resume simulasi keamanan pada aplikasi web dengan web application firewall
TRANSCRIPT
-
7/26/2019 Resume Simulasi Keamanan Pada Aplikasi Web Dengan Web Application Firewall
1/5
ABSTRAK
Aplikasi web adalah suatu aplikasi yang diakses menggunakan browser webmelalui jaringan internet. Jenis-jenis aplikasi web sangat beragam, seperti toko online
dan website informasi yang dalam beberapa tahun terakhir menjadi target serangan
hacker. Adapun ancaman yang sering terjadi diantaranya merupakan ancaman SQL
Injection, Cross-Site Scripting dan Unrestricted File Upload.
SQL Injectionadalah jenis ancaman yang mengizinkan quer SQL dapat di-
inject oleh client kemudian diteruskan olehser!er untuk dieksekusi.
Cross-Site Scripting adalah ancaman yang mengizinkan kode (client side
script) dimasukan ke dalam suatu website yang dapat dijalankan pada sisi client.
Unrestricted File Uploadadalah jenis ancaman yang mengizinkan user untuk
menyisipkan "ile, biasanya "ile yang di-upload telah disediakan oleh attacker dan
digunakan untuk mengeksekusi kode jarak jauh (#e$ote Code %&ecution).
ntuk mengatasi tipe ancaman tersebut dibutuhkan suatu mekanisme
keamanan. 'eb (pplication Firewall adalah !uatu metode untuk pengamanan pada
aplikasi web yang memiliki beberapa fungsi, mulai dari monitoring trafik, secure
director, pemfilteranstring dan proteksi terhadap serangan seperti SQL Injections,
Cross-Site Scripting, dan Unrestricted File Upload.
-
7/26/2019 Resume Simulasi Keamanan Pada Aplikasi Web Dengan Web Application Firewall
2/5
"#$%A&'A$
Aplikasi web adalah suatu aplikasi yang diakses menggunakan browser webmelalui jaringan internet. Jenis-jenis aplikasi web sangat beragam. !eperti toko
online dan website informasi yang dalam beberapa tahun terakhir menjadi target
serangan hacker. erdasarkan data dari )he *pen 'eb (pplication Securit +roject
(*A!") pada tahun +, yang melakukansur!e mengenai ancaman yang sering
terjadi pada aplikasi web diantaranya merupakan ancaman SQL Injection, Cross-Site
Scripting dan Unrestricted File Upload.
/eamanan pada aplikasi web kurang mendapat perhatian dari de!elopersehingga menyebabkan serangan di internet dilakukan terhadap sebuah web, untuk itu
diperlukan pengamanan khusus yakni dengan 'eb (pplication Firewall. 'eb
(pplication Firewall adalah !uatu metode untuk pengamanan pada aplikasi web,
yang berupaya mencegah adanya ancaman dari attacker. 'eb (pplication Firewall
dapat bekerja dengan terlebih dahulu melakukan konfigurasi tambahan pada web
ser!er dan tidak perlu melakukan perubahan pada script pembangun aplikasi,
sehingga dapat diterapkan pada aplikasi yang sudah berjalan.
'eb (pplication Firewall (*A0) memiliki beberapa fungsi, mulai dari
monitoring trafik,secure director, pemfilteranstring dan proteksi terhadap serangan
seperti SQL Injections, Cross-Site Scripting, dan Unrestricted File Upload. 'eb
(pplication Firewall membentuk lapisan keamanan yang dapat mendeteksi dan
mencegah serangan pada aplikasi web. Adapun tindakan yang dapat dilakukan seperti
menghentikan request dengan status 1"orbidden dan juga dapat melakukan !irtual
patching. %imana !irtual patching merupakan suatu rule yang diterapkan untuk
melakukanpatch tanpa menyentuh aplikasi guna memblokir request yang berbahaya.
-
7/26/2019 Resume Simulasi Keamanan Pada Aplikasi Web Dengan Web Application Firewall
3/5
PENGUJIAN
"engujian metode ini dilakukan pada aplikasi web tanpa metode keamanan
dan pada aplikasi web dengan metode keamanan, dengan menginjeksikan tiga tipe
serangan yang sering terjadi pada aplikasi web yaitu SQL Injection, Cross Site
Scripting dan Unrestricted File Upload.
Pengujian Ancaman SQL Injection
(ttacker yang terkoneksi dengan internet akan mengakses layanan pada ser2er yaitu
sebuah e-commerce yang tidak menggunakan 'eb (pplication Firewall dengan
metode SQL Injection untuk mem-bpass "or$ login admin pada aplikasi web
tersebut. "ada pengujian ancaman SQL Injection dilakukan dua langkah penting yaitu
mencari web "or$ dan manipulasi input-an login.
Pengujian Ancaman Cross Site Scripting
"ada pengujian ancaman Cross Site Scripting dilakukan pada"or$ 3hubungi kami4
yakni dengan menginjeksi sebuahscript )L sehingga web terganggu.
Pengujian Ancaman Unrestricte !i"e Up"oa
"ada pengujian ancaman Unrestricted File Upload dilakukan dua langkah penting
yaitu mencari direktori web tempat diletakannya"ile yang akan disisipkan dan meng-
upload "ile yang telah disediakan untuk merubah halaman utama web aplikasi target
(de"ace).
-
7/26/2019 Resume Simulasi Keamanan Pada Aplikasi Web Dengan Web Application Firewall
4/5
Pencarian #irectori $e%
(ttacker akan mencari letak dari direktori "ile yang di-upload menggunakan tool
pencarian direktori dan"ile sensitif pada web aplikasi.
E&se&usi !orm Up"oa
!etelah melakukan pencarian letak direktori i$ages,pengujian ancaman Unrestricted
File Upload dilakukan pada "or$ 3buat akun4 dimana akan di-upload sebuah "ile
untuk mengganti halaman utama website (de"ace).
E&se&usi !i"e Up"oa
!etelah"ile inject.php ditemukan seperti terlihat pada gambar, lalu eksekusi dengan
cara meng-klik file tersebut.
Pengujian Keamanan
"engujian keamanan meliputi pengujian 'eb (pplication Firewall dengan tiga tipe
serangan yang sering terjadi pada aplikasi web, yaitu SQL Injection, Cross Site
Scripting, Unrestricted File Upload sebagai tolak ukur yang menentukan apakah 'eb
(pplication Firewall dapat meminimalisir ancaman yang sering terjadi pada aplikasi
web.
Pengujian 'etoe $A! Paa SQL Injection
"ada pengujian ini, web aplikasi yang telah menggunakan metode 'eb (pplication
Firewall diuji dengan tipe ancaman SQL Injectionpada"or$ login admin.
-
7/26/2019 Resume Simulasi Keamanan Pada Aplikasi Web Dengan Web Application Firewall
5/5
Pengujian 'etoe $A! Paa Cross Site Scripting
"ada pengujian ini, web aplikasi yang telah menggunakan metode 'eb (pplicationFirewall diuji dengan tipe ancaman Cross Site Scriptingpada"or$ hubungi kami.
erdasarkan pengujian yang telah dilakukan pada aplikasi web yang tidak
menggunakan dan yang menggunakan 'eb application Firewall, dapat ditarik hasil
bahwa metode keamanan pada aplikasi web dengan metode 'eb (pplication Firewall
dapat direkomendasikan sebagai metode keamanan pada websiet, karena5
. %apat menangani tiga tipe ancaman yang sering terjadi pada aplikasi web
yaitu, SQL Injection, Cross Site Scripting dan Unrestricted File Upload.
+. %apat diterapkan pada aplikasi web yang sudah berjalan dan tidak perlu
melakukan perubahan padascriptpembangun aplikasi.. #ules yang digunakan untuk menangani ancaman pada aplikasi web dapat
disesuaikan dengan kebutuhan.