![Keamanan Web Sistem Dan Web Browser [PDF]](https://pdfs.asia/img/200x200/keamanan-web-sistem-dan-web-browser.jpg)
16 0 131 KB
KEAMANAN WEB SISTEM DAN WEB BROWSER
Disusun oleh: Ainun_2004411691 Sulmiati_2004411526 Indah lestari jafar_2004411152
UNIVERSITAS COKROAMINOTO PALPO FAKULTAS TEHNIK KOMPUTER PRODI INFORMATIKA 2022
Keamanan web, sangat erat kaitannya dengan jaringan, karena untuk mengakses sebuah website pasti dibutuhkan koneksi jaringan. Saat ini sangat pesat sekali perkembangan teknologi website, jaringan dan bermacam ancaman keamanan yang dihadapi, seperti ancaman terhadap kerahasiaan yang sering dihadapi adalah hacker, Masquerader,virus virus dari internet maupun dari media transfer data seperti flasdisk, hardisk eksternal, melalui jaringan LAN, download file tanpa proteksi, Trojan horse, Aktifitas user yang tidak terotorisasi dan masih banyak lagi ancaman keamanan yang kadang tidak kita sadari. Berbicara keamanan WEB, akan sangat luas cakupannya karena keamanan web mencakup semua aspek dari komputer, jaringan dan operating system hardware dan softwarenya. Pada artikel ini akan dibahas tentang Operating system (OS) yang paling baik dari segi kemanan, dan juga akan membahas tentang keamanan jaringan.
Definisi dan Pengertian Web Web adalah sebuah penyebaran informasi melalui internet. Sebenarnya antara www (world wide web) dan web adalah sama karena kebanyakan orang menyingkat www menjadi web saja. Web merupakan hal yang tidak dapat dipisahkan dari dunia internet. Melalui web, setiap pemakai internet bisa mengakses informasi-informasi di situs web yang tidak hanya berupa teks, tetapi juga dapat berupa gambar, suara, film, animasi, dll. Sebenarnya, web merupakan kumpulan-kumpulan dokumen yang banyak tersebar di beberapa komputer server yang berada di seluruh penjuru dunia dan trehubung menjadi satu jaringan melalui jaringan yang disebut internet. Web sistem merupakan perangkat lunak server,atau perangkat keras yang didedikasikan untuk menjalankan perangkat lunak yang dapat memenuhi permintaan klient di world wide web. Web browser disebut juga peramban,adalah perangkat lunak yang berfungsi menampilkan dan melakukan interaksi dengan dokumen-dokumen yang disediakan oleh server web. Web browser adalah sebuah aplikasi perangkat lunak yang memungkinkan pengguna untuk menayangkan dan berinteraksi dengan tulisan, gambar, video, musik dan berbagai informasi lainnya yang terdapat pada halaman Web di sebuah situs di World Wide Web atau di jaringan LAN lokal.
A. Keamanan Web Sistem Web sistem adalah sebuah software (perangkat lunak) yang memberikan layanan berupa data. Berfungsi untuk menerima permintaan HTTP atau HTTPS dari klien melalui web browser (Chrome, Firefox). Web server memiliki peran dalam memproses berbagai data yang diminta oleh klien (web browser). Kemudian ia memberikan hasil atau jawaban berupa dokumen, video, foto, atau beragam bentuk berkas lainnya. Pengamanan Web sistem adalah sebuah upaya untuk melindungi dan menjaga website dari serangan virus maupun hacker yang terkoneksi melalui sebuah jaringan.
Jenis - Jenis Web Server - Apache open-source - NginX open-source - IIS (Internet Information Services) → Proprietary Microsoft - Lighttpd open-source - Sun Java System Web Server - Zeus Web Server
Ancaman Gangguan Pada Web Sistem Ancaman terhadap sistem web biasanya berasal dari penolakan layanan, akses yang tidak sah, pembuatan profil, eksekusi kode acak, penyalahgunaan hak istimewa dari virus, trojan, dan sebagainya. Berikut ancaman - ancaman pada web server. Web Deface Adalah serangan yang dilakukan untuk mengganti visual (tampilan) dari sebuah website. Web Deface ada 2 yaitu Full dan Sebagian Full : Mendeface/Merubah satu halaman penuh tampilan depan alias file index. Sebagian : Tidak secara penuh, misalnya menampilkan beberapa kata atau gambar, atau penambahan script-script yang mengganggu. Perubahan Data Pada Server Ancaman Web server satu ini terdapat 2 macam yaitu : Langsung : Akses fisik ke server yang ada. Biasa dilakukan oleh pihak internal, dan ada korelasi dengan akses menuju ruang server, dan akses ke server yaitu mengetahui username dan pasword login. Remote / Jarak Jauh : Melalui CGI, dan eksploit data di database (SQL injection, XSS, dll) Penyadapan Informasi Untuk memperoleh data-data penting yang keluar masuk kedalam server web, misalnya data login (user, password) Metode yang digunakan : - URLWatch. Metode melihat siapa dan mengakses apa saja pada web yang disadap. - Sniffing. Penyadapan yang dilakukan menggunakan jaringan internet dengan tujuan utama untuk mengambil data dan informasi. Denial of Service (DoS) Menghabiskan resource (RAM, Processor, kemampuan ethernet) yang dimiliki oleh web server sampai tidak dapat menjalankan fungsinya dengan benar dengan cara membanjiri web server dengan trafik tinggi.
DoS ada 3 macam yaitu: - Traffic Flooding
Membanjiri traffic jaringan dgn banyak data, sehingga traffic dari pengguna tidak dapat masuk. - Request Flooding
Membanjiri jaringan dengan banyak request terhadap sebuah host service, sehingga request dari pengguna tidak dapat dilayani. - Communication Disturbance
Mengganggu komunikasi antara host dan kliennya. Misalnya mengubah informasi konfigurasi sistem, atau bahkan perusakan fisik terhadap komponen web server.
Cara menjaga Keamanan Web Sistem Menjaga keamanan pada web sistemr dapat dilakukan dengan hal - hal berikut. - Nonaktifkan layanan Matikan semua layanan yang tidak dipakai & noanaktifkan. - Amankan akses secara remote Menggunakan koneksi VPN atau protokol terenkripsi (SSH). Bisa juga dengan membatasi IP. - Server eksperimen vs Server produksi Gunakan server web berbeda untuk kepentingan pengembangan dan untuk kepentingan produksi. - Tetapkan hak akses Menetapkan hak akses bagi akun tertentu yang menjalankan layanan tertentu. Membatasi akses anonymous user yang mengakses web server, aneka file aplikasi web, serta database. - Pasang patch secara teratur Aktivitas hacking bisa terjadi karena para penjahat memanfaatkan lubang dari software yang belum diperbarui. - Pantau dan periksa server Memantau semua log aktivitas jaringan, akses ke web server, database server,dan sistem operasi. Waspada terhadap aktivitas mencurigakan. - Gunakan scanner untuk memeriksa port terbuka Gunakan tools untuk melakukan pemeriksaan terhadap keamanan port dalam server, seperti NMAP. - Gunakan layanan content delivery network (CDN) CDN “menyerap” serangan DDoS via penyebaran serangan ke berbagai mesin yg berada dalam jaringannya. - Ikuti berita terbaru Mengikuti aneka informasi dan berita untuk mengetahui perkembangan terbaru tentang issue keamanan dan tools pengaman yang tersedia atau aneka potensi serangan terbaru.
Menggunakan Audit Server, Audit Database, Audit Aplikasi dan CMS Audit Server Memperbarui PHP dan MySQL. Menginstall security update terbaru. Mengamankan traffic jaringan. Menggunakan FTP yang lebih aman. Melakukan backup. Audit Database Menyaring input pengguna. Membatasi akses database. Menggunakan SSL (Secure Socket Layer). Audit Aplikasi dan CMS Update CMS. Menggunakan Captcha. Memakai password yang kuat. Membatasi permintaan login. Nonaktifkan debugging B.Keamanan web browser Metode Keamanan pada Web Browser Berbagai macam ancaman memang menjadi gangguan yang cukup besar bagi para pengguna web browser. Namun dengan semakin berkembangnya ilmu teknologi, berbagai macam ancaman tersebut kini sudah dapat diatasi walaupun perkembangan ancaman-ancaman tersebut masih kian pesat meningkat. Beberapa cara untuk mengatasi ancaman-ancaman yang ada pada web browser adalah: 1.
Memasang anti spyware pada web browser
2.
Menghapus cookies pada web browser
3.
Menolak semua cookies untuk masuk
4.
Untuk pencegahan phising dan pharming
5.
Kenali tanda giveaway yang ada dalam email phising
6.
Menginstall software anti phising dan pharming
7.
Selalu mengupdate antivirus
8.
Menginstall patch keamanan
9.
Waspada terhadap email dan pesan instan yang tidak diminta.
10. Berhati-hati ketika login yang meminta hak administrator, cermati selalu alamat URL yang ada di address ba
Ancaman Gangguan web browser Bentuk Ancaman pada Web Browser Bentuk ancaman keamanan terhadap web browser berhubungan erat dengan ancaman-ancaman terhadap internet, karena apa saja dapat terjadi ketika kita menggunakan internet, maka akan berdampak buruk pula pada web browser yang kita gunakan atau bahkan akan berdampak buruk pula pada komputer. Ancaman tersebut terjadi karena saat ini internet dapat diakses dengan mudah. Meskipun internet bias dipengaruhi oleh kebijakan pemerintah dan lembaga-lembaga yang berwenang mengatur lalu lintas internet, tetapi masyarakat pada umumnya tidak bias mencegah orang lain untuk mengganggu pengguna internet lainnya. Beberapa ancaman yang mengusik keamanan dari web browser dapat berupa hijacking, session hijacking, juggernaut, hunt, replay, spyware, cookies, phising, pharming, dan lain-lain. 1.hijacking Hijacking adalah suatu kegiatan yang berusaha untuk memasuki [menyusup] ke dalam sistem melalui sistem operasional lainnya yang dijalankan oleh seseorang [pelaku: Hacker]. Sistem ini dapat berupa server, jaringan/networking [LAN/WAN], situs web, software atau bahkan kombinasi dari beberapa sistem tersebut. Namun perbedaanya adalah Hijacker menggunakan bantuan software atau server robot untuk melakukan aksinya, tujuanya adalah sama dengan para cracker namun para hijacker melakukan lebih dari para cracker, selain mengambil data dan informasi pendukung lain, tidak jarang sistem yang dituju juga diambil alih, atau bahkan dirusak. Dan yang paling sering dilakukan dalam hijacking adalah Session Hijacking. 2.Session Hijacking hal yang paling sulit dilakukan seseorang untuk masuk ke dalam suatu sistem (attack)adalah menebak password.terlebih lagi apabila password tersebut disimpan dengan menggunakan tingkat enskripsi yang tinggi,atau password yang hanya berlaku satu kali saja(one-time-passsword). Satu cara yang lebih mudah digunakan untuk masuk ke dalam sistem adalah dengan cara mengambil alih session yang ada setelah proses autentifikasi berjalan dengan normal. Dengan cara ini penyerang tidak perlu repot melakukan proses deskripsi password,atau menebak-nebak password terlebih dahulu.proses ini dikenal dengan istilah session hijacking.session hijacking adalah proses pengambilan alihan session yang sedang aktif dari suatu sistem.keuntungan dari cara ini adalah anda dapat mem-bypas proses autentikasi dan memperoleh hak akses secara langsung kedalam sistem. Ada dua tipe dari session hijacking,yaitu serangan secara aktif dan serangan secara pasif.pada serangan secara pasif,penyerang hanya menempatkan diri di tengah-tengah dari session antara komputer korban dengan server, dan hanya mengamati setiap data yang ditransfer tanpa memutuskan session aslinya. Pada aktif session hijacking,penyerang mencari session yang sedang aktif,dan kemudian mengambil alih session tersebut dengan memutuskan hubungan session aslinya. Enam langkah yang terdapat pada sessi hijacking adalah: - Mencari target - Melakukan prediksi sequence number - Mencari session yang sedang aktif
- Menebak sequence number - Memutuskan session aslinya - Mengambil alih session Beberapa program atau software yang umumnya digunakan untuk melakukan session hijacking adalah juggernaut,hunt,TTY watcher,dan IP Watcher. Untuk lebih jelasnya dibawah ini dibahas dua tool dari session hijacking yang sudah cukup popular dan banyak digunakan, yakni Juggernaut dan Hunt. Juggernaut Software ini sebenarnya adalah software network sniffer yang juga dapat digunakan untuk melakukan TCP session hijacking. Juggernaut berjalan pada sistem operasi Linux dan dapat diatur untuk memantau semua network traffic. Di samping itu program inipun dapat mengambil (capture)data yang kemungkinan berisi user name dan password dari user (pengguna) yang sedang melakukan proses login. Hunt Software ini dapat digunan untuk mendengarkan (listen),intersepsi (intercept),dan mengambil alih (hijack) session yang sedang aktif pada sebuah network. Hunt dibuat dengan menggunakan konsep yang sama dengan Juggernaut dan memiliki beberapa fasilitas tambahan. - Replay Replay attack,bagian dari Man In The Middle Attack adalah serangan pada jaringan dimana penyerang “mendengar” percakapan antar pengirim (AP) dan penelima (Client)seperti mengambil sebuah informasi yang bersifat rahasia seperti otentikasi,lalu hacker menggunakan informasi tersebut untuk berpura-pura menjadi client yang ter-otentikasi. Contoh : Client mau konek ke AP, Client memberikan identitasnya berupa password login, Hacker "mengendus" password login, setelah si Client dis-konek dari AP, Hacker menggunakan identitas Client yang berpura-pura menjadi Client yang sah, dapat kita lihat seperti contoh di atas. Penyebaran malcode (viruses, worms, dsb.) Berikut nama-nama malware/malcode yang terbagi dalam beberapa golongan antara lain: - Virus Tipe malware ini memiliki kemampuan mereproduksi diri sendiri yang terdiri dari kumpulan kode yang dapat memodifikasi target kode yang sedang berjalan.
-
Worm Sering disebut cacing,adalah sebuah program yang berdiri sendiri dan tidak membutuhkan sarang untuk penyebarannya,worm hanya ngendon di memory dan mampu memodifikasi dirinya sendiri. Menjalankan executables yang berbahaya pada host Mengakses file pada host Beberapa serangan memungkinkan browser mengirimkan file ke penyerang.file dapat mengandung informasi personal seperti data perbankan,password dsb.
Cara menjaga gangguan pada web browser
Selalu mengaupdate web browser menggunakan patch terbaru Mencegah virus Menggunakan situs yang aman untuk transaksi finansial dan sensitive Menggunakan secure proxy Mengamankan lingkungan jaringan Tidak menggunakan informasi pribadi Hati-hati ketika merubah setting browser Hati-hati ketika merubah konfigurasi browser Jangan membuat konfigurasi yang mendukung scripts dan macros Jangan langsung menjalankan program yang anda dowmload dari internet Browsing ke situs-situs yang aman Mengurangi kemungkinan adanya malcode dan spyware Konfigurasi home page harus hati-hati Lebih baik gunakan blank Jangan mempercayai setiap links (periksa dulu arah tujuan link itu) Jangan selalu mengikuti link yang diberitahukan lewat e-mail Jangan browsing dari sistem yang mengandung data sensitif Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web Gunakan stronger encryption Pilih 128-bit encryption Gunakan browser yang jarang digunakan Serangan banyak dilakukan pada web browser yang popular Minimalkan penggunaan plugins Minimalkan penggunaan cookies Perhatikan cara penanganan dan lokasi penyimpanan temporary files
