yang akan dibahas mengenai www security sebagai berikut :
Arsitektur www
- Server (Apache, IIS)
- Client (IE, Firefox, Netscape, Mozilla, Safari, Opera, Galeon, Kfm, Arena, Amaya, Lynx, K-meleon
- Terhubung melalui jaringan
Asumsi (sisi Pengguna)
Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut, Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya, Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browser)
Asumsi (sisi webmaster)
Pengguna tidak beritikad untuk merusak web server atau mengubah isinya. Pengguna hanya mengakses dokumen-dokumen yang diperkenankan di akses (dimana dia memiliki ijin) identitas pengguna benar.
Keamanan server WWW
- server www (httpd) menyediakan informasi (statis dan dinamis)
- Halaman statis diperoleh dengan perintah GET
- Halaman dinamis diperoleh dengan
- CGI (Common Gateway Interface)
- Server Side Include (SSI)
- Aktive Server Page (ASP), PHP
- Servlet (Seperti java Servlet, ASP)
- Tampilan web diubah (deface)
- Dengan eksploitasi skrip/ previledge / OS diserver
- masuk ke server dan mengubah secara manal
- mengubah data melalui CGI (Common Gateway Interface)
- Mengubah data di database (SQL Injection, XXS)
contoh : Laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu
- Penyadapan Informasi
- URL watch : melihat siapa mengakses apa saja. Masalah privacy
- SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi
- DoS attack
- Request dalam jumlah yang banyak (bertubi-tubi)
- Request yang memblokir (Lambat mengirimkan perintah GET)
- Digunakan untuk menipu firewall (tunelling ke luar jaringan)
- Port 80 digunakan untuk identifikasi server ( karena biasanya dibuka di router/firewall)
Membatasi Akses
- Access Control
- Hanya IP terntentu yang dapat mengakses server (Konfigurasi web server atau firewall)
- Via Userid dan Password (htaccess)
- Menggunakan token
- Menggunakan enkripsi untuk menyandikan data-data
Secure Socket Layer (SSL)
- Menggunakan enkripsi untuk mengamankan transmisi data
- Mulanya dikembangkan oleh Netscape
- Implementasi gratis pun tersedia ( openSSL)
- Informasi tentang server digunakan sebagai bagian dari casing the joint
- Dapat dilakukan dengan :
(Memberikan perintah http langsung via telnet dan Menggunakan program netcat)
WEB DAN SQL
Banyak aplikasi (transaksi) menggunakan basis web untuk mengakses database juga dynamic web site serta database diakses melalui SQL. Sayangnya sering kali implementasi teledor. Adanya SQL Injection Attack, dengan memasukkan perintah-perintah SQL yang nakal dengan akibat yang berbeda yang dapat membuat server down dan database berubah). Tidak terdeteksi oleh firewall atau IDS karena pada level aplikasi.
Keamanan Client WWW
-Berhubung dengan masalah Privacy
antara lain, cookis untuk tracking kemana saja browsing dan pengiriman informasi pribadi.
-Attack (via aktive script, javascript, java)
antara lain, Pengiriman data-data komputer (program apa yang terpasang, dan sebagainya), DoS attack (buka windows banyak), Penyusupan virus, trojan horse, spyware dan yang terakhir security hole di JPEG bisa mengeksekusi aplikasi di sisi client
Kesimpulan
- WWW merupakan salah satu aplikasi utama internet dan intranet
- Meskipun memiliki banyak keuntungan, sistem www masih banyak lubang keamanan, baik disisi server maupun disisi client
Demikianlah tentang www security. Semoga bermanfaat bagi ilmu pengetahuan.
Sekian dan terima kasih
Referensi : ebook Ir. Budi Rahardjo, MSc,. PhD
Tidak ada komentar:
Posting Komentar