SMK YPPT GARUT
Bagi Siswa SMK YPPT GARUT Harap Log In Atau Mendaftar Dahulu.
Terimakasih ^_^
Pencarian
 
 

Display results as :
 


Rechercher Advanced Search

Gallery


TIME
December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 

Calendar Calendar

User Yang Sedang Online
Total 1 user online :: 0 Terdaftar, 0 Tersembunyi dan 1 Tamu

Tidak ada

[ View the whole list ]


User online terbanyak adalah 27 pada Tue Jul 26, 2011 7:50 pm
Live Traffic Feed
Live Traffic Feed
Recommended Reading
Live Traffic Map

Dasar-Dasar Keamanan Web Part 1

Topik sebelumnya Topik selanjutnya Go down

Dasar-Dasar Keamanan Web Part 1

Post by asep rizqi rifangga on Tue Jul 14, 2009 10:23 am

Belakangan ini, dunia IT underground semakin marak saja. Sering kita saksikan baik di media cetak, elektronik, dan dunia maya, begitu banyak berita yang memuat aksi-aksi penyerangan, baik dalam bentuk deface sampai dDos yang meminta banyak korban. Tidak tanggung-tanggung, bahkan web pemerintah pun, baik pusat sampai daerah juga sudah banyak yang jadi korbannya.

Seperti yang sudah dibahas sebelumnya, mencari suatu bugs atau kelemahan keamanan dan melakukan audit terhadap suatu website jauh lebih mudah daripada membangun sebuah sistem keamanan itu sendiri. Bagaimana tidak, ada begitu banyak di internet maupun buku-buku yang membahas aneka macam teknik hacking itu sendiri.

Lalu, apakah dengan kenyataan yang seperti ini para webmaster ataupun praktisi keamanan web harus diam dan bersikap pesimis? Tentu saja tidak, justru sebaliknya, meski dengan mengaplikasikan berbagai teknik keamanan tidak menjamin web kita aman 100% (karena tidak pernah ada suatu sistem yang 100% sempurna), namun celah-celah yang demikian ini bukan mustahil untuk diminimalisir.

Setiap pengembang web, sebaiknya yang pertama kali harus dilakukan yaitu memperbaiki pengamanan terhadap web yang dibangunnya. Pengamanan harus diterapkan sejak awal karena penerapannya akan sangat sulit jika telah terjadi masalah di kemudian hari.

Dalam pengamanan dikenal dengan beberapa tingkat dan tipe. Tingkat dan tipe yang diperlukan untuk aplikasi kita akan berbeda-beda bergantung bagaimana aplikasi itu bekerja, tipe dan nilai data yang disimpan, jumlah resiko yang biasa dihadapi, usaha, serta biaya yang dipakai untuk menghasilkan aplikasi yang aman. Misalnya, pengamanan yang dibutuhkan untuk web perorangan akan sangat berbeda dibanding untuk situs perusahaan atau situs e-commerce.

Meskipun saya sendiri masih sangat awam (baca : newbie) dalam masalah ini, namun tidak ada salahnya bukan saya sedikit berbagi beberapa kiat yang mungkin bisa diterapkan untuk memperkuat sistem keamanan web kita. Sehingga lebih tepatnya tulisan ini bukan ditujukan buat temen-temen semua, namun juga lebih kepada pribadi saya sendiri.

Semua yang akan saya tulis di bawah ini merupakan kumpulan dari beberapa tulisan para webmaster-webmaster yang memang memiliki kapabilitas dalam bidang keamanan web, yang saya ringkas kemudian saya bahasakan dan susun sedemikian rupa sehingga lebih tertata dan mudah dipahami.

A. Faktor-Faktor Timbulnya Serangan

1. scripting

Kesalahan dalam scripting pembuatan web adalah hal terbanyak yang dimanfaatkan oleh para attacker, sehingga rata-rata web yang berhasil diserang melalui lubang ini. Kelemahan-kelemahan scripting yang ditemukan pada proses vulnerabilities scanning misalnya, XSS, SQL Injection, PHP Injection, HTML Injection, dan lain sebagainya.

Begitu pula pada CMS semisal Mambo, Joomla, WordPress, dan lainnya. CMS tersebut memiliki banyak komponen pendukung di internet yang bisa kita download, install dan konfigurasi. Sehingga sangat memungkinkan sekali terdapat bug pada scriptingnya. Langkah terbaik tentunya melakukan pembedahan (oprek) terhadap script serta melakukan pengujian sebelum komponen tersebut kita gunakan pada web yang sebenarnya. Pengujian bisa dilakukan melalui localhost pada komputer dengan menginstall PHP, apache, dan mySQL, atau menginstall software semisal WAMP ataupun XAMPP yang merupakan paket all in one.

Untuk mengatasi hal tersebut sebaiknya kita harus mulai belajar dan memahami scripting-scripting secara bertahap, baik HTML, PHP, javascript, dan sebagainya.

CMS tersebut sebenarnya cukup aman, namun komponen tambahan yang tidak dibuat dengan baik, tentu saja bisa menimbulkan masalah besar bagi sistem secara keseluruhan.

2. Lubang pada Situs Tetangga

Ini merupakan salah satu faktor yang jarang mendapat perhatian. Sebagian webmaster kadang tidak begitu peduli ketika web lain yang satu hosting dihacked. Mereka berpikiran, “Ah, toh bukan web saya yang kena.” Padahal justru di sinilah letak kesalahannya.

Logikanya, misal web kita ditempatkan pada perusahaan hosting A. itu artinya web kita bertetangga dengan web milik orang lain yang berada dalam 1 hosting. Jika web tetangga tersebut memiliki celah fatal, sehingga attacker bisa menanam program yang dijadikan backdoor. Dengan backdoor inilah attacker bisa masuk ke dalam web kita bahkan web lainnya. Bukan itu saja, tidak mustahil attacker melakukkan defacing massal, termasuk web kita tentunya.

3. Tempat Hosting yang Bermasalah

Pada beberapa kasus justru tempat hosting yang bermasalah menjadi sebab dihackednya banyak situs yang berada di bawah pengelolaannya. Pernah terjadi situs milik sebuah perusahaan dideface. Kemudia setelah diperbaiki, dideface lagi. Kemudian lapor ke admin perusahaan hosting, justru balik menyalahkan pemilik situs dengan alasan yang nggak masuk akal.

Kenyataannya, justru web hosting itu yang nggak pernah di administrasi dengan baik, jarang diupdate, dan jarang dipatch, sehingga mudah terkena serangan. Dengan model pengelolaan yang seperti ini jangan berharap web kita akan aman. Karena itu, pastikan tempat hosting yang digunakan benar-benar memperhatikan tingkat keamanan bagi pelanggannya.

B. Macam-Macam Tindakan Hacking

Dari kelemahan-kelemahan tersebut di atas, maka terjadilah beberapa tindakan hacking terhadap web yang kita miliki. Apa saja tindakan-tindakan hacking tersebut? Berikut beberapa di antaranya :

1. Memodifikasi Validasi Input

Biasanya para attacker mencoba menguji validasi-validasi input yang diterapkan pada form dan parameter buangan pada address bar dalam melakukan proses attacking.

Penanganan yang harus diperhatikan adalah memperhatikan validasi yang terdapat pada form, baik itu validasi angka maupun validasi string, batasi jumlah karakter yang bida dimasukkan, batasi jumlah karakter yang bisa dimasukkan, batasi kegiatan-kegiatan injeksi dengan : strip_tags(), htmlspecialchars(), gunakan variable global sebagaimana mestinya dan gunakan wordfilter untuk memfilter berbagai inputan yang berbahaya.

2. Cross-Site scripting (XSS)

Salah satu vulnerabilities dalam website adalah Cross-Site scripting (XSS). Ada 2 jenis aksi yang biasa dilakukan dalam XSS, yaitu

- Direct Action, merupakan injeksi kode yang dilakukan oleh attacker, tetapi hasil injeksinya hanya ditampilkan pada komputer user bersangkutan.

- Stored Action, merupakan injeksi kode yang dilakukan oleh attacker dan hasil injeksinya bisa dinikmati oleh banyak pengunjung.

Bagaimana mengatasi hal ini? Usahakan semua kode-kode spesial yang mempunyai arti dalam scripting HTML seperti < (kurang dari), > (lebih dari), & (ampersand), “ (kutip dua) dan ‘ (kutip satu) tidak dieksekusi sebagai karakter spesial. Semua karakter spesial tersebut harus diubah. Semua karakter spesial tersebut harus diubah dan dikonversi ke entitas HTML.

3. SQL Injection

Kegiatan attacking yang banyak dilakukan akhir-akhir ini adalah SQL Injection, karena SQL Injection merupakan teknik hacking yang sudah tersebar luas dan relatif mudah dipahami. Attacker melakukan proses attacking dengan menyisipkan perintah-perintah SQL pada form ataupun pada address bar.

Untuk mengatasi hal ini, sebaiknya kita membatasi inputan dengan : htmlspecialchars(), mysql_escape_string() dan hubungi administrator hosting kita untuk merubah : magic_quotes_gpc=on.

4. PHP Injection

web yang kita miliki bisa dideface, didirect dan dikuasai orang lain? Ya, ada teknik PHP Injection. Attacker mempergunakan sploit yang sudah ditanam di remote server miliknya dan hanya dengan mengeksekusi sript sploit tersebut melalui address bar dan melakukan connect back, maka terkuasailah web kita.

Untuk mengatasi hal ini, pastikan penggunaan file direct dengan include () harus dikurangi dan sering-seringlah melakukan update terhadap aplikasi yang kita gunakan. Jika kita memakai CMS, sering-seringlah melakuakn update CMSnya, begitu pula dengan komponen yang digunakan.

asep rizqi rifangga
Admins
Admins

Jumlah posting : 238
Points : 708
Reputation : -2
Join date : 29.06.09
Age : 22
Lokasi : Garut

Character sheet
Points:
500/500  (500/500)

Lihat profil user http://smk-yppt-garut.top-forum.net

Kembali Ke Atas Go down

Topik sebelumnya Topik selanjutnya Kembali Ke Atas


 
Permissions in this forum:
Anda tidak dapat menjawab topik