Posts Subscribe to (PUT YOUR BLOG NAME HERE)Comments

Selasa, 21 Desember 2010

WEB SECURITY

Web security issue
Ternyata selain keuntungan atau manfaat yang disediakan oleh web, kenaikan jumlah
masalah security akibat coding yang tidak layak, kesalahan-kesalahan dalam konfigurasi web server, dll. Web security merupakan bagian dari. Computer/Information security. Pertanyaan yang muncul dalam computer security ataupun web security yaitu: “apa yang harus secure ?” Electronic Assets Electronic Assets adalah target dari serangan yang
mengancam keamanan sistem komputer atau sistem informasi. Electronic Assets merupakan aset yang paling berarti bagi suatu perusahaan atau industri yang sehariharinya bergantung pada sistem komputer dan jaringan dalam menjalankan transaksi bisnisnya. 'Electronic Assets adalah data dan program'

The Difference Between Hackers
and Crackers
Hacker adalah orang yang sangat tertarik dalam kerja rahasia dan terpendam dari setiap sistem operasi komputer. Hacker yang paling sering adalah programmer. Dengan demikian, hacker memperoleh pengetahuan maju yaitu sistem operasi dan bahasa pemrograman. Mereka mungkin menemukan lubang dalam sistem dan alasan untuk lubang tersebut. Hacker selalu mencari pengetahuan lebih lanjut, bebas membagikan apa yang mereka telah temukan, dan tidak pernah sengaja untuk merusak data.
Cracker adalah orang yang menerobos masuk ke dalam atau melanggar integritas sistem remote mesin dengan niat jahat. Memiliki mendapatkan akses tidak sah,crackermenghancurkan data penting, menyangkal pengguna yang layanannya sah, atau menimbulkan masalah bagi target mereka. Cracker dengan mudah dapat diidentifikasi karena tindakan mereka yang jahat.
Risiko Web keamanan
•Kehilangan pelanggan, kepercayaan keyakinan dan reputasidengan
bahaya konsekuen untuk ekuitas merek dan konsekuen
efek pada pendapatan dan profitabilitas;
•Kemungkinan hilangnya kemampuan untuk menerima pembayaran tertentu instrumen mis VISA, Mastercard.
•Berdampak negatif terhadap pendapatan dan laba yang timbul daridipalsukan setiap transaksi dan dari downtime karyawan.
Risiko keamanan Web (sambungan)
•Website downtime yang berlaku penutupan satu saluran penjualan yang paling penting untuk sebuah eBusiness
•Pengeluaran yang terlibat dalam memperbaiki kerusakan
dilakukan dan membangun rencana darurat untuk Mengamankan dikompromikan website dan aplikasi web;
•Hukum pertempuran dan komplikasi yang terkait dari Web
aplikasi serangan dan langkah-langkah keamanan longgar termasuk denda dan kerusakan yang akan dibayarkan kepada korban.

SERANGAN SECURITY
Pasif Attack: Sebuah serangan pasif mencobabelajar atau
memanfaatkan informasi dari sistem tetapi tidak mempengaruhi sumber daya sistem.
Aktif Attack: Sebuah upaya serangan aktif
mengubah sumber daya sistem atau mempengaruhi mereka
operasi.
Keamanan web Attack
Serangan pasif
•Sniffing (pesan ambil)
•Trapper web (web penjebak)
Serangan aktif
•Denial of Service (DoS)
•Buffer OverFlow
•SQL injection
•Cross Site Scripting
•Session Hijacking
•Directory Traversal attack
•Authentication Attack (Brute Force attack)

Sniffing (capture message)
Sniffing adalah suatu serangan yang merekam atau menangkap data/message yang lewat melalui jaringan. Serangan jenis ini tidak dapat dihindari
•Tools sniff : snort, tcpdump, ettercap
Pencegahan:
•Gunakan VPN (IPsec)
•Gunakan enkripsi dalam proses transfer message
•atau data (via HTTPS)

Ilustrasi sniffing




Trapper Web (web penjebak)

Trapper web, adalah passive attack yang memanfaatkan kecerobohan pengguna web application, dengan cara membuat website jebakan guna mendapatkan informasi dari pengguna yang terjebak.
Contoh: www.klikbca.com , menjadi
www.kilkbca.com
Pencegahan:
Pemilik website resmi/valid membeli semua domain
yang mirip Sosialisasi pada pengguna.

Denial of Service Attack
DoS adalah suatu serangan pada engine(web server) yang memiliki vulnerability (kelemahan) dengan cara membanjiri engine tersebut dengan request sehingga engine tersebut tidak dapat lagi melayani request dari client lain, sampai pada kondisi crash bahkan down.
Tools: dapat ditemukan diberbagai website security, atau gunakan search engine.
Info vulnerability Anda dapat mengecek di web http://cve.mitre.org/cve/

Pencegahan: upgrade atau patch engine dengan versi
perbaikan, atau gunakan Firewall HTTP seperti untuk
Apache HTTPD gunakan mod_security, mod_proxy


Ilustrasi DoS





Buffer OverFlow
Buffer Overflow adalah suatu serangan yang menyerang
engine(web server) yang memiliki vulnerability (kelemahan) dalam masalah alokasi memori (buffer) dengan cara memaksakan malicious code agar dieksekusi oleh engine(web server) untuk memperoleh akses root shell.
 Tools: dapat ditemukan diberbagai website security,
atau gunakan search engine
 Info vulnerability Anda dapat mengecek di web
http://cve.mitre.org/cve/
Pencegahan: upgrade atau patch engine dengan versi
perbaikan. Jalankan engine dalam mode chroot(root jail)

Ilustrasi buffer overflow



SQL injection

SQL Injection adalah serangan yang memanfaatkan kelemahan coding aplikasi web sehingga penyerang dapat menginjeksi SQL command katakanlah kedalam form login dengan maksud memperoleh akses ke web tersebut.
Pencegahannya:
 Buatlah kode program yang menerapkan validasi,
dan pencegahan manipulasi query SQL
 Firewall HTTP (mod_security)
 Intrussion Detection System

Cross Site Scripting (XSS or CSS)
Cross Site Scripting adalah suatu teknik serangan
yang mempengaruhi kelemahan(vulnerability) dalam
coding aplikasi web untuk memungkinkan penyerang
mengirimkan malicious content dari client dan
mengumpulkan beberapa datadata
dari korban.
Pencegahannya:
 Karakter- karakter berbahaya harus difilter dari input
aplikasi web.Filter harus diterapkan untuk nilai ASCII and HEX .
 Firewall HTTP (mod_security)
 Intrussion Detection System


Session Hijacking

Session Hijacking adalah suatu serangan yang memanfaatkan nilai cookies dan token session milik user atau client lain yang dicuri atau ditangkap lewat sniffer. Tujuannya agar si penyerang dapat mengakses halaman-halaman web yang sifatnya private yang biasanya perlu proses login (authentication)
 Tools: sniffer seperti ettercap, dan GET command

Pencegahannya:
 Gunakan VPN (IPsec)
 Gunakan enkripsi dalam proses transfer message
atau data (via HTTPS)


Directory Traversal

Directory Traversal adalah suatu serangan yang mengeksploitasi engine (web server) yang memungkinkan penyerang mengakses direktori yang dibatasi dan mengeksekusi command diluar direktori root web server
Pencegahannya:
 Gunakan versi web server yang terbaru yang
menutupi kelemahan directory traversal
 Gunakan Firewall HTTP seperti mod_security

Authentication hacking
Authentication memainkan peran penting dalam security aplikasi web.
 Authentication Hacking adalah suatu serangan yang mencoba login ke suatu aplikasi web dengan menggunakan tool atau script yang melakukan percobaanpercobaan login dengan account user
yang umum terdapat pada sistem (misal root, guest,Administrator) sampai berhasil. Teknik ini sering disebut brute force attack
 Pencegahannya: gunakan validasi login
menggunakan image


Form dgn image input sbg pencegah brute force



Kesimpulan dan saran

 Gunakan Engine web server yang tangguh, no
bugs
 Segera patch atau upgrade jika engine
dikemudian hari ditemukan vulnerability
 Konfigurasi Engine web server dengan benar
 Ada baiknya menjalankan engine web server
dalam mode chroot (root jail)
 Ikuti berita dari milis atau forum security untuk
engine web server yang Anda gunakan
 Gunakan fiturfitur
dukungan engine web server
yang Anda gunakan hanya yang memang Anda
butuhkan.

Categories



Widget by Scrapur

0 komentar:

Posting Komentar

 

bruce lee tips

Dark Side Blogger Template

virtual sonic

Dark Side Blogger Template

Dark Side Blogger Template Copyright 2009 - Rizki blog is proudly powered by Blogger.com Edited By Belajar SEO