Pada hari ini saya akan membahas
mengenai WWW Sercurity dari matakuliah Keamanan Sistem Informasi (KSI).
Saya akan menguraikan yang saya ketahui
mengenai WWW Sercurity.
Ada 4 (empat) hal pokok dalam WWW
Sercurity, yaitu:
- User Management
- Authenication dan Authorizing
- Data Confidentiality And Integrity
- Transport Sercurity And Privacy
User Management
User adalah sebuah bagian yang
signifikan dari sebuah aplikasi, oleh karena itu user sendiri menjadi salah
satu tujuan dari keamanan web. User harus dapat menjaga keamanan agar web yang
dimiliki tidak terbobol, penggunaan password yang mudah terdiskripsi atau Brutte
Force attack pada Basic Authentication menjadi salah satu ancaman yang dapat
terjadi pada user. Selain password pada user juga sering terjadi session
hacking, dikarenakan para hacker dapat melacak user dari cookies. Selain itu
para hacker juga dapat melacak, melihat dan me-review informasi dengan cookies
user tadi.
Authenication dan Authorizing
Melakukan pembentukan identitas user.
Aplikasi web yang bersifat sessionless berpotensi mendapatkan serangan
man-in-the-middle.
Data Confidentiality And Integrity
Serangan yang dapat terjadi, yaitu :
·
Cryptaanalysis
·
Side
– Channel Leakage
·
Physical
Attack
Transport Security And Privacy
Cookies merupakan tempat penyimpanan
informasi-informasi yang merupakan isi-isi informasi user saat mengunjungi
situs-situs web. Apabila user sedang membuka sebuah situs web, ada request yang
dikirimkan server akan meminta browser cookies, apabila ada maka server akan
meminta web browser mengirimkan cookie ke web server.
Pengamanan Form Authentication
Melakukan pembagian area antara user
dengan anonim dengan proses autentikasi. Aplikasi web menggunakan SSL atau
Secure Socket Layer. Menggunakan HTTP atau Hyper Text Transfor Protocol sebagai
socket yang utama. Client akan meminta DOC, MML dan URL lalu server akan
memberi dokumen yang merupakan stateless protocol.
Cookies sendiri merupakan kode-kode
ASCII yang dikirim oleh server kepada client, kemudian disimpan di local
system. SSL sendiri merupakan sebuah langkah dari sercurity transport, pola
kerja SSL asymatric maupun symmetric key encryption. HTTP over SSL yaitu HTTPS
yang dibentuk oleh suatu encrypted tunnel antara browser dengan web server.
Arsitektur WWW
Mempunyai server yaitu Apache dan IIS,
client servernya IE, FireFox, Mozilla, Safari, Opera, dll yang terhubung
melalui jaringan komputer.
Web Application
Web application sendiri memungkinkan
untuk mengimplementasikan sistem secara tersentralisasi.
Keuntungan web application, yaitu :
- Client hanya membutuhkan web browser
- Update software bisa dilakukan di server saja
- Browser disisi client dapat ditambah plugin untuk menambah fitur, fitur yang ditambahkan bisa animasi, streaming, audio dan video
- Mulai banyak yang menggunakan basis web
Asumsi yang beresiko dari sisi pengguna
·
Server
dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut
·
Dokumen
yang ditampilkan bebas dari virus atau itikad jahat lainnya (hal ini bisa terjadi
jika buka situs-situs negatif)
·
Server
tidak mencatat atau mendistribusikan informasi tentang user.
Asumsi yang beresiko dari sisi pemilik
·
Pengguna
tidak beritikad untuk merusak web server atau mengubah isinya
·
Pengguna
hanya mengakses dokumen-dokumen yang diperkenankan akses (dimana dokumen
memiliki ijin)
·
Identitas
pengguna benar
Asumsi yang beresiko dari kedua belah
pihak
·
Network
dan komputer bebas dari penyadapan pihak ketiga
·
Informasi
yang diberikan terjamin keutuhannya dan tidak dimodifikasi oleh orang ketiga
Ekploitasi WWW
·
Tampilan
Web diubah (deface)
·
Data
diserver diubah
- Yang hack masuk ke server dan mengubah secara manual
- Mengubah data melalui CGL
- Mengubah data di database (contoh database SQL, Injection, XSS)
·
Informasi
bocor
·
Penyadapan
Informasi
·
DoS
attack
Antisipasinya dengan 2 cara, yaitu
sebagai berikut :
- Access Control
- Hanya IP tertentu yang dapat mengakses server ( konfigurasi web server atau firewall)
- Via user id dan password
- Menggunakan token
- Menggunakan enkripsi untuk menjadikan data
Menggunakan enkripsi untuk menjalankan
transmisi data. HTTPS hanya menjamin enkripsi.
Demikianlah blog yang saya buat
mengenai WWW Sercurity, semoga web ini dapat bermanfaat bagi pembaca, kamsiaa
^^
Tidak ada komentar:
Posting Komentar