330 likes | 666 Views
Keamanan Sistem World Wide Web. Keamanan Sistem WWW. Fasilitas internet: http, mail, ftp, gopher, dll World Wide Web (WWW) salah satu aplikasi yang membuat populernya internet. Keunggulan web → kemudahan mengakses informasi . Konsep → hypertext
E N D
Keamanan Sistem WWW • Fasilitas internet: http, mail, ftp, gopher, dll • World Wide Web (WWW) salahsatuaplikasi yang membuatpopulernya internet. • Keunggulan web → kemudahanmengaksesinformasi. • Konsep → hypertext • Pembacasistem WWW (browser) → Netscape, Internet Explorer, Mozilla, Chrome, Lynx, Mozaic, dll
Keamanan Sistem WWW • Perkembangan WWW dan internet menyebabkansisteminformasimenggunakannyasebagai basis • Banyakaplikasisisteminformasi yang tidakterhubungke internet tetapitetapmenggunakan basis web → intranet • Keamanansisteminformasibergantungpadakeamanansistem Web.
Keamanan Sistem WWW • Arsitektur sistem Web terdiri dari 2 sisi: server dan client • Sistem Web dapat menyajikan data dalam bentuk statis dan dinamis • Program dapat dijalankan di server (misalnya: PHP, ASP, CGI) dan di client (javascript, applet) • Sistem server maupun client memiliki permasalahan yang berbeda.
Keamanan Sistem WWW Asumsi sebuah sistem Web (dari sisi pengguna) • Sistem Web dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki sistem tersebut. Misalnya: domain rcti.tv dan isi situsnya menunjukkan bahwa situs itu miliki RCTI, maka dapat dipercaya bahwa situs itu miliknya RCTI. Pembajakan domain merupakan pengecualian terhadap asumsi ini. • Dokumen yang ditampilkan tidak mengandung malcode. • Server tidak mendistribusikan informasi mengenai pengunjung ke pihak lain. Kunjungan ke sebuah situs, data nomer IP, operating system, browser yang digunakan, dll, dapat dicatat.
Keamanan Sistem WWW Asumsi Dari Penyedia Jasa (WebMaster) • Pengguna tidak beritikad untuk merusak server atau mengubah isinya tanpa izin. • Pengguna hanya boleh mengakses dokumen-dokumen atau informasi yang diizinkan untuk diakses. • Pengguna tidak mencoba-coba untuk masuk ke direktori yang tidak diperkenankan
Keamanan Sistem WWW Asumsi Kedua Belah Pihak • Jaringan komputer dan komputer bebas dari penyadapan pihak ketiga • Informasi yang disampaikan dari server ke client (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak • Asumsi-asumsi di atas dapat dilanggar sehingga mengakibatkan adanya masalah keamanan, baik di sisi server maupun di sisi client
Keamanan Server WWW • Keamanan server WWW merupakantanggungjawab administrator jaringan • Dengandijadikannya server WWW, makaadaakses yang dibukauntukorangluar • Server WWW menyediakanfasilitas agar client dapatmengambilinformasi • Informasi yang diambildalambentuk file • Menggunakanperintah GET • Informasi yang diambildieksekusidi server (PHP, ASP, CGI, dll) • Keduaservisdiatas (mengambildanmengeksekusi file) memilikipotensilubangkeamanan.
Keamanan Server WWW Lubangkeamanansistem WWW dapatmenghasilkanserangan: • Informasi yang ditampilkandiubah (deface) • Informasi yang seharusnyauntukkalanganterbatas, ternyataberhasilditampilkanolehorang yang tidakberhak • Informasidapatdisadap, misalnya • Pengirimannomer CC • Monitoring kemanasajaseseorangmelakukan surfing • DoS Attack • Server WWW yang terletakdibelakang firewall, lubangkeamanan server WWW dapatmelemahkandanbahkanmenghilangkanfungsi firewall
Keamanan Server WWW MembatasiAksesMelaluiKontrolAkses • Perludibuatpembatasanakses agar orang-orangtertentusaja yang dapatmengakses Pembatasanaksesdapatdilakukandengan • Membatasi domain atauNomor IP yang dapatmengakses • Menggunakan user dan password • Mengenkripsi data sehinggahanyadapatdibukaolehorang yang memilikikunci
Keamanan Server WWW Potensilubangkeamananpada script(sisi server) antara lain: • User memasang script yang dapatmengirim data password kepadapengunjung yang mengeksekusi script tersebut. • Script dipanggilberkali-kali sehinggaberdampak server menjaditerbenani (CPU Time meningkat) • Melalui guestbook, dapatdiisikan link yang kehalamanpornografiataudiisikansampahsehinggamemenuhi disk. • Teks yang dikirimdiisidengankaraktertertentudengantujuanuntukmerusaksistem. Sering kali dilakukanpada search engine, denganmemasukankatakunciseperti %%%, %; drop table, tandapetiktunggal, dll • Salahkonfigurasihttpd, misalnyahttpddijalankanoleh user root
Keamanan Client WWW Biasanyaberhubungandengan: • Masalahprivasi • Penyisipanmalcode
Keamanan Client WWW MasalahPrivasi • Kunjungankesebuahsitusdapatmengakibatkanadanya cookie yang bergunauntukmenandaipernahberkunjung • Sehinggabilamengunjungilagisitustersebut, maka server dapatmengetahuikitakembali. Baikbukan? Dampak cookie: • Ketahuankemanasajakita surfing. • Cookie bisadicuri. Bagaimanabilaada data yang bersifatrahasia (seperti user dan password) Solusi: • Janganmeninggalkanjejakdi internet
Keamanan Client WWW PenyisipanMalCode • Penyerangandilakukandenganmenyisipkanmalcode (worm atautrojan horse) kesebuahhalamansitus. • Dampaknya, client dapatdikendalikandarijarakjauh, penyadapanterhadapapa yang diketik, melihatisidirektori, melakukan reboot, bahkandapatmelakukan format harddisk. Solusi: • Aktifkan Anti Virus yang dapatmengecekhalamandarisebuahsitus.