Apa itu Web Security?

Sekilas Web Security

Sejak tahun 1990-an, internet berkembang pesat ke seluruh dunia karena semakin mudahnya akses informasi ke jejaring internet, dengan menggunakan teknologi WWW (World Wide Web) dan juga dukungan visi PC (Personal Computer)-nya Microsoft, serta perkembangan open source OS Linux yang sangat pesat. Saat ini, internet telah menjadi bagian dari kehidupan kita sehari-hari sebagai salah satu wahana komunikasi dalam bisnis maupun untuk privat. Tetapi di balik itu masih banyak lubang kelemahan sistem.

   Di masyarakat umum, istilah hacker ini banyak tersalahgunakan atau rancu dengan istilah Cracker. Khususnya ketika pembahasan mengarah kepada kejahatan. Dimana istilah untuk penjahat yang mereka maksud sebenarnya adalah Cracker. Hacker dianggap sebagai orang yang paling bertanggungjawab dalam kejahatan komputer tersebut. Padahal kalau kita melihat apa sebenarnya istilah dan apa saja yang dilakukan oleh hacker maka anggapan tersebut tidak selalu benar. Ada beberapa tipe para penggila teknologi computer seperti berikut ini :

a. – Hacker

Sekumpulan orang/team yang tugasnya membangun serta menjaga sebuah sistem sehingga dapat berguna bagi kehidupan dunia teknologi informasi, serta penggunanya. hacker disini lingkupnya luas bisa bekerja pada field offline maupun online, seperti Software builder(pembuat/perancang aplikasi), database administrator, dan administrator. Namun dalam tingkatan yang diatas rata-rata dan tidak mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari itu hacker terkenal akan kerendahan hati dan kemurahan memberikan segenap ilmunya.

b. – Cracker

Seorang/sekumpulan orang yang memiliki kemampuan lebih dalam merusak sebuah sistem sehingga fungsinya tidak berjalan seperti normalnya, atau malah kebalikannya, sesuai keinginan mereka, dan mereka memang diakui memiliki kemampuan yang indigo dan benar-benar berotak cemerlang. Biasanya cracker ini belum dikategorikan kejahatan didunia maya, karena mereka lebih sering merubah aplikasi, seperti membuat keygen, crack, patch(untuk menjadi full version).

c. – Defacer

Seorang/Sekumpulan orang yang mencoba untuk mengubah halaman dari suatu website atau profile pada social network(friendster, facebook, myspace), namun yang tingkatan lebih, dapat mencuri semua informasi dari profil seseorang, cara mendeface tergolong mudah karena banyaknya tutorial diinternet, yang anda butuhkan hanya mencoba dan mencoba, dan sedikit pengalaman tentang teknologi informasi.

d. – Carder

Seorang/sekumpulan lamers yang mencoba segala cara untuk mendapatkan nomor kartu kredit seseorang dan cvv2nya dengan cara menipu, menggenerate sekumpulan kartu kredit untuk kepentingan dirinya sendiri. Namun pada tingkatan tertentu carder dapat mencuri semua informasi valid dari sebuah online shopping. Ini adalah Malingnya dunia Maya.

e. – Frauder

Seorang/sekumpulan orang yang mencoba melakukan penipuan didunia pelelangan online, belum ada deskripsi jelas tentang orang ini, mereka sering juga dikategorikan sebagai carder.

f. – Spammer

Seorang/sekumpulan orang yang mencoba mengirimkan informasi palsu melalui media online seperti internet, biasanya berupa email, orang-orang ini mencoba segala cara agar orang yang dikirimi informasi percaya terhadap mereka sehingga next step untuk mendapatkan kemauan si spammer ini berjalan dengan baik. Meraka tidak lain dikategorikan sebagai penipu.

Motiv dari kejahatan diinternet antara lain adalah:

<> Coba-coba dan rasa ingin tahu
<> Faktor ekonomi
<> Ajang unjuk diri
<> Sakit hati

Hacker adalah sebutan untuk mereka yang menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software. Hasil pekerjaan mereka biasanya dipublikasikan secara luas dengan harapan sistem atau software yang didapati memiliki kelemahan dalam hal keamanan dapat disempurnakan di masa yang akan datang. Sedangkan cracker memanfaatkan kelemahan-kelamahan pada sebuah sistem atau software untuk melakukan tindak kejahatan.

Apa security itu?

Definisi Statis :
<> Kerahasiaan
<>Keutuhan
<> Dapat dipertanggung jawabkan

Defenisi Dinamis :
<> Taksiran
<> Proteksi
<> Deteksi
<> Reaksi

Jenis Jenis Serangan

Berikut adalah 10(sepuluh) dafttar celah yang dapat menyebabkan website terancam.

1 – Cross Site Scripting (XSS)

Celah XSS, adalah saat pengguna web aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa harus melakukan validasi dan encoding terhadap isi data tersebut, Celah XSS mengakibatkan penyerang dapat menjalankan potongan kode (script) miliknya di browser target, dan memungkinkan untuk mencuri user session milik target, bahkan sampai menciptakan Worm.

2 – Injection Flaws

Celah Injeksi, umumnya injeksi terhadap SQL (database) dari suatu aplikasi web. Hal ini mungkin terjadi apabila pengguna memasukkan data sebagai bagian dari perintah (query) yang menipu interpreter untuk menjalankan perintah tersebut atau merubah suatu data.

3 – Malicious File Execution

Celah ini mengakibatkan penyerang dapat secara remote membuat file yang berisi kode dan data untuk di eksekusi, salah satunya adalah Remote file inclusion (RFI).

4 – Insecure Direct Object Reference

Adalah suatu celah yang terjadi saat pembuat aplikasi web merekspos referensi internal penggunaan objek, seperti file, direktori, database record, dll

5 – Cross Site Request Forgery (CSRF)

Celah ini akan memaksa browser target yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap aplikasi web yang diketahui memiliki celah, dan memaksa browser target untuk melakukan hal yang menguntungkan penyerang.

6 – Information Leakage and Improper Error Handling

Penyerang menggunakan informasi yang didapatkan dari celah yang di akibatkan oleh informasi yang diberikan oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang bisa di lihat.

7 – Broken Authentication and Session Management

Celah ini merupakan akibat buruknya penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa mendapatkan password, atau key yang di gunakan untuk otentikasi.

8 – Insecure Cryptographic Storage

Aplikasi web umumnya jarang menggunakan fungsi kriptografi untuk melindungi data penting yang dimiliki, atau menggunakan fungsi kriptografi yang di ketahui memiliki kelemahan.

9 – Insecure Communications

Sedikit sekali aplikasi web yang mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh penyerang sebagai celah untuk mendapatkan informasi berharga.

10 – Failure to Restrict URL Access

Seringkali, aplikasi web hanya menghilangkan tampilan link (URL) dari pengguna yang tidak berhak, tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung.

Pengamanan secara Umum
1. Pemilihan Sistem Operasi (OS), Setting Server, dan Desain Aplikasi
2. Instalasi Patch
3. Kontrol Akses
4. Audit dan Log File
5. Menerapkan Kriptografi
6. Sekuritas Jaringan

• Network firewall

• Sentralisasi Log

• Network monitoring

• Pendeteksian gangguan serangan

7. Penggunaan Proxy (front door)

• Semua akses http melalui proxy

• Sentralisasi akses

8. Penggunaan Proxy (Integration reserve proxy)

• Kombinasikan multi web server menjadi satu

9. Penggunaan Proxy (protection reserve proxy)

• Awasi akses masuk dan keluar

• Block akses yg mencurigakan

10. Penggunaan Proxy (performance reserve proxy)

• Transparan caching

• Transparan respon

• SSL

sumber: http://ariirawan.com.nu/archives/apa-itu-web-security