chapter #1 keamanan web
DESCRIPTION
Chapter #1 Keamanan Web. Oleh : Fiftin Noviyanto, M.Cs. A. Definisi Kemanan Web. Definisi Statis Kerahasiaan Keutuhan Dapat dipertanggung jawabkan Defenisi Dina mis Taksiran Proteksi Deteksi Reaksi. B. Tiga Pandangan Sistem Web. 1. Dari sisi user :. 2. Dari sisi Network :. - PowerPoint PPT PresentationTRANSCRIPT
Oleh : Fiftin Noviyanto, M.Cs.
Definisi Statis◦ Kerahasiaan◦ Keutuhan◦ Dapat dipertanggung jawabkan
Defenisi Dinamis◦ Taksiran◦ Proteksi◦ Deteksi◦ Reaksi
1. Dari sisi user :
2. Dari sisi Network :
Serangan terhadap HTTP. Tipe-tipe serangan yg mungkin terjadi :
Apache vulnerable Serangan pada programming model Serangan Brute-force
Serangan terhadap Network
◦ Sangat sedikit yg bisa kita lakukan pada level webserver◦ Beberapa memang dapat dicegah menggunakan firewall◦ Meng-enable cookie merupakan persoalan tersendiri
Selalu siap (tau kapan anda di serang)
Brute Force◦ Yaitu proses untuk mengetahui password dan user name seseorang
dengan menggunakan metode trial and error Content Spoofing
◦ Teknik serangan dengan cara membuat halaman palsu yg menyerupai halaman aslinya
Denial of Service◦ Serangan yg dimaksudkan untuk menghalagi servis web terhadap
aktivitas user. Yang menjadi objek serangan biasanya network layer Cross-site Scripting (XSS)
◦ Yaitu memaksa situs untuk mengeksekusi script-script tertentu yg di supply oleh penyerang melalui browser. Adapun script yg digunakan biasanya HTML/JavaScript, atau bahkan VBScript, ActiveX, Java, Flash, dll
SQL Injection◦ Serangan menggunakan perintah SQL yang dimasukkan lewat form
input
Web server tidak pernah tidak membagi pakai data, karena memang tujuannya untuk dapat menggunakan informasi bersama. Meski demikian, pemberian hak pakai tidak begitu saja.
Identifikasi pemakai dan kelompok (user, group). Lihat "htpasswd". Penentuan hak atas file dan directory. Dikombinasikan dengan user
dan group. Penentuan hak dapat dilakukan oleh server dalam konfigurasi utama
(access.conf) Penentuan hak didelegasikan oleh dan bagi path/directory tertentu.
Lihat file ".htaccess". Penentuan hak dilakukan oleh CGI atau SSI. Login melalui CGI/SSI.
◦ memeriksa input login/password dari variabel environment. ◦ menggunakan authentikasi system, RFC 2617 dari ISI.EDU atau local
Pembatasan akses atas IP dan port client. Lihat contoh "access.conf" Pembatasan atas jenis method (PUT, POST, GET, dsb) User pelaku program webserver, CGI, SSI
Level keamanan :◦ Kebetulan. Pemakai yang kebetulan melihat ada
kesalahan/kelemahan sistem. ◦ User yang penasaran. Kebanyakan berasal dari
kalangan pelajar, mahasiswa, peneliti, orang muda yang penasaran ingin menguji sistem tetapi tidak ingin melanggar hukum.
◦ User yang serakah. Orang-orang yang ingin membocorkan rahasia (biasanya untuk bisnis) tetapi tidak ingin melanggar hukum.
◦ Kriminal. Penjahat, pelanggar hukum ◦ Kriminal terorganisir. Memiliki peralatan canggih. ◦ Pemerintahan Lain. Kelompok yang memiliki
sumber daya tak terbatas dan memang mengadakan permusuhan politis.
ISO Standard X.509, tentang usaha pelanggaran: Identity Interception Identitas dari satu atau lebih pemakai
mungkin ditutup. Masquerade Pemakai berpura-pura sebagai user yang lain. Replay Bentuk kusus masquerade (yang paling umum), user
yang tidak berhak merekam perintah atau password dari pemakai lain dan mengulangi (replay) dalam system untuk memperoleh akses.
Data Interception A situation in which a perpetrator gains access to confidential information
Manipulation Data dikembari/duplikasi/dimanipulasi tanpa hak. Repudiation Seorang pemakai mungkin menolak pertukaran
data. Denial of Service Pencegahan atau interupsi akses terhadap
pelayanan dan atau menunda waktu kritis pelaksanaan operasi.
Misrouting Komunikasi yang ditujukan ke seseorang diarahkan (reroute) kepada yang lain.
Traffic Analysis Kemampuan mengumpulkan informasi dengan mengukur berbagai faktor seperti frekuensi, derajat, dan arah transfer informasi.
SSL merupakan skema enkripsi pada layer Network. Ketika client mengirimkan request untuk berkomunikasi ke sebuah secure server, server membuka port yang terenkripsi. Port ditangani oleh software yang disebut SSL Record Layer, yang berada di ujung atas TCP. Software level yang lebih tinggi, SSL Handshake Protocol, menggunakan SSL Record Layer dan portnya untuk menghubungi client.
SSL Handshake Protocol di sisi server mengatur detail authentication dan encryption dengan menggunakan enkripsi public-key. Skema ekripsi public-key didasarkan pada fungsi "one-way" mathematika. SSLeay adalah implementasi protocol SSL yang bebas digunakan.
Secure HTTP (S-HTTP) dari Enterprise Integration Technologies berlaku seperti SSL, yang mengijinkan kedua sisi untuk melakukan enkripsi dan autentikasi dijital. S-HTTP merupakan protokol level aplikasi yang memberikan nilai tambah bagi HTTP.
Hasanuddin,2008, Diktat Rekayasa Web, Yogyakarta, Teknik Informatika Universitas Ahmad Dahlan