Dokumen tersebut merupakan materi kuliah tentang peladen web dan serangan terhadapnya. Materi tersebut membahas mengenai potensi peladen web untuk diretas, jenis kerentanan peladen web, contoh serangan terhadap peladen web, pengelolaan tambalan pada peladen web, dan metode pertahanan peladen web.
1. Peretasan
Peladen Web
Ethical Hacking and Countermeasures (PAI 083213)
Program Studi Teknik Informatika, Unsoed
Iwan Setiawan <stwn at unsoed.ac.id>
Tahun Ajaran 2011/2012
2. Peladen dan aplikasi web sangat potensial.
(untuk diretas dan dikuasai)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
4. Layanan web pasti terbuka untuk umum.
(setiap organisasi memiliki web untuk diakses khalayak)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
5. Pintu atau jendela terbuka ;-)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
6. Peladen dan aplikasi web.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
16. Tipe-Tipe Kerentanan Peladen Web
●
Kerentanan pada pemasangan SO/perangkat lunak default.
●
●
Konfigurasi SO dan program peladen web setelah pemasangan perlu diubah dan
dimutakhirkan.
Konfigurasi perangkat lunak peladen web yang keliru.
●
Contoh: IIS mengijinkan semua orang/publik mempunyai kendali terhadap direktori
web default.
–
–
Perlu mematikan konfigurasi default.
–
●
Berhubungan dengan ijin akses.
Periksa dan mutakhirkan konfigurasi secara berkala.
Kelemahan/bug pada SO atau/dan aplikasi.
●
●
●
Perlu ditambal dan dimutakhirkan secara berkala.
Menggunakan program penjadwal seperti cron atau aplikasi pengelola dan
pemutakhiran paket bawaan SO.
Isu Free Software/Open Source?
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
17. Given enough eyeballs,
all bugs are shallow.
– Linus Torvalds
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
18. Demilitarized Zone, DMZ.
(bagian infrastruktur yang “netral” dan dapat diakses
publik, umumnya berada di antara dua/lebih dingap)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
21. Teknik untuk menyembunyikan
sumber daya/isi situs web.
(dapat berdasarkan alamat IP klien)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
22. Periksa URL, bila perlu halaman webnya.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
30. Metode Pertahanan Peladen Web
●
Mengubah nama pengguna/administrator dan menggunakan kata sandi yang kuat.
●
Mematikan layanan web/ FTP default .
●
Mematikan akses jarak jauh.
●
Menghapus program/paket yang tidak diperlukan.
●
Sesuaikan dengan tujuan sistem.
●
Mematikan “perambanan direktori” pada konfigurasi peladen web.
●
Memutakhirkan tambalan dan perbaikan pada sistem.
●
Melakukan validasi pada masukan borang di aplikasi web dan memeriksa potensipotensi
serangan dari permintaan web yang dikirimkan oleh klien.
●
Mengaktifkan audit dan pencatatan kejadiankejadian yang terjadi di dalam sistem.
●
Mengoptimalkan dingap dan memasang IDS. Periksa kinerja akses webnya.
●
Gunakan metode POST untuk menggantikan GET ketika mengirim data ke peladen web.
●
Menambahkan pemberitahuan legal tentang implikasi serangan pada sistem ;)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed