Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

KEAMANAN APLIKASI WEB.

Diterbitkan olehHarjanti Oesman Telah diubah "6 tahun yang lalu

Presentasi serupa

Presentasi berjudul: "KEAMANAN APLIKASI WEB."— Transcript presentasi:

1 KEAMANAN APLIKASI WEB

2 A. DASAR-DASAR KEAMANAN
Keamanan bersandar pada 6 unsur yaitu, Autentikasi Otorisasi Pengauditan Kerahasiaan Integritas ketersediaan

3 1.Autentikasi Autentikasi merupakan proses yang secara unik mengidentifikasi client dari layanan dan aplikasi kita. 2. Otorisasi otorisasi merupakan proses yang memerintahkan operasi dan sumber daya dengan client yang diautentikasi saja yang diijinkan untuk melakukan akses

4 3. Pengauditan Pada sistem ini menjamin bahwa seseorang pengguna tidak bisa menyangkal bahwa dia telah melakukan suatu operasi atau memulai suatu transaksi. 4. Kerahasiaan Kerahasiaan merupakan proses untuk menyakinkan bahwa data tetap bersifat pribadi dan rahasia dan tidak bisa dilihat oleh pengguna yang tidak diotorisasi atau pengintip yang memonitor aliran lalu lintas antarjaringan.

5 5. Integritas Integritas adalah jaminan bahwa data dilindungi dari modifikasi yang disengaja. 6. Ketersediaan Dari perspektif keamanan, ketersediaan berarti sistem tetap tersedia untuk para pengguna yang sah.

6 B. Mengamankan Jaringan, Host, dan Aplikasi
Komponen Keterangan Router Adalah lingkaran jaringan yang paling jauh. Paket salurannya ada pada port dan protokol yang dibutuhkan oleh aplikasi anda. Firewall Firewall mengeblok port dan protokol dan menjamin lalu lintas jaringan dengan menyediakan penyaringan aplikasi spesifik untuk mengeblok komunikasi yang tidak baik. Switch Switch digunakan untuk segmen jaringan yang terpisah.

7 2. Mengamankan Host Sistem Opera-si Patches and update Shares
Auditing and logging Services Files and directories accounts Registry Jarin-gan Protocol Ports

8 3. Mengamankan aplikasi Keamanan aplikasi biasanya paling banyak adalah mengamankan aplikasi web.

9 Kategori Vulnerabilitas Aplikasi
Deskripsi Input validation Imput validasi mengacu pada bagaimana aplikasi anda menyaring atau menolak suatu masukan sebelum pemrosesan tambahan. Authentication Auntentikasi adalah proses dengan suatu kesatuan yang membuktikan identitas dari kesatuan yang lainnya, biasanya melalui credentials, seperti nama pengguna dan kata sandi. Authorization Otorisasi adalah bagaimana aplikasi anda menyediakan kontrol akses untuk sumber daya dan operasi. Configuration management Manajemen konfigurasi mengacu padabagaimana aplikasi menangani isu operasional ini. Sensitive data Data sensitif mengacu pada bagaimana menangani aplikasi anda dan data yang ada yang harus dilindungi dari memori manapun, atau pada penyimpanan tetap. Session management Session management mengacu pada bagaimana menangani aplikasi anda dan memproteksi interaksi ini.

10 Lanjutan Kategori Deskripsi Cryptography
Kriptografi mengacu pada bagaimana aplikasi anda menguatkan kerahasiaan dan integritas. Parameter manipulation Manipulasi parameter mengacu pada bagaimana melindungi aplikasi yang merusak nilai-nilai ini dan bagaimana aplikasi memprosees parameter masukan Auditing dan logging Auditing dan logging mengacu pada bagaimana catatan aplikasi anda melaporkan security-related events.

11 Prinsip-prinsip Keamanan
Konsep Compartmentalize Firewall yang setidaknya mengistimewakan akun dan code merupakan contoh dari penggolongan (c0mpartmentalize). Use least privilege Dengan menjalankan proses menggunakan akun dengan keistimewaan dan hak akses minimal, anda dapat secara signifikan mengurangi kemampuan dari seorang penyerang, jika penyerang megatur untuk mengkompromikan dan menjalankan kode. Apply defense in depth Artinya anda tidak bersandar pada lapisan keamanan tunggal atau anda mempertimbangkan bahwa salah satu lapisan mungkin dikitari atau disepakati. Do not trust user input Masukan pengguna aplikasi anda menjadi senjata utama bagi penyerang untuk menyerang aplikasi anda. Fail securely Jika suatu aplikasi gagal, jangan meninggalkan data sensitif yang dapat diakses. Reduce your attack surface Jika anda tidak menggunakannya, jangan mengaktifkannya.

12 Sepuluh Celah Keamanan Aplikasi Web
Unvalidated input Broken aacces control Broken authentication dan session management Cross site scripting Buffer overflow Injection flaw Insecure storage Penolakan layanan Failure to restrict URL Access Insecure configuration management

13 1. Unvalidated input Ada 2 hal yang dapat dicatat ketika menangani validasi pada aplikasi kita yaitu: Mempercayai client side scripting merupakan hal yang sebaiknya dihindari pada aplikasi web. Beberapa aplikasi menggunakan pendekatan negatif pada aplikasinya, jenis pendekatan ini hanya bisa melindungi aplikasi dari beberapa serangan saja. 2. Broken access control Masalah yang berhubungan dengan control access adalah sebagai berikut: Insecure Ids File Permission

14 3. Broken authentication dan session management
Beberapa hal yang perludiperhatikan diantaranya, Password Strength Password Use Password Storage Session ID Protection 4. Cross Site Scripting Cara yang bisa digunakan untuk mencegah serangan cross site scripting adalah dengan melakukan validasi data masuk dari user request (seperti header, cookie, user parameter). Pendekatan negatif tidak digunakan karena usaha untuk menyaring content aktif merupakan cara yang tidak efektif.

15 5. Buffer overflow Kelemahan buffer overflow biasanya sulit dideteksi dan sulit dilakukan oleh peretas. Akan tetapi penyerang masih bisa menyari kelemahan tersebut dan melakukan buffer overflow pada sebagian aplikasi web. Untuk memastikan keamanan, cara yang paling baik adalah dengan melakukan pengawasan apabila terdapat patch atau bug report dari produk server yang digunakan. 6. Injection flaw kelemahan injection flaw membuat peretas dapat mengirimkan atau memasukkan permintaan ke sistem operasi atau ke sumber external seperti basis data.

16 7. Insecure Storage Berikut adalah beberapa kesalahan yang sering terjadi: Kesalahan untuk mengenkripsi data penting. Tidak amannya kunci, sertifikat, dan kata sandi. Kurang amannya lokasi penyimpanan data. Kurangnya penghitungan dari pengacakan. Kesalahan pemilihan algoritme. Mencoba menciptakan algoritme enkripsi yang baru. 8. Penolakan Layanan Merupakan serangan yang dibuat oleh peretas yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan.

17 9. Failure To Restrict URL Access Aplikasi web sering kali hanya menghilangkan tampilan tautan (URL) dari pengguna yang tidak berhak. Meskipun begitu, hal ini dapat dengan sangat mudah dilewati dengan mengakses URL tersebut secara langsung. Jika ingin memeriksa aplikasi Web anda dengan lebih lengkap, anda dapat membaca langsung dari situs resmi OWASP. 10. Insecure Configuration Management Kesalahan konfigurasi server yang bisa menimbulkan masalah: a. Celah keamanan yang belum ditambal dari perangkat lunak yang ada pada server-administrator tidak melakukan penambalan perangkat lunak yang ada pada server.

18 b. Celah keamanan server yang bisa menanpilkan daftar dari direktori atau juga serangan berupa direktori melintang (traversal directory). c. File-file cadangan atau file contoh, file-file script, dan konfigurasi yang tidak perlu. d. Hak akses direktori atau file yang salah. e. Adanya layanan seperti administrasi jarak jauh ( remote administration) dan manajemen konten (content management) yang masih aktif. f. Penggunaan akun default dan kata sandi default. g. Fungsi administratif atau fungsi debug yang bisa diakses. h. Adanya pesan kesalahan (eror) yang informatif dari segi teknis. i. Kesalahan konfigurasi SSL certificate dan pengesetan enkripsi. j. Penggunaan self-signet certificate untuk melakukan autentifikasi. k. Penggunaan default certificate. l. Kesalahan autentifikasi dengan sistem eksternal.

19 Terima Kasih

Download ppt "KEAMANAN APLIKASI WEB."

Presentasi serupa

1 Keamanan Data dan Jaringan Komputer Pertemuan 11 Applications Hacking.

1 Keamanan Data dan Jaringan Komputer Pertemuan 11 Applications Hacking.
Keamanan Sistem e-commerce

Keamanan Sistem e-commerce
Pengamanan Digital Lukito Edi Nugroho. Transaksi Elektronis Transaction : “an action or activity involving two parties or things that reciprocally affect.

Pengamanan Digital Lukito Edi Nugroho. Transaksi Elektronis Transaction : “an action or activity involving two parties or things that reciprocally affect.
DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT

DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT
Pengamanan Situs Web Kelompok II David kadi :09220029 Santi Sari :09220041 Milson :09220059 Putu agus angga:10220070 Hepy fanus :09220013 Ari Umar F. :10220045.

Pengamanan Situs Web Kelompok II David kadi : Santi Sari : Milson : Putu agus angga: Hepy fanus : Ari Umar F. :
RESIKO DAN KEAMANAN E-COMMERCE

RESIKO DAN KEAMANAN E-COMMERCE
LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)

LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)
Pertemuan 5 Web Security.

Pertemuan 5 Web Security.
Zaini, PhD Jurusan Teknik Elektro Universitas Andalas 2012

Zaini, PhD Jurusan Teknik Elektro Universitas Andalas 2012
Keamanan Aplikasi Web Husni husni.trunojoyo.ac.id komputasi.wordpress.com Web Engineering 2010 Pertemuan ke-13.

Keamanan Aplikasi Web Husni husni.trunojoyo.ac.id komputasi.wordpress.com Web Engineering 2010 Pertemuan ke-13.
CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.

CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.
PERENCANAAN KEAMANAN DATA

PERENCANAAN KEAMANAN DATA
Chapter 5: Networks, Internet & Ecommerce

Chapter 5: Networks, Internet & Ecommerce
Chapter 5: Networks, Internet & Ecommerce

Chapter 5: Networks, Internet & Ecommerce
INFRASTRUKTUR e-COMMERCE.

INFRASTRUKTUR e-COMMERCE.
Keamanan Data.

Keamanan Data.
Sistem Pendeteksi Penyusup Sebuah sistem keamanan adalah sekumpulan komponen yg bertugas untuk mengamankan sesuatu yg berharga. Analoginya jika kita ingin.

Sistem Pendeteksi Penyusup Sebuah sistem keamanan adalah sekumpulan komponen yg bertugas untuk mengamankan sesuatu yg berharga. Analoginya jika kita ingin.
Keamanan Komputer.

Keamanan Komputer.
KEAMANAN & KERAHASIAAN DATA.

KEAMANAN & KERAHASIAAN DATA.
Shibu lijack Keamanan Web Sistem Kelompok : Benedicktus Fobia, Saptadi Handoko, Heri Permadi, Andrean T. Sinaga.

Shibu lijack Keamanan Web Sistem Kelompok : Benedicktus Fobia, Saptadi Handoko, Heri Permadi, Andrean T. Sinaga.

Presentasi serupa

Iklan oleh Google