140 likes | 305 Views
Chapter #1 Keamanan Web. Oleh : Fiftin Noviyanto, M.Cs. A. Definisi Kemanan Web. Definisi Statis Kerahasiaan Keutuhan Dapat dipertanggung jawabkan Defenisi Dina mis Taksiran Proteksi Deteksi Reaksi. B. Tiga Pandangan Sistem Web. 1. Dari sisi user :. 2. Dari sisi Network :.
E N D
Chapter #1Keamanan Web Oleh : Fiftin Noviyanto, M.Cs.
A. Definisi Kemanan Web • Definisi Statis • Kerahasiaan • Keutuhan • Dapat dipertanggung jawabkan • Defenisi Dinamis • Taksiran • Proteksi • Deteksi • Reaksi
B. TigaPandanganSistem Web 1. Dari sisi user :
AncamanKeamanan • Serangan terhadap HTTP. Tipe-tipe serangan yg mungkin terjadi : • Apache vulnerable • Seranganpada programming model • SeranganBrute-force • Seranganterhadap Network • Sangat sedikit yg bisa kita lakukan pada level webserver • Beberapa memang dapat dicegah menggunakan firewall • Meng-enable cookie merupakanpersoalantersendiri • Selalu siap (tau kapan anda di serang)
JenisSeranganLainnya • Brute Force • Yaituprosesuntukmengetahui password dan user name seseorangdenganmenggunakanmetode trial and error • Content Spoofing • Teknik serangan dengan cara membuat halaman palsu yg menyerupai halaman aslinya • Denial of Service • Serangan yg dimaksudkan untuk menghalagi servis web terhadap aktivitas user. Yang menjadiobjekseranganbiasanya network layer • Cross-site Scripting (XSS) • Yaitumemaksasitusuntukmengeksekusi script-script tertentuygdi supply olehpenyerangmelalui browser. Adapun script ygdigunakanbiasanya HTML/JavaScript, ataubahkan VBScript, ActiveX, Java, Flash, dll • SQL Injection • Serangan menggunakan perintah SQL yang dimasukkan lewat form input
Antisipasi • Web server tidak pernah tidak membagi pakai data, karena memang tujuannya untuk dapat menggunakan informasi bersama. Meskidemikian, pemberianhakpakaitidakbegitusaja. • Identifikasipemakaidankelompok (user, group). Lihat "htpasswd". • Penentuanhakatas file dan directory. Dikombinasikan dengan user dan group. • Penentuan hak dapat dilakukan oleh server dalam konfigurasi utama (access.conf) • Penentuanhakdidelegasikanolehdanbagi path/directory tertentu. Lihat file ".htaccess". • Penentuan hak dilakukan oleh CGI atau SSI. Login melalui CGI/SSI. • memeriksa input login/password dari variabel environment. • menggunakan authentikasi system, RFC 2617 dari ISI.EDU atau local • Pembatasanaksesatas IP dan port client. Lihatcontoh "access.conf" • Pembatasanatasjenismethod (PUT, POST, GET, dsb) • User pelaku program webserver, CGI, SSI
Level keamanan : • Kebetulan. Pemakai yang kebetulan melihat ada kesalahan/kelemahan sistem. • User yang penasaran. Kebanyakan berasal dari kalangan pelajar, mahasiswa, peneliti, orang muda yang penasaran ingin menguji sistem tetapi tidak ingin melanggar hukum. • User yang serakah. Orang-orang yang ingin membocorkan rahasia (biasanya untuk bisnis) tetapi tidak ingin melanggar hukum. • Kriminal. Penjahat, pelanggarhukum • Kriminal terorganisir. Memiliki peralatan canggih. • Pemerintahan Lain. Kelompok yang memiliki sumber daya tak terbatas dan memang mengadakan permusuhan politis.
ISO Standard X.509, tentang usaha pelanggaran: • Identity InterceptionIdentitasdarisatuataulebihpemakaimungkinditutup. • Masquerade Pemakai berpura-pura sebagai user yang lain. • Replay Bentuk kusus masquerade (yang paling umum), user yang tidak berhak merekam perintah atau password dari pemakai lain dan mengulangi (replay) dalam system untuk memperoleh akses. • Data Interception A situation in which a perpetrator gains access to confidential information • Manipulation Data dikembari/duplikasi/dimanipulasi tanpa hak. • Repudiation Seorang pemakai mungkin menolak pertukaran data. • Denial of Service Pencegahan atau interupsi akses terhadap pelayanan dan atau menunda waktu kritis pelaksanaan operasi. • Misrouting Komunikasi yang ditujukan ke seseorang diarahkan (reroute) kepada yang lain. • Traffic Analysis Kemampuan mengumpulkan informasi dengan mengukur berbagai faktor seperti frekuensi, derajat, dan arah transfer informasi.
Secure Socket Layer (SSL) • SSL merupakanskemaenkripsipada layer Network. Ketika client mengirimkan request untukberkomunikasikesebuah secure server, server membuka port yang terenkripsi. Port ditangani oleh software yang disebut SSL Record Layer, yang berada di ujung atas TCP. Software level yang lebih tinggi, SSL Handshake Protocol, menggunakan SSL Record Layer dan portnya untuk menghubungi client. • SSL Handshake Protocol disisi server mengatur detail authentication dan encryption denganmenggunakanenkripsi public-key. Skemaekripsi public-key didasarkanpadafungsi "one-way" mathematika. SSLeayadalahimplementasi protocol SSL yang bebasdigunakan.
Secure HTTP (S-HTTP) • Secure HTTP (S-HTTP) dari Enterprise Integration Technologies berlaku seperti SSL, yang mengijinkan kedua sisi untuk melakukan enkripsi dan autentikasi dijital. S-HTTP merupakan protokol level aplikasi yang memberikan nilai tambah bagi HTTP.
Referensi • Hasanuddin,2008, Diktat Rekayasa Web, Yogyakarta,Teknik Informatika Universitas Ahmad Dahlan