Webserver merupakan layanan aplikasi www (world wide web) untuk berkomunikasi dengan clientnya (web browser) yang mempunyai protokol sendiri, yaitu HTTP (hypertext transfer protocol).Dengan protokol ini, komunikasi antar web server dengan clientnya dapat saling dimengerti dan lebih mudah dimana layanan tersebut terpusat pada server.
Responsibility of WebServer
• Availability (Ketersediaan), layanan pada webserver ini harus up and run untuk memenuhi request dari client.
• Secure (Aman), layanan harus aman dan tidak mudah di akses oleh orang yang tidak punya otorisasi untuk mengaksesnya karena webserver merupakan jantung daripada informasi dan konten website
• Patching dan Upgrade, untuk mengurangi kelemahan dari pada keamanan webserver.
• User Management, Disiplin seorang administrator untuk memaintain webserver
Macam – macam web server
• Open Source Platform
q Apache
q Savant
q Roxen
q Lamp
q Jigsaw
q Xitami
q Aolserver
q Zope
• Propietary Platform
q Microsoft Internet Information Services (IIS)
Konsep Keamanan Data
• Static Definition
q CIA2
§ Confidentiality (Kerahasiaan)
§ Integrity (Keutuhan)
§ Availability (Ketersediaan)
§ Accountability (Pertanggungjawaban)
§ Dinamic Definition
q APDR
§ Assesment (Penaksiran/Perkiraan)
§ Protection (Perlindungan)
§ Detection (Penemuan)
§ Reaction (Reaksi)
Jaringan Exploit Web Server
Secara garis besar exploit yang dipergunakan oleh cracker untuk masuk ke sebuah server dapat dibagi dalam dua bagian yaitu :
• Lokal Exploit
Yang dimaksud dengan lokal exploit adalah exploit yang hanya dapat diexecute pada komputer itu sendiri.
Yang dimaksud dengan lokal exploit adalah exploit yang hanya dapat diexecute pada komputer itu sendiri.
• Remote Exploit
Remote exploit adalah exploit yang dapat diexecute dari jarak jauh.
Remote exploit adalah exploit yang dapat diexecute dari jarak jauh.
Contoh Exploit
• Known vulnerabilities dan misconfiguration adalah bug(hole) yangg timbul pada operating system (OS) ataupun aplikasi pihak ketiga (third party)
• Hiden Fields ini terdapat pada HTML form, dimana dari field-field ini dapat di ketahui harga barang dan bahkan adanya password yang tersembunyi,
·
• Cross Site Scripting
Salah satu contohnya adalah anda membuat suatu page yg dapat mengumpulkan informasi dari user dan dikirim ke server user atau e-mail dll.
• Parameter Tampering
Dimana parameter tampering meliputi manipulasi dari URL sehingga dapat melihat informasi yg tidak seharusnya di publish.
• Cookie Poisoning
adalah merubah data yg ada di dalam cookie.
• Buffer Overflow
adalah tehnik dimana mereka mengirimkan packet data yg besar ke web site tertentu sehingga kinerja web server menjadi lambat.
• Direct Access Browsing
Seharusnya menggunakan authentication. Hal ini juga cukup berbahaya dimana data yang sensitive akan dapat di akses semuanya. Salah satu contoh yaitu dengan menggunakan telnet, dimana akses ke informasi web secara direct
•
• DoS
penyerang mengirimkan sebuah arus permintaan layanan pada mesin server untuk melemahkan sumber daya seperti memory atau melakukan komsumsi kapasitas processor
• Smurf Attack
modifikasi dari “serangan ping” dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir thevictim mesin atau sistem dengan ratusan atau ribuan ping.
modifikasi dari “serangan ping” dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir thevictim mesin atau sistem dengan ratusan atau ribuan ping.
• DoS
penyerang mengirimkan sebuah arus permintaan layanan pada mesin server untuk melemahkan sumber daya seperti memory atau melakukan komsumsi kapasitas processor
• Smurf Attack
modifikasi dari “serangan ping” dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir thevictim mesin atau sistem dengan ratusan atau ribuan ping.
modifikasi dari “serangan ping” dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir thevictim mesin atau sistem dengan ratusan atau ribuan ping.
SOLUSI
• Address field pada web aplikasi tidak boleh terdapat character @, $, *, < dan &. Nama field juga harus dibatasi tidak sampai dengan 255 char karena hal ini menuju pada
exploit buffer overflow.
exploit buffer overflow.
• Pembuatan file htaccess pada web untuk keamanan
• Tetap memonitoring patch terbaru sehingga tidak ketinggalan jaman dalam menginstall Service Pack.
• Memindahkan lokasi default file yang berisi halaman web, untuk alasan keamanan dan fleksibilitas jangka panjang.
• Belilah scanning tools utk scanning web anda sendiri. Sehingga dengan cara ini anda tahu hole apa yg ada di dalam web anda sendiri, contoh : Acunetix Web Vulnerability Scanner
Saran untuk konfigurasi web server yang aman
• Menguji keamanan script CGI, agar bisa memverifikasi data yang diinputkan oleh user
• File executable harus dibiarkan berjalan hanya dalam direktori tertentu yang ditentukan
• Source kode tidak harus disimpan di mana saja di tempat yang dapat di download
• Pengindeksan direktori harus dimatikan, kecuali jika menggunakan web eksternal hosting, anda tidak bisa mematikan
• Jika tidak perlu, nonaktifkan Sistem manajemen content dan fitur lain yang memungkinkan user mengelola file di server Web Remote
• Mengindentifikasi titik lemah potensial dengan memanfaatkan alat-alat keamanan, seperti IIS atau URL Scan
• Informasi pribadi dan publik harus disimpan baik secara fisik terpisah
• Data rahasia tidak harus berada pada mesin yang sama dengan server web yang bisa diakses publik
• Jika tidak perlu, nonaktifkan Sistem manajemen content dan fitur lain yang memungkinkan user mengelola file di server Web Remote
• Mengindentifikasi titik lemah potensial dengan memanfaatkan alat-alat keamanan, seperti IIS atau URL Scan
• Informasi pribadi dan publik harus disimpan baik secara fisik terpisah
• Data rahasia tidak harus berada pada mesin yang sama dengan server web yang bisa diakses publik
SQL Injection
• sebuah teknik untuk mengeksplorasi aplikasi web dengan memanfaatkan suplai data dari client dalam sintak SQL.
• Menghindari SQL Injection
Memfilter dengan tidak membolehkan karakter seperti single quote, double quote, slash, back slash, semi colon, extended character like NULL, carry return, new line, etc, dalam string form:
- Masukan dari from users
- Parameters di URL
- Nilai dari cookie
- Masukan dari from users
- Parameters di URL
- Nilai dari cookie
• sebuah teknik untuk mengeksplorasi aplikasi web dengan memanfaatkan suplai data dari client dalam sintak SQL.
•
• Menghindari SQL Injection
Memfilter dengan tidak membolehkan karakter seperti single quote, double quote, slash, back slash, semi colon, extended character like NULL, carry return, new line, etc, dalam string form:
- Masukan dari from users
- Parameters di URL
- Nilai dari cookie
- Masukan dari from users
- Parameters di URL
- Nilai dari cookie
Tidak ada komentar:
Posting Komentar