga dapat mengurangi resiko kerusakan website, antara lain:
Jika anda menggunakan suatu CMS seperti joomla, phpbb, phpnuke, wordpress dan sebagainya, rajinlah mengupdate CMS anda dengan CMS terbaru jika muncul versi yang lebih baru.
Kunjungilah situs-situs yang membahas tentang keamanan aplikasi web seperti : www.milw0rm.com, www.securityfocus.com atau www.packetstormsecurity.org untuk mendapatkan informasi tentang bug terbaru.
Sewalah seorang yang ahli tentang keamanan website untuk menganalisis keamanan website anda.
Gunakanlah software seperti Acunetix untuk melakukan scanning atas kelemahan yang bisa terjadi di website anda
Tips keamanan website