Web security issue
Ternyata selain keuntungan atau manfaat yang disediakan oleh web, kenaikan jumlah
masalah security akibat coding yang tidak layak, kesalahan-kesalahan dalam konfigurasi web server, dll. Web security merupakan bagian dari. Computer/Information security. Pertanyaan yang muncul dalam computer security ataupun web security yaitu: “apa yang harus secure ?” Electronic Assets Electronic Assets adalah target dari serangan yang
mengancam keamanan sistem komputer atau sistem informasi. Electronic Assets merupakan aset yang paling berarti bagi suatu perusahaan atau industri yang sehariharinya bergantung pada sistem komputer dan jaringan dalam menjalankan transaksi bisnisnya. 'Electronic Assets adalah data dan program'
The Difference Between Hackers
and Crackers
Hacker adalah orang yang sangat tertarik dalam kerja rahasia dan terpendam dari setiap sistem operasi komputer. Hacker yang paling sering adalah programmer. Dengan demikian, hacker memperoleh pengetahuan maju yaitu sistem operasi dan bahasa pemrograman. Mereka mungkin menemukan lubang dalam sistem dan alasan untuk lubang tersebut. Hacker selalu mencari pengetahuan lebih lanjut, bebas membagikan apa yang mereka telah temukan, dan tidak pernah sengaja untuk merusak data.
Cracker adalah orang yang menerobos masuk ke dalam atau melanggar integritas sistem remote mesin dengan niat jahat. Memiliki mendapatkan akses tidak sah,crackermenghancurkan data penting, menyangkal pengguna yang layanannya sah, atau menimbulkan masalah bagi target mereka. Cracker dengan mudah dapat diidentifikasi karena tindakan mereka yang jahat.
Risiko Web keamanan
•Kehilangan pelanggan, kepercayaan keyakinan dan reputasidengan
bahaya konsekuen untuk ekuitas merek dan konsekuen
efek pada pendapatan dan profitabilitas;
•Kemungkinan hilangnya kemampuan untuk menerima pembayaran tertentu instrumen mis VISA, Mastercard.
•Berdampak negatif terhadap pendapatan dan laba yang timbul daridipalsukan setiap transaksi dan dari downtime karyawan.
Risiko keamanan Web (sambungan)
•Website downtime yang berlaku penutupan satu saluran penjualan yang paling penting untuk sebuah eBusiness
•Pengeluaran yang terlibat dalam memperbaiki kerusakan
dilakukan dan membangun rencana darurat untuk Mengamankan dikompromikan website dan aplikasi web;
•Hukum pertempuran dan komplikasi yang terkait dari Web
aplikasi serangan dan langkah-langkah keamanan longgar termasuk denda dan kerusakan yang akan dibayarkan kepada korban.
SERANGAN SECURITY
Pasif Attack: Sebuah serangan pasif mencobabelajar atau
memanfaatkan informasi dari sistem tetapi tidak mempengaruhi sumber daya sistem.
Aktif Attack: Sebuah upaya serangan aktif
mengubah sumber daya sistem atau mempengaruhi mereka
operasi.
Keamanan web Attack
Serangan pasif
•Sniffing (pesan ambil)
•Trapper web (web penjebak)
Serangan aktif
•Denial of Service (DoS)
•Buffer OverFlow
•SQL injection
•Cross Site Scripting
•Session Hijacking
•Directory Traversal attack
•Authentication Attack (Brute Force attack)
Sniffing (capture message)
Sniffing adalah suatu serangan yang merekam atau menangkap data/message yang lewat melalui jaringan. Serangan jenis ini tidak dapat dihindari
•Tools sniff : snort, tcpdump, ettercap
Pencegahan:
•Gunakan VPN (IPsec)
•Gunakan enkripsi dalam proses transfer message
•atau data (via HTTPS)
Ilustrasi sniffing
Trapper Web (web penjebak)
Trapper web, adalah passive attack yang memanfaatkan kecerobohan pengguna web application, dengan cara membuat website jebakan guna mendapatkan informasi dari pengguna yang terjebak.
Contoh: www.klikbca.com , menjadi
www.kilkbca.com
Pencegahan:
Pemilik website resmi/valid membeli semua domain
yang mirip Sosialisasi pada pengguna.
Denial of Service Attack
DoS adalah suatu serangan pada engine(web server) yang memiliki vulnerability (kelemahan) dengan cara membanjiri engine tersebut dengan request sehingga engine tersebut tidak dapat lagi melayani request dari client lain, sampai pada kondisi crash bahkan down.
Tools: dapat ditemukan diberbagai website security, atau gunakan search engine.
Info vulnerability Anda dapat mengecek di web http://cve.mitre.org/cve/
Pencegahan: upgrade atau patch engine dengan versi
perbaikan, atau gunakan Firewall HTTP seperti untuk
Apache HTTPD gunakan mod_security, mod_proxy
Ilustrasi DoS
Buffer OverFlow
Buffer Overflow adalah suatu serangan yang menyerang
engine(web server) yang memiliki vulnerability (kelemahan) dalam masalah alokasi memori (buffer) dengan cara memaksakan malicious code agar dieksekusi oleh engine(web server) untuk memperoleh akses root shell.
Tools: dapat ditemukan diberbagai website security,
atau gunakan search engine
Info vulnerability Anda dapat mengecek di web
http://cve.mitre.org/cve/
Pencegahan: upgrade atau patch engine dengan versi
perbaikan. Jalankan engine dalam mode chroot(root jail)
Ilustrasi buffer overflow
SQL injection
SQL Injection adalah serangan yang memanfaatkan kelemahan coding aplikasi web sehingga penyerang dapat menginjeksi SQL command katakanlah kedalam form login dengan maksud memperoleh akses ke web tersebut.
Pencegahannya:
Buatlah kode program yang menerapkan validasi,
dan pencegahan manipulasi query SQL
Firewall HTTP (mod_security)
Intrussion Detection System
Cross Site Scripting (XSS or CSS)
Cross Site Scripting adalah suatu teknik serangan
yang mempengaruhi kelemahan(vulnerability) dalam
coding aplikasi web untuk memungkinkan penyerang
mengirimkan malicious content dari client dan
mengumpulkan beberapa datadata
dari korban.
Pencegahannya:
Karakter- karakter berbahaya harus difilter dari input
aplikasi web.Filter harus diterapkan untuk nilai ASCII and HEX .
Firewall HTTP (mod_security)
Intrussion Detection System
Session Hijacking
Session Hijacking adalah suatu serangan yang memanfaatkan nilai cookies dan token session milik user atau client lain yang dicuri atau ditangkap lewat sniffer. Tujuannya agar si penyerang dapat mengakses halaman-halaman web yang sifatnya private yang biasanya perlu proses login (authentication)
Tools: sniffer seperti ettercap, dan GET command
Pencegahannya:
Gunakan VPN (IPsec)
Gunakan enkripsi dalam proses transfer message
atau data (via HTTPS)
Directory Traversal
Directory Traversal adalah suatu serangan yang mengeksploitasi engine (web server) yang memungkinkan penyerang mengakses direktori yang dibatasi dan mengeksekusi command diluar direktori root web server
Pencegahannya:
Gunakan versi web server yang terbaru yang
menutupi kelemahan directory traversal
Gunakan Firewall HTTP seperti mod_security
Authentication hacking
Authentication memainkan peran penting dalam security aplikasi web.
Authentication Hacking adalah suatu serangan yang mencoba login ke suatu aplikasi web dengan menggunakan tool atau script yang melakukan percobaanpercobaan login dengan account user
yang umum terdapat pada sistem (misal root, guest,Administrator) sampai berhasil. Teknik ini sering disebut brute force attack
Pencegahannya: gunakan validasi login
menggunakan image
Form dgn image input sbg pencegah brute force
Kesimpulan dan saran
Gunakan Engine web server yang tangguh, no
bugs
Segera patch atau upgrade jika engine
dikemudian hari ditemukan vulnerability
Konfigurasi Engine web server dengan benar
Ada baiknya menjalankan engine web server
dalam mode chroot (root jail)
Ikuti berita dari milis atau forum security untuk
engine web server yang Anda gunakan
Gunakan fiturfitur
dukungan engine web server
yang Anda gunakan hanya yang memang Anda
butuhkan.
Selasa, 21 Desember 2010
Browse » Rizki blog
WEB SECURITY
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar