14708 ki 10 menganalisa www
MENGANALISA WEBSITE
KEAMANAN SISTEM
ERWIEN TJIPTA WIJAYA, ST., M.KOM
CARA KERJA WEB SISTEM
Web adalah sekumpulan halaman yang lebih dari satu
dan dihubungkan melalui Pranala/Link dan memiliki
komponen-komponen berupa gambar, teks, animasi,
aplikasi, warna, dan lain – lain.
Halaman-halaman dari website akan bisa diakses
melalui sebuah URL yang biasa disebut Homepage. URL
ini mengatur halaman-halaman situs untuk menjadi
sebuah hlaman yg mudah di cari, meskipun, hyperlinkhyperlink yang ada di halaman tersebut mengatur para
pembaca dan memberitahu mereka sususan keseluruhan
dan
bagaimana
arus
informasi
ini
berjalan.
CARA KERJA WEB SISTEM
CARA KERJA WEB SISTEM
Ada 4 komponen dalam proses kerja web
1.
User
2.
Client server (browser)
3.
TCP/IP
4.
server
CARA KERJA WEB
User : Pengguna / user adalah orang yang melakukan
permintaan / request sebuah alamat situs.
Client server (Browser) : client server merupakan sebuah
aplikasi yang berfungsi sebagai sebuah mesin pencari
(browser) dimana sebuah situs atau informasi berada.
TCP / IP : IP adalah kode atau sebuah alamat yang dapat
membantu agar sebuah permintaan akan mendapatkan
jawaban yang sesuai.
Server : tempat penyimpanan data dan disini data diolah
dan dikirim kembali sesuai permintaan / request.
MACAM – MACAM WEBSITE
Website dinamis : website yang konten/isinyanya
selalu berubah – rubah/uptodate.contohnya adalah,
Web berita (liputan 6, dll), Web perdagangan, Web
blog, Situs social networking (faceboook, twitter),
dan lain – lain
Website statis adalah website yang konten atau
isinya tidak dapat di ubah-ubah, web jenis ini dibuat
menggunakan teknologi HTML yang isinya tidak
dapat dirubah kecuali dengan cara merubah
langsung isinya dari file aslinya (*.html)
SEJARAH WEBSITE
Penemu website adalah Sir Timothy John “ Tim ”
Berners - Lee, sedangkan website yang tersambung
dengan jaringan, pertama kali muncul pada tahun 1991.
Maksud dari Tim membuat website adalah untuk
mempermudah tukar menukar dan memperbarui informasi
kepada sesama peneliti di tempatnya bekerja. Pada tanggal
30 April 1993, CERN ( tempat dimana Tim bekerja )
menginformasikan bahwa WWW dapat digunakan secara
gratis oleh semua orang. Sebuah website dapat berisi
hyperlink ( pranala ) yang menghubungkan ke website
lain.
KEUNTUNGAN WEB DINAMIS
KEUNTUNGAN
Tampilan menarik
Kontent dan layout dapat berubah – ubah
Menggunakan dynamic HTML (DHTML)
Menggunakan pemrograman server untuk mengatur perubahan data
Dapat menggunakan CMS untuk mengubah konten website
Kontent halaman dan layout halaman dibuat terpisah, sehingga loading halaman
lebih cepat.
KEUNTUNGAN DAN KELEMAHAN WEB
STATIS
KEUNTUNGAN
KELEMAHAN
Tidak perlu keahlian pemrograman
untuk membuat halaman statis
Tampilannya kurang menarik
Dapat dilihat langsung oleh web
browser tanpa membutuhkan aplikasi
server
Kontennya statis, tidak berubah-ubah
Lebih mudah untuk website
development menggunakan bahasa
pemograman HTML
Terbatas dalam interaksi dengan klien
Tidak menggunakan database
SISTEM WWW
Arsitektur sistem WWW
Server (apache, internet information services)
Client (IE, Netscape, Mozilla, Opera, KFM, lynx dll)
Terhubung melalui jaringan
Program
dapat dijalankan diserver (CGI, java
servlet) atau di sisi client (javascript, java applet)
CGI mirip sebuah program komputer yang menjadi
perantara antara standar HTML yang menjadikan
tampilan web dengan program lain, seperti basis
data TI6B, SI4C, SI4A
ASUMSI (USER)
Server dimiliki dan dikendalikan oleh organisasi
yang mengaku memiliki server tersebut.
Dokumen yang ditampilkan bebas dari virus atau
itikad jahat lainnya.
Server tidak mencatat atau mendistribusikan
informasi tentang user (misalnya kebiasaan
browsing)
ASUMSI (WEBMASTER)
Pengguna tidak beritikad untuk merusak web server
atau mengubah isinya
Pengguna hanya mengakses dokumen – dokumen
yang diperkenankan diakses (dimana dia memiliki
ijin)
Identitas pengguna benar
ASUMSI KEDUA PIHAK
Network dan komputer bebas dari penyadapan pihak
ketiga
Informasi yang disampaikan dari server ke pengguna
(dan sebaliknya) terjamin keutuhannya dan tidak
dimodifikasi oleh pihak ketiga
KEAMANAN SERVER WWW
Server WWW (http) menyediakan informasi (statis
dan dinamis)
Halaman statis diperoleh dengan perintah GET
Halaman dinamis diperoleh dengan
CGI (Common Gateway Interface)
SSI (Server Side Include)
ASP (Active Server Page), PHP
Servlet (Seperti Java Servlet, ASP)
EXPLOITASI SERVER WWW
Tampilan Web diubah (deface)
Dengan exploitasi skrip / previllege / OS server
Situs yang dideface dikoleksi di http://www.alldas.org (dulu)
Informasi bocor
Misal laporan keuangan semestinya hanya dapat diakses oleh
orang / bagian tertentu
EXPLOITASI SERVER WWW
Penyadapan informasi
URL watch: melihat siapa yang mengakses apa saja, masalah
privacy
SSL memproteksi, namun tidak semua menggunakan SSL
karena komputasi yang tinggi.
DoS Attack
Request dalam jumlah yang banyak (bertubi - tubi)
Request yang memblokir (lambat mengirimkan perintah GET)
EXPLOITASI SERVER WWW
Digunakan untuk menipu firewall (tunelling ke luar
jaringan )
Port 80 digunakan untuk mengidentifikasi server
(karena biasanya dibuka di router / firewall)
CARA MENGAMANKAN
WWW
MEMBATASI AKSES
Access Control
Hanya IP tertentu yang dapat mengakses server (konfigurasi
web server atau firewall)
Via user id & password (htaccess)
Menggunakan enkripsi untuk menyandikan data - data
HTACCESS DI APACHE
Isi berkas “.htaccess”
AuthUserFile /home/budi/.passme
AuthGroupFile /dev/null
AuthName Khusus untuk Tamu Budi
AuthType Basic
require user tamu
Membatasi akses ke user “tamu” dan password
Menggunakan
perintah “htpasswd”
password yang disimpan di “.passme”
untuk
membuat
SECURE SOCKET LAYER (SSL)
Menggunakan
enkripsi
untuk
mengamankan
transmisi data
Pertama kali dikembangkan oleh Netscape
Implementasi gratis yang tersedia
openSSL
CARI INFO SERVER
Informasi tentang server digunakan sebagai bagian
dari casing (lapisan) the joint
Dapat dilakukan dengan :
Memberikan perintah HTTP langsung via telnet
Menggunakan program NC, Ogre dan lain - lain
KEAMANAN CGI
CGI digunakan sebagai interface dengan sistem
informasi lainnya (Gopher, WAIS)
Di implementasikan dengan bahasa (perl, C, C++,
python, dll)
Skrip CGI dijalankan di server sehingga membuka
potensi lubang keamanan
LUBANG KEAMANAN CGI
Beberapa contoh :
CGI dipasang oleh orang yang tidak berhak
CGI dijalankan berulang – ulang untuk menghabiskan
resources (CPU, DISK) : DoS
Masalah setuid dan setID (akses root) CGI di sistem UNIX,
dimana CGI dijalankan oleh userid web server
ASP di sistem Windows
GuestBook abuse (salah pakai) dengan informasi sampah
Akses ke database via SQL
KEAMANAN CLIENT WWW
Berhubung dengan masalah privacy
Cookies untuk tracking kemana saja akses browsing
Pengiriman informasi pribadi
Attack (via active script, javascript, java)
Pengiriman data – data komputer (program apa yang
terpasang, dll)
DoS Attack (buka panel window banyak)
Penyusupan virus dan trojan horse SI4C, SI4A, TI6B
KEAMANAN SISTEM
ERWIEN TJIPTA WIJAYA, ST., M.KOM
CARA KERJA WEB SISTEM
Web adalah sekumpulan halaman yang lebih dari satu
dan dihubungkan melalui Pranala/Link dan memiliki
komponen-komponen berupa gambar, teks, animasi,
aplikasi, warna, dan lain – lain.
Halaman-halaman dari website akan bisa diakses
melalui sebuah URL yang biasa disebut Homepage. URL
ini mengatur halaman-halaman situs untuk menjadi
sebuah hlaman yg mudah di cari, meskipun, hyperlinkhyperlink yang ada di halaman tersebut mengatur para
pembaca dan memberitahu mereka sususan keseluruhan
dan
bagaimana
arus
informasi
ini
berjalan.
CARA KERJA WEB SISTEM
CARA KERJA WEB SISTEM
Ada 4 komponen dalam proses kerja web
1.
User
2.
Client server (browser)
3.
TCP/IP
4.
server
CARA KERJA WEB
User : Pengguna / user adalah orang yang melakukan
permintaan / request sebuah alamat situs.
Client server (Browser) : client server merupakan sebuah
aplikasi yang berfungsi sebagai sebuah mesin pencari
(browser) dimana sebuah situs atau informasi berada.
TCP / IP : IP adalah kode atau sebuah alamat yang dapat
membantu agar sebuah permintaan akan mendapatkan
jawaban yang sesuai.
Server : tempat penyimpanan data dan disini data diolah
dan dikirim kembali sesuai permintaan / request.
MACAM – MACAM WEBSITE
Website dinamis : website yang konten/isinyanya
selalu berubah – rubah/uptodate.contohnya adalah,
Web berita (liputan 6, dll), Web perdagangan, Web
blog, Situs social networking (faceboook, twitter),
dan lain – lain
Website statis adalah website yang konten atau
isinya tidak dapat di ubah-ubah, web jenis ini dibuat
menggunakan teknologi HTML yang isinya tidak
dapat dirubah kecuali dengan cara merubah
langsung isinya dari file aslinya (*.html)
SEJARAH WEBSITE
Penemu website adalah Sir Timothy John “ Tim ”
Berners - Lee, sedangkan website yang tersambung
dengan jaringan, pertama kali muncul pada tahun 1991.
Maksud dari Tim membuat website adalah untuk
mempermudah tukar menukar dan memperbarui informasi
kepada sesama peneliti di tempatnya bekerja. Pada tanggal
30 April 1993, CERN ( tempat dimana Tim bekerja )
menginformasikan bahwa WWW dapat digunakan secara
gratis oleh semua orang. Sebuah website dapat berisi
hyperlink ( pranala ) yang menghubungkan ke website
lain.
KEUNTUNGAN WEB DINAMIS
KEUNTUNGAN
Tampilan menarik
Kontent dan layout dapat berubah – ubah
Menggunakan dynamic HTML (DHTML)
Menggunakan pemrograman server untuk mengatur perubahan data
Dapat menggunakan CMS untuk mengubah konten website
Kontent halaman dan layout halaman dibuat terpisah, sehingga loading halaman
lebih cepat.
KEUNTUNGAN DAN KELEMAHAN WEB
STATIS
KEUNTUNGAN
KELEMAHAN
Tidak perlu keahlian pemrograman
untuk membuat halaman statis
Tampilannya kurang menarik
Dapat dilihat langsung oleh web
browser tanpa membutuhkan aplikasi
server
Kontennya statis, tidak berubah-ubah
Lebih mudah untuk website
development menggunakan bahasa
pemograman HTML
Terbatas dalam interaksi dengan klien
Tidak menggunakan database
SISTEM WWW
Arsitektur sistem WWW
Server (apache, internet information services)
Client (IE, Netscape, Mozilla, Opera, KFM, lynx dll)
Terhubung melalui jaringan
Program
dapat dijalankan diserver (CGI, java
servlet) atau di sisi client (javascript, java applet)
CGI mirip sebuah program komputer yang menjadi
perantara antara standar HTML yang menjadikan
tampilan web dengan program lain, seperti basis
data TI6B, SI4C, SI4A
ASUMSI (USER)
Server dimiliki dan dikendalikan oleh organisasi
yang mengaku memiliki server tersebut.
Dokumen yang ditampilkan bebas dari virus atau
itikad jahat lainnya.
Server tidak mencatat atau mendistribusikan
informasi tentang user (misalnya kebiasaan
browsing)
ASUMSI (WEBMASTER)
Pengguna tidak beritikad untuk merusak web server
atau mengubah isinya
Pengguna hanya mengakses dokumen – dokumen
yang diperkenankan diakses (dimana dia memiliki
ijin)
Identitas pengguna benar
ASUMSI KEDUA PIHAK
Network dan komputer bebas dari penyadapan pihak
ketiga
Informasi yang disampaikan dari server ke pengguna
(dan sebaliknya) terjamin keutuhannya dan tidak
dimodifikasi oleh pihak ketiga
KEAMANAN SERVER WWW
Server WWW (http) menyediakan informasi (statis
dan dinamis)
Halaman statis diperoleh dengan perintah GET
Halaman dinamis diperoleh dengan
CGI (Common Gateway Interface)
SSI (Server Side Include)
ASP (Active Server Page), PHP
Servlet (Seperti Java Servlet, ASP)
EXPLOITASI SERVER WWW
Tampilan Web diubah (deface)
Dengan exploitasi skrip / previllege / OS server
Situs yang dideface dikoleksi di http://www.alldas.org (dulu)
Informasi bocor
Misal laporan keuangan semestinya hanya dapat diakses oleh
orang / bagian tertentu
EXPLOITASI SERVER WWW
Penyadapan informasi
URL watch: melihat siapa yang mengakses apa saja, masalah
privacy
SSL memproteksi, namun tidak semua menggunakan SSL
karena komputasi yang tinggi.
DoS Attack
Request dalam jumlah yang banyak (bertubi - tubi)
Request yang memblokir (lambat mengirimkan perintah GET)
EXPLOITASI SERVER WWW
Digunakan untuk menipu firewall (tunelling ke luar
jaringan )
Port 80 digunakan untuk mengidentifikasi server
(karena biasanya dibuka di router / firewall)
CARA MENGAMANKAN
WWW
MEMBATASI AKSES
Access Control
Hanya IP tertentu yang dapat mengakses server (konfigurasi
web server atau firewall)
Via user id & password (htaccess)
Menggunakan enkripsi untuk menyandikan data - data
HTACCESS DI APACHE
Isi berkas “.htaccess”
AuthUserFile /home/budi/.passme
AuthGroupFile /dev/null
AuthName Khusus untuk Tamu Budi
AuthType Basic
require user tamu
Membatasi akses ke user “tamu” dan password
Menggunakan
perintah “htpasswd”
password yang disimpan di “.passme”
untuk
membuat
SECURE SOCKET LAYER (SSL)
Menggunakan
enkripsi
untuk
mengamankan
transmisi data
Pertama kali dikembangkan oleh Netscape
Implementasi gratis yang tersedia
openSSL
CARI INFO SERVER
Informasi tentang server digunakan sebagai bagian
dari casing (lapisan) the joint
Dapat dilakukan dengan :
Memberikan perintah HTTP langsung via telnet
Menggunakan program NC, Ogre dan lain - lain
KEAMANAN CGI
CGI digunakan sebagai interface dengan sistem
informasi lainnya (Gopher, WAIS)
Di implementasikan dengan bahasa (perl, C, C++,
python, dll)
Skrip CGI dijalankan di server sehingga membuka
potensi lubang keamanan
LUBANG KEAMANAN CGI
Beberapa contoh :
CGI dipasang oleh orang yang tidak berhak
CGI dijalankan berulang – ulang untuk menghabiskan
resources (CPU, DISK) : DoS
Masalah setuid dan setID (akses root) CGI di sistem UNIX,
dimana CGI dijalankan oleh userid web server
ASP di sistem Windows
GuestBook abuse (salah pakai) dengan informasi sampah
Akses ke database via SQL
KEAMANAN CLIENT WWW
Berhubung dengan masalah privacy
Cookies untuk tracking kemana saja akses browsing
Pengiriman informasi pribadi
Attack (via active script, javascript, java)
Pengiriman data – data komputer (program apa yang
terpasang, dll)
DoS Attack (buka panel window banyak)
Penyusupan virus dan trojan horse SI4C, SI4A, TI6B