Transcript www1
Computer Security
Keamanan Sistem World Wide Web
1
• • • • •
Computer Security
Keamanan Sistem WWW
Fasilitas internet: http, mail, ftp, gopher, dll World Wide Web (WWW) salah satu aplikasi yang membuat populernya internet.
Keunggulan web → kemudahan mengakses informasi. Konsep → hypertext Pembaca sistem WWW (browser) → Netscape, Internet Explorer, Mozilla, Chrome, Lynx, Mozaic, dll
2
• • •
Computer Security
Keamanan Sistem WWW
Perkembangan WWW dan internet menyebabkan sistem informasi menggunakannya sebagai basis Banyak aplikasi sistem informasi yang tidak terhubung ke internet tetapi tetap menggunakan basis web → intranet Keamanan sistem informasi bergantung pada keamanan sistem Web.
3
• • • •
Computer Security
Keamanan Sistem WWW
Arsitektur sistem Web terdiri dari 2 sisi: server dan client Sistem Web dapat menyajikan data dalam bentuk statis dan dinamis Program dapat dijalankan di server (misalnya: PHP, ASP, CGI) dan di client (javascript, applet) Sistem server maupun client memiliki permasalahan yang berbeda.
4
Computer Security
Keamanan Sistem WWW
• • • Asumsi sebuah sistem Web (dari sisi pengguna) Sistem Web dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki sistem tersebut. Misalnya: domain rcti.tv dan isi situsnya menunjukkan bahwa situs itu miliki RCTI, maka dapat dipercaya bahwa situs itu miliknya RCTI.
Pembajakan pengecualian terhadap asumsi ini.
domain merupakan Dokumen yang ditampilkan tidak mengandung malcode.
Server tidak mendistribusikan informasi mengenai pengunjung ke pihak lain. Kunjungan ke sebuah situs, data nomer IP, operating system, browser yang digunakan, dll, dapat dicatat.
5
Computer Security
Keamanan Sistem WWW
• • • Asumsi Dari Penyedia Jasa (WebMaster) Pengguna tidak beritikad untuk merusak server atau mengubah isinya tanpa izin.
Pengguna hanya boleh mengakses dokumen-dokumen atau informasi yang diizinkan untuk diakses.
Pengguna tidak mencoba-coba untuk masuk ke direktori yang tidak diperkenankan
6
Computer Security
Keamanan Sistem WWW
• • Asumsi Kedua Belah Pihak Jaringan komputer penyadapan pihak ketiga dan komputer Informasi yang disampaikan dari server ke client (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak bebas dari • Asumsi-asumsi di atas dapat dilanggar sehingga mengakibatkan adanya masalah keamanan, baik di sisi server maupun di sisi client
7
Computer Security
Keamanan Server WWW
Keamanan server WWW merupakan tanggung jawab administrator jaringan Dengan dijadikannya server WWW, maka ada akses yang dibuka untuk orang luar Server WWW menyediakan fasilitas agar client dapat mengambil informasi Informasi yang diambil dalam bentuk file Menggunakan perintah GET Informasi yang diambil dieksekusi di server (PHP, ASP, CGI, dll) Kedua servis di atas (mengambil dan mengeksekusi file) memiliki potensi lubang keamanan.
8
Computer Security
Keamanan Server WWW
• • • • • Lubang keamanan sistem WWW dapat menghasilkan serangan: Informasi yang ditampilkan diubah (deface) Informasi yang seharusnya untuk kalangan terbatas, ternyata berhasil ditampilkan oleh orang yang tidak berhak Informasi dapat disadap, misalnya • Pengiriman nomer CC • Monitoring kemana saja seseorang melakukan surfing DoS Attack Server WWW yang terletak dibelakang firewall, lubang keamanan server WWW dapat melemahkan dan bahkan menghilangkan fungsi firewall
9
Computer Security
Keamanan Server WWW
•
Membatasi Akses Melalui Kontrol Akses
Perlu dibuat pembatasan akses agar orang-orang tertentu saja yang dapat mengakses • • • Pembatasan akses dapat dilakukan dengan Membatasi domain atau Nomor IP yang dapat mengakses Menggunakan user dan password Mengenkripsi data sehingga hanya dapat dibuka oleh orang yang memiliki kunci
10
Computer Security
Keamanan Server WWW
• • • • • Potensi lubang keamanan pada script(sisi server) antara lain: User memasang script yang dapat mengirim data password kepada pengunjung yang mengeksekusi script tersebut.
Script dipanggil berkali-kali sehingga berdampak server menjadi terbenani (CPU Time meningkat) Melalui guestbook, dapat diisikan link yang ke halaman pornografi atau diisikan sampah sehingga memenuhi disk.
Teks yang dikirim diisi dengan karakter tertentu dengan tujuan untuk merusak sistem. Sering kali dilakukan pada search engine, dengan memasukan kata kunci seperti %%%, %; drop table, tanda petik tunggal, dll Salah konfigurasi httpd, misalnya httpd dijalankan oleh user root
11
Computer Security
Keamanan Client WWW
• • Biasanya berhubungan dengan: Masalah privasi Penyisipan malcode
12
Computer Security
Keamanan Client WWW
• •
Masalah Privasi
Kunjungan ke sebuah situs dapat mengakibatkan adanya cookie yang berguna untuk menandai pernah berkunjung Sehingga bila mengunjungi lagi situs tersebut, maka server dapat mengetahui kita kembali. Baik bukan? • •
Dampak cookie:
Ketahuan kemana saja kita surfing.
Cookie bisa dicuri. Bagaimana bila ada data yang bersifat rahasia (seperti user dan password) •
Solusi:
Jangan meninggalkan jejak di internet
13
Computer Security
Keamanan Client WWW
• •
Penyisipan MalCode
Penyerangan dilakukan dengan menyisipkan malcode (worm atau trojan horse) ke sebuah halaman situs.
Dampaknya, client dapat dikendalikan dari jarak jauh, penyadapan terhadap apa yang diketik, melihat isi direktori, melakukan reboot, bahkan dapat melakukan format harddisk.
•
Solusi:
Aktifkan Anti Virus yang dapat mengecek halaman dari sebuah situs.
14