6. keamanan web
DESCRIPTION
presntasi penggunaan keamanan webTRANSCRIPT
![Page 1: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/1.jpg)
Ainun Nafidzah
Anggi Supriatna
Nina Rahmayani
Kemanan Web
![Page 2: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/2.jpg)
How Web Works ? Menggunakan protokol HTTP Klien meminta dokumen melalui URL (Request) Server membalas dengan memberikan dokumen jika
ada (Replay) HTTP bersifat Stateless
Elemen web lainya : HTML, ASP, PHP, JSP, dll Aplikasi : Audio/Video, Postscript, pdf Browser :
Untuk menampilkan dokumen dan gambar Untuk membantu menjalakan aplikasi IE, Mozilla, Netscape, Konqueror, Lynx, dll
Keamanan Web
![Page 3: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/3.jpg)
http://www.w3.org/Security/FaqIntercept informasi dari klien
Data, password, dllPencurian data di server
Data, password, dllMenjalankan aplikasi di server
Memungkinkan melakukan eksekusi program “tidak benar” di server
Denial Of ServicesServer Side Scripting, Cgi-Bin
Kesalahan pemograman membuka peluang
Web Vulnerabilities
![Page 4: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/4.jpg)
Authentikasi FORM HTMLBasic, DigestKlien Side + Server Side Scripting
Manajemen SesiMenggunakan Layer lain
S-HTTP ( discontinoued)HTTPS ( HTTP ovel SSL)IPSec
Konfigurasi Web ServerHak AksesIndexesPenempatan File
Kemanan Web
![Page 5: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/5.jpg)
FORM HTML <form action="modules.php?name=Your_Account" method="post">... <br><input type="hidden" name="op" value="login"> ... </form>
Tidak di enkripsiBASIC
Algortima Base64Mudah di Dekrip
DIGESTAlghoritma Digest Ex: MD5Belum 100% di support
CS + SS ScriptBelum 100% di supporthttp://toast.newcastle.edu.au/js/md5/browsertest.php3.
Authentikasi
![Page 6: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/6.jpg)
Hiden Form Field<input type="hidden" name="uniqueticket" View page Source
CookiesUser harus mennghidupkan fasilitasPoisoned cookies
Session Id-rw------- 1 nobody nobody 180 Jun 30 18:46 sess_5cbdcb16f ...
Dapat menggunakan History jika umur sesi belum habis
URL Rewriting http://login.yahoo.com/config/login?.tries=&.src=ym&.last=&promo=&.intl=us
Manajemen Sesi
![Page 7: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/7.jpg)
Hak AksesLinux / Unix : Web Server => user = apache
Penempatan filePenempatan file-file penting <? php include ("./db.inc");?><? php include ("./config.php");?>Backup file konfigurasi
IndexesListing Isi Direktori
Konfigurasi Web Server
![Page 8: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/8.jpg)
Untuk Semua Protokol TCPTelnet -> SSHHTTP -> HTTPS
Public Key ServerHashing
MD5 + SHACASekarang -> TLS
SSL
![Page 9: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/9.jpg)
Menggunakan enkripsi untuk mengamankan transmisidata
Mulanya dikembangkan oleh NetscapeImplementasi gratis pun tersedia openSSL
Secure Socket Layer (SSL)
![Page 10: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/10.jpg)
HTTPS adalah varian dari protocol HTTP dimana user mengakses dengan https://
Data yang dikirim ke server adalah data yang terenkripsi.
Enkripsi yang digunakan adalah enkripsi SSL (Secure socket Layer).
Menggunakan TCP port 443.
HTTP
![Page 11: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/11.jpg)
![Page 12: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/12.jpg)
![Page 13: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/13.jpg)
Tampilan HTTP biasa
![Page 14: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/14.jpg)
Tampilan HTTPS
![Page 15: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/15.jpg)
Ilustrasi Cara Kerja SSL
![Page 16: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/16.jpg)
1. Remote File Inclusion (RFI)2. Local File Inclusion (LFI)3. SQL injection4. Cross Site Scripting (XSS)
Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk menyerang suatu website:
![Page 17: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/17.jpg)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan RFI seorang attacker dapat menginclude kan file yang berada di luar server yang bersangkutan.
Remote File Inclusion (RFI)
![Page 18: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/18.jpg)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
Penanganan LFI :Ubah fungsi ini
Allow_url_fopen = on gantilah dengan ofAllow_url_include = on gantilah dengan of
Local File Inclusion (LFI)
![Page 19: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/19.jpg)
SQL injection adalah teknik yang memanfaatkan kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data input ke aplikasi tersebut.
Penanganan SQL Injection Merubah script phpMenggunakan MySQL_escape_stringPemfilteran karakter ‘ dengan memodifikasi
php.ini
SQL injection
![Page 20: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/20.jpg)
XSS dikenal juga dengan CSS adalah singkatan dari Cross Site Scripting.
XSS adalah suatu metode memasukan code atau script HTML kedalam suatu website yang dijalankan melalui browser di client.
Cross Site Scripting (XSS)
![Page 21: 6. Keamanan Web](https://reader033.vdocuments.mx/reader033/viewer/2022061422/55cf92cc550346f57b999f76/html5/thumbnails/21.jpg)
Tips Keamanan WebsiteAda beberapa cara supaya website kita tidak mudah disusupi oleh para hacker, sehingga dapat mengurangi resiko kerusakan website, antara lain:
Jika anda menggunakan suatu CMS seperti joomla, phpbb, phpnuke, wordpress dan sebagainya, rajinlah mengupdate CMS anda dengan CMS terbaru jika muncul versi yang lebih baru.
Kunjungilah situs-situs yang membahas tentang keamanan aplikasi web seperti : www.milw0rm.com, www.securityfocus.com atau www.packetstormsecurity.org untuk mendapatkan informasi tentang bug terbaru.
Sewalah seorang yang ahli tentang keamanan website untuk menganalisis keamanan website anda.
Gunakanlah software seperti Acunetix untuk melakukan scanning atas kelemahan yang bisa terjadi di website anda
Tips keamanan website