210 likes | 415 Views
WEB SERVER. Anggota : Melya R (7409030033) Aat K (7409030037) Eko Rian W (7409030040) Praditha Rizky (7409030046). DEFINISI.
E N D
WEB SERVER Anggota : Melya R (7409030033) Aat K (7409030037) Eko Rian W (7409030040) Praditha Rizky (7409030046)
DEFINISI • Webserver merupakan layanan aplikasi www (world wide web) untuk berkomunikasi dengan clientnya (web browser) yang mempunyai protokol sendiri, yaitu HTTP (hypertext transfer protocol).Dengan protokol ini, komunikasi antar web server dengan clientnya dapat saling dimengerti dan lebih mudah dimana layanan tersebut terpusat pada server.
Responsibility of WebServer • Availability (Ketersediaan), layanan pada webserveriniharus up and run untukmemenuhi request dari client. • Secure (Aman), layanan harus aman dan tidak mudah di akses oleh orang yang tidak punya otorisasi untuk mengaksesnya karena webserver merupakan jantung daripada informasi dan konten website • Patching dan Upgrade, untukmengurangikelemahan dari pada keamanan webserver. • User Management, Disiplin seorang administrator untuk memaintain webserver
Macam – macam web server • Open Source Platform • Apache • Savant • Roxen • Lamp • Jigsaw • Xitami • Aolserver • Zope • Propietary Platform • Microsoft Internet Information Services (IIS)
Konsep Keamanan Data • Static Definition • CIA2 • Confidentiality (Kerahasiaan) • Integrity (Keutuhan) • Availability (Ketersediaan) • Accountability (Pertanggungjawaban) • Dinamic Definition • APDR • Assesment (Penaksiran/Perkiraan) • Protection (Perlindungan) • Detection (Penemuan) • Reaction (Reaksi)
Exploit Web Server Secara garis besar exploit yang dipergunakan oleh cracker untuk masuk ke sebuah server dapat dibagi dalam dua bagian yaitu : • Lokal ExploitYang dimaksud dengan lokal exploit adalah exploit yang hanya dapat diexecute pada komputer itu sendiri. • Remote ExploitRemote exploit adalah exploit yang dapat diexecute dari jarak jauh.
Contoh Exploit • Known vulnerabilities dan misconfiguration adalah bug(hole) yangg timbul pada operating system (OS) ataupun aplikasi pihak ketiga (third party) • Hiden Fields ini terdapat pada HTML form, dimana dari field-field ini dapat di ketahui harga barang dan bahkan adanya password yang tersembunyi,
Cross Site Scripting Salah satu contohnya adalah anda membuat suatu page yg dapat mengumpulkan informasi dari user dan dikirim ke server user atau e-mail dll. • Parameter Tampering Dimana parameter tampering meliputi manipulasi dari URL sehingga dapat melihat informasi yg tidak seharusnya di publish. • Cookie Poisoning adalah merubah data yg ada di dalam cookie. • Buffer Overflow adalah tehnik dimana mereka mengirimkan packet data yg besar ke web site tertentu sehingga kinerja web server menjadi lambat. • Direct Access Browsing Seharusnya menggunakan authentication. Hal ini juga cukup berbahaya dimana data yang sensitive akan dapat di akses semuanya. Salah satu contoh yaitu dengan menggunakan telnet, dimana akses ke informasi web secara direct
DoS penyerang mengirimkan sebuah arus permintaan layanan pada mesin server untuk melemahkan sumber daya seperti memory atau melakukan komsumsi kapasitas processor • Smurf Attackmodifikasi dari “serangan ping” dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir thevictim mesin atau sistem dengan ratusan atau ribuan ping.
SYN Flooding AttackSerangan ini memanfaatkan kerentanan dalam TCP / IP protokol komunikasi. Serangan ini membuat mesin korban menanggapi kembali ke sistem tidak ada. Korban dikirim paket dan diminta untuk menanggapi sebuah sistem atau mesin • IPFragmentation/Overlapping Fragment AttackMemfasilitasi IP relatif sesak pengiriman melalui jaringan. dengan alamat IP yang salah. • SNMP Attack dapat mengakibatkan jaringan yang dipetakan, dan lalu lintas dapat dipantau dan diarahkan.
SOLUSI • Address field pada web aplikasi tidak boleh terdapat character @, $, *, < dan &. Nama field juga harus dibatasi tidak sampai dengan 255 char karena hal ini menuju padaexploit buffer overflow. • Pembuatan file htaccess pada web untuk keamanan • Tetap memonitoring patch terbaru sehingga tidak ketinggalan jaman dalam menginstall Service Pack. • Memindahkan lokasi default file yang berisi halaman web, untuk alasan keamanan dan fleksibilitas jangka panjang. • Belilah scanning tools utk scanning web anda sendiri. Sehingga dengan cara ini anda tahu hole apa yg ada di dalam web anda sendiri, contoh : Acunetix Web Vulnerability Scanner
Saran untuk konfigurasi web server yang aman • Menguji keamanan script CGI, agar bisa memverifikasi data yang diinputkan oleh user • File executable harus dibiarkan berjalan hanya dalam direktori tertentu yang ditentukan • Source kode tidak harus disimpan di mana saja di tempat yang dapat di download • Pengindeksan direktori harus dimatikan, kecuali jika menggunakan web eksternal hosting, anda tidak bisa mematikan
Jika tidak perlu, nonaktifkan Sistem manajemen content dan fitur lain yang memungkinkan user mengelola file di server Web Remote • Mengindentifikasi titik lemah potensial dengan memanfaatkan alat-alat keamanan, seperti IIS atau URL Scan • Informasi pribadi dan publik harus disimpan baik secara fisik terpisah • Data rahasia tidak harus berada pada mesin yang sama dengan server web yang bisa diakses publik
Intranet harus dilindungi firewall • Sebuah server web extranet harus terletak di luar firewall • Mengatur tingkat akses dan perizinan sesuai dengan perangkat lunak SO • Password harus diubah secara teratur, pasword default harus diubah • Setiap fitur, server atau penerjemah yang tidak digunakan harus dihapus atau dinonaktifkan.
SQL Injection • sebuah teknik untuk mengeksplorasi aplikasi web dengan memanfaatkan suplai data dari client dalam sintak SQL. • Menghindari SQL Injection Memfilter dengan tidak membolehkan karakter seperti single quote, double quote, slash, back slash, semi colon, extended character like NULL, carry return, new line, etc, dalam string form:- Masukan dari from users- Parameters di URL- Nilai dari cookie
Untuk nilai numeric, convert dulu sebelum melewati statement SQL dengan mengunakan ISNUMERIC untuk meyakinkan itu adalah integer. • Mengubah “Startup and run SQL Server” menggunakan low privilege user dalam SQL Server Security tab. • Ubah stored procedure – store procedure yang tidak terpakai, seperti:master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask