Sekilas

Website merupakan salah satu sistem informasi yang digunakan untuk promosi kantor, perusahaan, sekolah, bahkan sekedar buku harian on line.

Fungsi keamanan web

• Mencegah timbulnya ancaman sebelum benar-benar terjadi.

• Meminimumkan kemungkinan terjadinya ancaman tersebut.

• Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi

Faktor-Faktor Timbulnya Serangan Terhadap Web

• Scripting

• Lubang pada Situs Tetangga

• Tempat Hosting yang Bermasalah

Macam-Macam Tindakan Hacking

• Memodifikasi Validasi Input • Cross-Site Scripting (XSS), ada 2 jenis :

-        Direct Action, merupakan injeksi kode yang dilakukan oleh attacker, tetapi hasil injeksinya hanya ditampilkan pada komputer user bersangkutan.-       Stored Action, merupakan injeksi kode yang dilakukan oleh attacker dan hasil injeksinya bisa dinikmati oleh banyak pengunjung.

• SQL Injection yaitu attacker melakukan proses attacking dengan menyisipkan perintah-perintah SQL pada form ataupun pada address bar.

• PHP Injection yaitu attacker mempergunakan sploit yang sudah ditanam di remote server miliknya dan hanya dengan mengeksekusi sript sploit tersebut melalui address bar dan melakukan connect back, maka terkuasailah web kita.

Dasar-Dasar Pengamanan

• Pemilihan Sistem Operasi (OS), Setting Server, dan Desain Aplikasi

• Instalasi Patch (aplikasi baru untuk penyempurnaan software lama yang terpakai oleh kita dari pihak produsen software)

• Kontrol Akses(Penentuan siapa yang dapat mengakses server)

• Audit dan Log File • Menerapkan Kriptografi

Penerapan Dasar-Dasar Pengamanan

• Level Sistem Operasi (OS) dan Hardware

• Level Akses Host

• Level Akses Direktori dan File

Level Sistem Operasi (OS) dan Hardware (1)

• Back up full dan differential secara periodik dan otomatis

• Mengaktifkan firewall• Mengaktifkan sistem loging yang baik dan efektif

untuk keperluan audit dan monitoring• Untuk OS *nix, mengaktifkan Intrusion Detection

atau akan lebih baik jika menggunakan IPS• Untuk OS *nix, mengaktifkan detektor malicious

code seperti Tripwire atau dengan membuat sendiri

• Untuk OS *nix, mengaktifkan detektor scan, SATAN, seperti courtney, icmpinfo, klaxon, snort, atau dengan membuat script sendiri

Level Sistem Operasi (OS) dan Hardware (2)

• Menerapkan otorisasi ACL dengan melakukan restriksi pada user, direktori, dan file dengan akses paling terbatas.

• Untuk OS Windows, menggunakan properti file atau direktori dan menyetting user serta hak aksesnya

• Selalu melakukan patching atau upgrade dengan versi yang lebih baru atau stabil

• Tidak memperbolehkan user menggunakan program remote seperti telnet

• Menonaktifkan semua service yang tidak diperlukan

• Menggunakan SSL

Level Akses Host

• Level berikutnya untuk memperkuat keamanan web yaitu mengaktifkan restriksi akses level host. Dengan kata lain, implementasi otorisasi host dilakukan di sini.

Level Akses Direktori dan File • Level Akses Direktori

Lakukan proteksi pada direktori yang dianggap penting dan bukan untuk konsumsi umum, seperti direktori administrator, login, dll.

• Level Akses File

* Selalu melakukan back up secara berkala (full dan differential)

* Menghapus file instalasi dan direktorinya

* Aktif di forum yang membahas tentang keamanan website

* Mengganti user admin menjadi nama yang tidak menunjukkan account admin