Keamanan Sistem WWW Muhammad Zidny Naf’an
WWW • World Wide Web (WWW atau Web1) merupakan salah satu “killer applications” yang menyebabkan populernya Internet. • WWW dikembangkan oleh Tim Berners-Lee ketika bekerja di CERN (Swiss). • Kehebatan Web adalah kemudahannya untuk mengakses informasi, yang dihubungkan satu dengan lainnya melalui konsep hypertext. • Informasi dapat tersebar di mana-mana di dunia dan terhubung melalui hyperlink.
Asumsi-asumsi Pada Sistem Web • Asumsi dari sisi pengguna • Asumsi dari penyedia jasa (webmaster) • Asumsi kedua belah pihak
Asumsi-asumsi Pada Sistem Web Asumsi dari sisi pengguna • Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut. • Maksudnya, jika sebuah server memiliki domain www.bni.co.id dan tulisan di layar menunjukkan bahwa situs itu merupakan milik Bank BNI maka kita percaya bahwa server tersebut memang benar milik Bank BNI. Adanya domain yang dibajak merupakan anomali terhadap asumsi ini.
• Dokumen yang ditampilkan bebas dari virus, trojan horse, atau itikad jahat lainnya. • Bisa saja seorang yang nakal memasang virus di web nya. Akan tetapi ini merupakan anomali.
• Server tidak mendistribusikan informasi mengenai pengunjung (user yang melakukan browsing) kepada pihak lain. • Hal ini disebabkan ketika kita mengunjungi sebuah web site, data-data tentang kita (nomor IP, operating system, browser yang digunakan, dll.) dapat dicatat. Pelanggaran terhadap asumsi ini sebetulnya melanggar privacy. Jika hal ini dilakukan maka pengunjung tidak akan kembali ke situs ini.
Asumsi-asumsi Pada Sistem Web Asumsi dari penyedia jasa (webmaster) • Pengguna tidak beritikad untuk merusak server atau mengubah isinya (tanpa ijin). • Pengguna hanya mengakses dokumen-dokumen atau informasi yang diijinkan diakses. • Seorang pengguna tidak mencoba-coba masuk ke direktori yang tidak diperkenankan (istilah yang umum digunakan adalah “directory traversal ”).
• Identitas pengguna benar. Banyak situs web yang membatasi akses kepada user-user tertentu. Dalam hal ini, jika seorang pengguna “login” ke web, maka dia adalah pengguna yang benar.
Asumsi-asumsi Pada Sistem Web Asumsi kedua belah pihak • Jaringan komputer (network) dan komputer bebas dari penyadapan pihak ketiga. • Informasi yang disampaikan dari server ke pengguna (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak.
OWASP Top 10 - 2013 • Open Web Application Security Project (OWASP) adalah project open source yang dibangun untuk menemukan penyebab dari tidak amannya sebuah software dan menemukan cara menanganinya. • Top 10 vulnerabilites: 1. Injection 2. Broken Authentication and Session Management 3. Cross-Site Scripting (XSS) 4. Insecure Direct Object References 5. Security Misconfiguration 6. Sensitive Data Exposure 7. Missing Function Level Access Control 8. Cross-Site Request Forgery (CSRF) 9. Using Known Vulnerable Components 10. Unvalidated Redirects and Forwards
TUGAS KELOMPOK Belajar Mandiri • 1 Kelompok terdirid dari max 4-5 mahasiswa • Pelajari dokumen Top 10 Vulnerabilities yang dirilis OWASP pada tahun 2013. • Buatlah ringkasannya yang terdiri dari: • • • •
Definisi singkat Tools yang digunakan untuk mendeteksi kerentanan tersebut Contoh penyerangan Cara penanggulangan
• Ketik ringkasan yang Anda buat dan kumpulkan via E-mail paling lambat tgl 30 Des 2016, pukul 17.00 dengan judul [TUGAS TOP-10 2013] NIM_KETUA_KELOMPOK
Tugas Kelompok untuk 2 pertemuan kedepan • Buatlah aplikasi web dalam bahasa PHP dan menggunakan database MySQL yang terdiri dari: • Satu halaman login • Satu halaman yang dibuka jika login berhasil, yang berisi nama dan nim anggota kelompok
• Coba lakukan penyerangan-penyerangan berikut terhadap aplikasi Anda: • SQL Injection • XSS
• Jika aplikasi Anda masih rentan, lakukan perbaikan dan catat dalam laporan apa kerentanan aplikasi Anda dan apa yang harus diperbaiki? • Laporkan hasil uji coba Anda, dikumpulkan pada tanggal 10 januari 2016, disertai dengan presentasi laporan masing-masing kelompok
Referensi • Budi Rahardjo, Keamanan Sistem Informasi Berbasis Internet
