Web
Security
Definisi Web Security
Sejak tahun 1990-an, internet berkembang pesat ke seluruh dunia
karena semakin mudahnya akses informasi ke jejaring internet, dengan menggunakan
teknologi WWW (World Wide Web) dan juga dukungan visi PC (Personal
Computer)-nya Microsoft, serta perkembangan open source OS Linux yang sangat
pesat.
Web Security adalah tata cara mengamankan aplikasi web yg
dikelola, biasanya yg bertanggung jawab melakukannya adalah pengelola aplikasi
web tsb.
Berbicara mengenai masalah yang berkaitan dengan keamanan di dalam era digital tidak lepas dari 3 prinsip utama yaitu Confidentiality, Integrity, dan Availability atau lebih dikenal dengan nama CIA.
Berbicara mengenai masalah yang berkaitan dengan keamanan di dalam era digital tidak lepas dari 3 prinsip utama yaitu Confidentiality, Integrity, dan Availability atau lebih dikenal dengan nama CIA.
1.
Confidentiality
Confidentiality memiliki makna bahwa data-data ataupun informasi-informasi yang berada di dalam sebuah website hanya dapat di baca atau di akses oleh orang-orang yang memang memiliki kewenangan untuk mengaksesnya.
Confidentiality memiliki makna bahwa data-data ataupun informasi-informasi yang berada di dalam sebuah website hanya dapat di baca atau di akses oleh orang-orang yang memang memiliki kewenangan untuk mengaksesnya.
2.
Integrity
Integrity memiliki pengertian data-data yang berada didalam server atau website hanya dapat diubah ataupun di delete oleh orang yang memiliki kewenangan untuk melakukan hal itu.
Integrity memiliki pengertian data-data yang berada didalam server atau website hanya dapat diubah ataupun di delete oleh orang yang memiliki kewenangan untuk melakukan hal itu.
3.
Availability
Jika confidentiality bermakna hanya user yang memiliki kewenangan yang dapat melihat data tertentu yang tersimpan didalam sebuah server atau website, availability memiliki makna bahwa website harus dapat diakses jika user ingin meggunakannya.
Jika confidentiality bermakna hanya user yang memiliki kewenangan yang dapat melihat data tertentu yang tersimpan didalam sebuah server atau website, availability memiliki makna bahwa website harus dapat diakses jika user ingin meggunakannya.
Hacker dan cracker
Hacker muncul pada awal tahun 1960-an diantara para anggota
organisasi mahasiswa Tech Model Railroad Club di Laboratorium Kecerdasan
Artifisial Massachusetts Institute of Technology (MIT). Kemudian pada tahun
1983, analogi hacker semakin berkembang untuk menyebut seseorang yang memiliki
obsesi untuk memahami dan menguasai sistem komputer. Kemudian pada perkembangan
selanjutnya muncul kelompok lain yang menyebut-nyebut diri hacker, padahal
bukan. Mereka ini (terutama para pria dewasa) yang mendapat kepuasan lewat
membobol komputer dan mengakali telepon (phreaking). Hacker sejati menyebut
orang-orang ini ‘cracker’ dan tidak suka bergaul dengan mereka. Hacker sejati
memandang cracker sebagai orang malas, tidak bertanggung jawab, dan tidak
terlalu cerdas. Hacker sejati tidak setuju jika dikatakan bahwa
dengan menerobos keamanan seseorang telah menjadi hacker.
a.
Hacker
Sekumpulan orang/team yang tugasnya membangun serta menjaga sebuah sistem sehingga dapat berguna bagi kehidupan dunia teknologi informasi, serta penggunanya. hacker disini lingkupnya luas bisa bekerja pada field offline maupun online, seperti Software builder(pembuat/perancang aplikasi), database administrator, dan administrator. Namun dalam tingkatan yang diatas rata-rata dan tidak mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari itu hacker terkenal akan kerendahan hati dan kemurahan memberikan segenap ilmunya.
Sekumpulan orang/team yang tugasnya membangun serta menjaga sebuah sistem sehingga dapat berguna bagi kehidupan dunia teknologi informasi, serta penggunanya. hacker disini lingkupnya luas bisa bekerja pada field offline maupun online, seperti Software builder(pembuat/perancang aplikasi), database administrator, dan administrator. Namun dalam tingkatan yang diatas rata-rata dan tidak mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari itu hacker terkenal akan kerendahan hati dan kemurahan memberikan segenap ilmunya.
b.
Cracker
Seorang/sekumpulan orang yang memiliki kemampuan lebih dalam merusak sebuah sistem sehingga fungsinya tidak berjalan seperti normalnya, atau malah kebalikannya, sesuai keinginan mereka, dan mereka memang diakui memiliki kemampuan yang indigo dan benar-benar berotak cemerlang. Biasanya cracker ini belum dikategorikan kejahatan didunia maya, karena mereka lebih sering merubah aplikasi, seperti membuat keygen, crack, patch(untuk menjadi full version).
Seorang/sekumpulan orang yang memiliki kemampuan lebih dalam merusak sebuah sistem sehingga fungsinya tidak berjalan seperti normalnya, atau malah kebalikannya, sesuai keinginan mereka, dan mereka memang diakui memiliki kemampuan yang indigo dan benar-benar berotak cemerlang. Biasanya cracker ini belum dikategorikan kejahatan didunia maya, karena mereka lebih sering merubah aplikasi, seperti membuat keygen, crack, patch(untuk menjadi full version).
Adapaun perbedaan Antara Hacker dan Cracker :
a. Hacker
- Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna bagi siapa saja.
- Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan.
b. Cracker
- Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu keuntungan.
- Bisa berdiri sendiri atau berkelompok dalam bertindak.
- Mempunyai situs atau cenel dalam IRC yang tersembunyi, hanya orang-orang tertentu yang bisa mengaksesnya.
- Mempunyai IP yang tidak bisa dilacak.
- kemudian pembobolan situs dan mengubah segala isinya menjadi berantakan.
Jenis Jenis Serangan
Berikut beberapa dafttar celah yang dapat menyebabkan
website terancam.
1. Remote File
Inclusion (RFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan RFI seorang attacker dapat menginclude kan file yang berada di luar server yang bersangkutan.
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan RFI seorang attacker dapat menginclude kan file yang berada di luar server yang bersangkutan.
2. Local File
Inclusion (LFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
3. SQL
injection
SQL injection adalah teknik yang memanfaatkan kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data input ke aplikasi tersebut.
SQL injection adalah teknik yang memanfaatkan kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data input ke aplikasi tersebut.
4. Cross Site
Scripting (XSS)
XSS dikenal juga dengan CSS adalah singkatan dari Cross Site Scripting. XSS adalah suatu metode memasukan code atau script HTML kedalam suatu website yang dijalankan melalui browser di client.
XSS dikenal juga dengan CSS adalah singkatan dari Cross Site Scripting. XSS adalah suatu metode memasukan code atau script HTML kedalam suatu website yang dijalankan melalui browser di client.
Pengamanan secara Umum
1. Pemilihan
Sistem Operasi (OS), Setting Server, dan Desain Aplikasi
2. Instalasi
Patch
3. Kontrol
Akses
4. Audit dan
Log File
5. Menerapkan
Kriptografi
6. Sekuritas
Jaringan
7. Penggunaan
Proxy (front door)
8. Penggunaan
Proxy (Integration reserve proxy)
9. Penggunaan
Proxy (protection reserve proxy)
10. Penggunaan
Proxy (performance reserve proxy)
Sumber :
No comments:
Post a Comment