Pada pertemuan kali ini kuliah Keamanan
Sistem Informasi kami dikelas diajarkan mengenai WWW Security.Saya akan
menjelaskan sedikit yang saya ketahui tentang WWW Security.
Pada pokok security di Web itu :
·
User Management
o
User adalah suatu komponen yang
signifikan dari aplikasinya, oleh karena tu user menjadi tujuan dari keamanan
WEB
o
Brutte Force attack pada Basic
Authentication (Penggunaan password yang mudah terdiskripsi )
o
Session Hacking
§ Hacker dapat saja membajak
user dengan cookies
§ Memungkinkan hacker dapat mengetahui informasi user dan review
informasi
·
Authenication dan Authorizing
o
Pembentukan identitas user
o
Aplikasi web bersifat
sessionless ( potensial serangan man – in – the – middle )
·
Data Confidentiality dan
Integrity
o
Hal yang menjadi ancaman yaitu
:
§ Cryptaanalysis
§ Side – channel leakage
§ Physical Attack
·
Transport Security dan privacy
o
Cross site scripting
o
Cookies merupakan penyimpanan
informasi yang berisi informasi tentang user yang mengunjungi situs yang
bersangkutan
o
Saat request dikirim, server meminta apakah ada browser cookies, jika ada web server dapat
meminta web browser untuk mengirimkan cookie ke web server
Pengamanan Form Authentication
- Pembagian area yang bisa diakses oleh anonim dan user dengan authentikasi
- Aplikasi web bisa pake secure socket layer (SSL)
- Hyper text transfer protocol (http) sebagai socket utama
- Client meminta doc mml url
- Server memberi documents
- Merupakan stateless protocol
Cookies merupakan tempat menyimpan berbagai
informasi tentang website yang pernah dikunjungi oleh user.Cookies adalah file
ASCII yang dikirim server ke client, lalu disimpan di local system.
SLL merupakan langkah security transport ,
pola kerja asymatric maupun symmetric key encryption
HTTP over SSL yaitu HTTPS dibentuk suatu
encrypted tunnel antara browser dengan web server.
Pada Arsitektur WWW yaitu :
_Server (Apache IIS)
Client
_IE,FIREFOX,NETSCAPE,MOZILLA,SAFARI,OPERA,GALEON,KFM,ARENA,AMAYA,YNX,K-MELEON
_Terhubung
melalui jaringan komputer
Web Application : memungkinkan untuk
mengimplementasikan system secara tersentralisasi :
_client hanya memmbutuhkan web browser
_update software bisa dilakukan deserver
saja
_browser disisi client dapat ditambah
dengan “plungin” untuk menambahkan fitur
_mulai banyak aplikasi yang menggunakan
basis web
Asumsi
_Server dimiliki dan dikendalikan oleh
organisasi yang mengaku memiliki server tersebut
_Dokumen yang ditampilkan bebas dari virus
/ itikad jahat lainnya
_Server tidak mencatat / mendistribusikan
informasi tentang user
DIISI WEBMASTER
_Pengguna tidak bertekad untuk merusak web
server atau mengubah isinya
_Pengguna hanya mengakses dokumen – dokumen
yang diperkenankan diakses
-Identitas pengguna benar
DIISI KEDUA PIHAK
_Network dan komputer bebas dari penyadapan
pihak ketiga
_Informasi yang disampaikan dari server ke
pengguna terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga
Eksploitasi www
_Tampilan web diubah (deface)
_Data di server berubah
_Masuk
ke server dan mengubah secara manual
_Mengubah
data melalui C61
_Mengubah
data di database (SQL Injection , XSS )
_Informasi bocor
_Penyudupan Informasi
_Dos attack
ANTISIPASI
_Access control
_Hanya IP Tertentu yang dapat mengakses
server (konfigurasi web server / firewall)
_Via user ID dan password
_Menggunakan token
_Secure socket layer
Menggunakan enkripsi untuk mengamankan
transmisi data protocol SSL
Tidak ada komentar:
Posting Komentar