Kemanan Web
Keamanan Web ● How Web Works ? – Menggunakan protokol HTTP – Klien meminta dokumen melalui URL (Request) – Server membalas dengan memberikan dokumen jika ada (Replay) – HTTP bersifat Stateless ● Elemen web lainya : – HTML, ASP, PHP, JSP, dll – Aplikasi : Audio/Video, Postscript, pdf – Browser : ● Untuk menampilkan doukumen dan gambar ● Untuk membantu menjalakan aplikasi ● IE, Mozilla, Netscape, Konqueror, Lynx, dll
Web Vulnerabilities ● ● Intercept informasi dari klien – Data, password, dll ● Pencurian data di server – Data, password, dll ● Menjalankan aplikasi di server – Memungkinkan melakukan eksekusi program “ngak benar” di server ● Denial Of Services ● Server Side Scripting, Cgi-Bin – Kesalahan pemograman membuka peluang
Kemanan Web ● Authentikasi – FORM HTML – Basic, Digest – Klien Side + Server Side Scripting ● Manajemen Sesi ● Menggunakan Layer lain – S-HTTP ( discontinoued) – HTTPS ( HTTP ovel SSL) – IPSec ● Konfigurasi Web Server – Hak Akses – Indexes – Penempatan File
Authentikasi ● FORM HTML –... – – Tidak di enkripsi ● BASIC – Algortima Base64 – Mudah di Dekrip ● DIGEST – Alghoritma Digest Ex: MD5 – Belum 100% di support ● CS + SS Script – Belum 100% di support –
Manajemen Sesi ● Hiden Form Field – <input type="hidden" name="uniqueticket" – View page Source ● Cookies – User harus mennghidupkan fasilitas – Poisoned cookies ● Session Id – -rw nobody nobody 180 Jun 30 18:46 sess_5cbdcb16f... – Dapat menggunakan History jika umur sesi belum habis ● URL Rewriting – t=&promo=&.intl=us
Konfigurasi Web Server ● Hak Akses – Linux / Unix : Web Server => user = apache ● Penempatan file – Penempatan file-file penting – – Backup file konfigurasi ● Indexes – Listing Isi Direktori
SSL ● Untuk Semua Protokol TCP – Telnet -> SSH – HTTP -> HTTPS ● Public Key Server ● Hashing – MD5 + SHA ● CA ● Sekarang -> TLS