Pada pertemuan kali ini dalam kuliah Keamanan Sistem Informasi kami membahas WWW Security.
Maka dari itu saya akan menuliskan yang saya ketahui tentang WWW Security.
Berikut pembahasannya :
*Arsitektur www
- Server (Apache, IIS)
- Client (IE, Firefox, Netscape, Mozilla, Safari, Opera, Galeon, Kfm, Arena, Amaya, Lynx, K-meleon
- Terhubung melalui jaringan
*Asumsi (sisi Pengguna)
- Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut
- Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya
- Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browser)
*Asumsi (sisi webmaster)
- Pengguna tidak beritikad untuk merusak web server atau mengubah isinya.
- Pengguna hanya mengakses dokumen-dokumen yang diperkenankan di akses
(dimana dia memiliki ijin)- identitas pengguna benar.
*Disisi kedua pihak
- Network dan komputer bebas dari penyadapan pihak ketiga
- Informasi yang disampaikan dari server ke pengguna terjamin keutuhannya dan tidak dimodifikasi
oleh pihak ketiga
Pada pokok security di Web itu :
· User Management
- User adalah suatu komponen yang signifikan dari aplikasinya,
oleh karena tu user menjadi tujuan dari keamanan WEB
- Brutte Force attack pada Basic Authentication (Penggunaan password yang
mudah terdiskripsi )
- Session Hacking : Hacker dapat saja membajak user dengan cookie,
Kemungkinkan hacker dapat mengetahui informasi user dan review informasi
· Authenication dan Authorizing
- Pembentukan identitas user
- Aplikasi web bersifat sessionless ( potensial serangan man – in – the – middle )
· Data Confidentiality dan Integrity
- Hal yang menjadi ancaman yaitu :a.Cryptaanalysisb.Side – channel leakagec.Physical Attack
· Transport Security dan privacy
- Cross site scripting
- Cookies merupakan penyimpanan informasi yang berisi informasi tentang user yang
mengunjungi situs yang bersangkutan
- Saat request dikirim, server meminta apakah ada browser cookies, jika ada web server
dapat meminta web browser untuk mengirimkan cookie ke web server
*Web Application : memungkinkan untuk mengimplementasikan system secara tersentralisasi :
- client hanya memmbutuhkan web browser
- update software bisa dilakukan deserver saja
- browser disisi client dapat ditambah dengan “plungin” untuk menambahkan fitur
- mulai banyak aplikasi yang menggunakan basis web.
*Eksploitasi www
- Tampilan web diubah (deface)
- Data di server berubah
- Masuk ke server dan mengubah secara manual
- Mengubah data melalui C61
- Mengubah data di database (SQL Injection , XSS )
- Informasi bocor
- Penyudupan Informasi
- Dos attack
Berikut cara meng-antisipasinya :
*Antisipasi
- Access control
- Hanya IP Tertentu yang dapat mengakses server (konfigurasi web server / firewall)
- Via user ID dan password
- Menggunakan token
- Secure socket layer
- Menggunakan enkripsi untuk mengamankan transmisi data protocol SSL
Demikian tulisan saya mengenai WWW Security ini, semoga dengan tulisan saya ini
dapat menambah wawasan pembaca sekalian.
Terima Kasih.
*Asumsi (sisi Pengguna)
- Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut
- Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya
- Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browser)
*Asumsi (sisi webmaster)
- Pengguna tidak beritikad untuk merusak web server atau mengubah isinya.
- Pengguna hanya mengakses dokumen-dokumen yang diperkenankan di akses
(dimana dia memiliki ijin)- identitas pengguna benar.
- Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut
- Dokumen yang ditampilkan bebas dari virus atau itikad jahat lainnya
- Server tidak mencatat atau mendistribusikan informasi tentang user (misalnya kebiasaan browser)
*Asumsi (sisi webmaster)
- Pengguna tidak beritikad untuk merusak web server atau mengubah isinya.
- Pengguna hanya mengakses dokumen-dokumen yang diperkenankan di akses
(dimana dia memiliki ijin)- identitas pengguna benar.
*Disisi kedua pihak
- Network dan komputer bebas dari penyadapan pihak ketiga
- Informasi yang disampaikan dari server ke pengguna terjamin keutuhannya dan tidak dimodifikasi
oleh pihak ketiga
oleh pihak ketiga
Pada pokok security di Web itu :
· User Management
- User adalah suatu komponen yang signifikan dari aplikasinya,
oleh karena tu user menjadi tujuan dari keamanan WEB
- Brutte Force attack pada Basic Authentication (Penggunaan password yang
mudah terdiskripsi )
- Session Hacking : Hacker dapat saja membajak user dengan cookie,
Kemungkinkan hacker dapat mengetahui informasi user dan review informasi
· Authenication dan Authorizing
- Pembentukan identitas user
- Aplikasi web bersifat sessionless ( potensial serangan man – in – the – middle )
· Data Confidentiality dan Integrity
- Hal yang menjadi ancaman yaitu :a.Cryptaanalysisb.Side – channel leakagec.Physical Attack
· Transport Security dan privacy
- Cross site scripting
- Cookies merupakan penyimpanan informasi yang berisi informasi tentang user yang
mengunjungi situs yang bersangkutan
mengunjungi situs yang bersangkutan
- Saat request dikirim, server meminta apakah ada browser cookies, jika ada web server
dapat meminta web browser untuk mengirimkan cookie ke web server
dapat meminta web browser untuk mengirimkan cookie ke web server
*Web Application : memungkinkan untuk mengimplementasikan system secara tersentralisasi :
- client hanya memmbutuhkan web browser
- update software bisa dilakukan deserver saja
- browser disisi client dapat ditambah dengan “plungin” untuk menambahkan fitur
- mulai banyak aplikasi yang menggunakan basis web.
*Eksploitasi www
- Tampilan web diubah (deface)
- Data di server berubah
- Masuk ke server dan mengubah secara manual
- Mengubah data melalui C61
- Mengubah data di database (SQL Injection , XSS )
- Informasi bocor
- Penyudupan Informasi
- Dos attack
Berikut cara meng-antisipasinya :
*Antisipasi
- Access control
- Hanya IP Tertentu yang dapat mengakses server (konfigurasi web server / firewall)
- Via user ID dan password
- Menggunakan token
- Secure socket layer
- Menggunakan enkripsi untuk mengamankan transmisi data protocol SSL
Demikian tulisan saya mengenai WWW Security ini, semoga dengan tulisan saya ini
dapat menambah wawasan pembaca sekalian.
Terima Kasih.
Demikian tulisan saya mengenai WWW Security ini, semoga dengan tulisan saya ini
dapat menambah wawasan pembaca sekalian.
Terima Kasih.
No comments:
Post a Comment