4/06/2019 11:27:00 AM Muhammad Hanif Akmalludin
Keamanan Sistem WWW
- World Wide Web (WWW) salah satu aplikasi yang membuat populernya internet.
- Keunggulan web → kemudahan mengakses informasi.
- Konsep → hypertext
- Pembaca sistem WWW (browser) → Netscape, Internet Explorer, Mozilla, Chrome, Lynx, Mozaic, dll
- Perkembangan WWW dan internet menyebabkan sistem informasi menggunakannya sebagai basis
- Banyak aplikasi sistem informasi yang tidak terhubung ke internet tetapi tetap menggunakan basis web → intranet
- Keamanan sistem informasi bergantung pada keamanan sistem Web.
- Arsitektur sistem Web terdiri dari 2 sisi: server dan client
- Sistem Web dapat menyajikan data dalam bentuk statis dan dinamis
- Program dapat dijalankan di server (misalnya: PHP, ASP, CGI) dan di client (javascript, applet)
- Sistem server maupun client memiliki permasalahan yang berbeda.
Asumsi sebuah sistem Web (dari sisi pengguna)
- Sistem Web dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki sistem tersebut. Misalnya: domain rcti.tv dan isi situsnya menunjukkan bahwa situs itu miliki RCTI, maka dapat dipercaya bahwa situs itu miliknya RCTI. Pembajakan domain merupakan pengecualian terhadap asumsi ini.
- Dokumen yang ditampilkan tidak mengandung malcode.
- Server tidak mendistribusikan informasi mengenai pengunjung ke pihak lain. Kunjungan ke sebuah situs, data nomer IP, operating system, browser yang digunakan, dll, dapat dicatat.
Asumsi Dari Penyedia Jasa (WebMaster)
- Pengguna tidak beritikad untuk merusak server atau mengubah isinya tanpa izin.
- Pengguna hanya boleh mengakses dokumen-dokumen atau informasi yang diizinkan untuk diakses.
- Pengguna tidak mencoba-coba untuk masuk ke direktori yang tidak diperkenankan
Asumsi Kedua Belah Pihak
- Jaringan komputer dan komputer bebas dari penyadapan pihak ketiga
- Informasi yang disampaikan dari server ke client (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak
- Asumsi-asumsi di atas dapat dilanggar sehingga mengakibatkan adanya masalah keamanan, baik di sisi server maupun di sisi client
Keamanan Server WWW
- Keamanan server WWW merupakan tanggung jawab administrator jaringan
- Dengan dijadikannya server WWW, maka ada akses yang dibuka untuk orang luar
- Server WWW menyediakan fasilitas agar client dapat mengambil informasi
- Informasi yang diambil dalam bentuk file
- Menggunakan perintah GET
- Informasi yang diambil dieksekusi di server (PHP, ASP, CGI, dll)
- Kedua servis di atas (mengambil dan mengeksekusi file) memiliki potensi lubang keamanan.
Lubang keamanan sistem WWW dapat menghasilkan serangan:
- Informasi yang ditampilkan diubah (deface)
- Informasi yang seharusnya untuk kalangan terbatas, ternyata berhasil ditampilkan oleh orang yang tidak berhak
- Informasi dapat disadap, misalnya
- Pengiriman nomer CC
- Monitoring kemana saja seseorang melakukan surfing
- DoS Attack
- Server WWW yang terletak dibelakang firewall, lubang keamanan server WWW dapat melemahkan dan bahkan menghilangkan fungsi firewall
Membatasi Akses Melalui Kontrol Akses
- Perlu dibuat pembatasan akses agar orang-orang tertentu saja yang dapat mengakses
Pembatasan akses dapat dilakukan dengan:
- Membatasi domain atau Nomor IP yang dapat mengakses
- Menggunakan user dan password
- Mengenkripsi data sehingga hanya dapat dibuka oleh orang yang memiliki kunci
Potensi lubang keamanan pada script(sisi server) antara lain:
- User memasang script yang dapat mengirim data password kepada pengunjung yang mengeksekusi script tersebut.
- Script dipanggil berkali-kali sehingga berdampak server menjadi terbenani (CPU Time meningkat)
- Melalui guestbook, dapat diisikan link yang ke halaman pornografi atau diisikan sampah sehingga memenuhi disk.
- Teks yang dikirim diisi dengan karakter tertentu dengan tujuan untuk merusak sistem. Sering kali dilakukan pada search engine, dengan memasukan kata kunci seperti %%%, %; drop table, tanda petik tunggal, dll
- Salah konfigurasi httpd, misalnya httpd dijalankan oleh user root
Keamanan Client WWW
Biasanya berhubungan dengan:
- Masalah privasi
- Penyisipan malcode
1.Masalah Privasi
- Kunjungan ke sebuah situs dapat mengakibatkan adanya cookie yang berguna untuk menandai pernah berkunjung
- Sehingga bila mengunjungi lagi situs tersebut, maka server dapat mengetahui kita kembali.
Dampak cookie:
- Ketahuan kemana saja kita surfing.
- Cookie bisa dicuri. Bagaimana bila ada data yang bersifat rahasia (seperti user dan password)
Solusi:
- Jangan meninggalkan jejak di internet
2.Penyisipan Malcode
- Penyerangan dilakukan dengan menyisipkan malcode (worm atau trojan horse) ke sebuah halaman situs.
- Dampaknya, client dapat dikendalikan dari jarak jauh, penyadapan terhadap apa yang diketik, melihat isi direktori, melakukan reboot, bahkan dapat melakukan format harddisk.
Solusi:
- Aktifkan Anti Virus yang dapat mengecek halaman dari sebuah situs.
Daftar Pustaka
0 komentar:
Posting Komentar