Keamanan web sistem
Download
1 / 19

Keamanan Web Sistem - PowerPoint PPT Presentation


  • 145 Views
  • Uploaded on

Keamanan Web Sistem. Kelompok : Benedicktus Fobia , Saptadi Handoko , Heri Permadi , Andrean T. Sinaga. Web Server. Adalah suatu daemon yang berfungsi menerima request melalui protocol http baik dari local maupun dari internet

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Keamanan Web Sistem' - oscar-cantu


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Keamanan web sistem

Keamanan Web Sistem

Kelompok : BenedicktusFobia, SaptadiHandoko, HeriPermadi, Andrean T. Sinaga


Web server
Web Server

Adalahsuatu daemon yang berfungsimenerima request melalui protocol http baikdari local maupundariinternet

Informasiyang direquestoleh web browser bisaberupafile yang adadalam storage ataumeminta server untukmelakukanfungsitertentu


Macam web server
Macam Web Server

IIS (web server untuk html & asp ) bisajalan di OS Windows

APACHE webserver (web server untuk html,php,asp,jsp, dsb).Bisajalan di OS Windows danLINUX.


Eksploitasi server www
Eksploitasiserver WWW

Tampilan web diubah (deface)dengan eksploitasi skrip / previledge / OS di server

Situs yang dideface Informasibocor(misallaporankeuangansemestinyahanyadapatdiaksesolehorang/ bagiantertentu)

Digunakanuntukmenipu firewall (tunellingkeluararingan)

Port 80 digunakanuntukidentifikasi server (karenabiasanyadibuka di router/firewall)


Eksploitasi server www1
Eksploitasi server WWW

Penyadapaninformasi

URLwatch: melihatsiapamengaksesapasaja. Masalahprivacy SSL memproteksi, namuntidaksemuamenggunakanSSL karenakomputasi yang tinggi

DoSattack

Request dalamjumlah yang banyak (bertubi-tubi)

Request yang memblokir (lambatmengirimkanperintah GET)

Malicious Input Attack

Bad input kepriviledge program : Code corruption attack – Buffer overflow, SQL Injection, Cross Site Scripting



Membatasi akses
MembatasiAkses

Access Control

Hanya IP tertentu yang dapatmengakses server

(konfigurasi web server ataufirewall) Via userid & password (htaccess)

Menggunakanenkripsiuntukmenyandikan data-data

Shibu lijack


Htaccess di apache
htaccess di Apache

Isi berkas “.htaccess”AuthUserFile/home/budi/.passmeAuthGroupFile/dev/null AuthName “

KhususuntukTamu Budi”

AuthType Basic

<Limit GET>

require user tamu

</Limit>

Membatasiakseske user “tamu” danpassword Menggunakanperintah “htpasswd“ untukmembuat password yang disimpandi “.passme”

Shibu lijack


Secure socket layer ssl
Secure Socket Layer (SSL)

Menggunakanenkripsiuntukmengamankantransmisidata

Mulanyadikembangkanoleh Netscape

Implementasigratis pun tersediaopenSSL

Shibu lijack


Apache web server dengan https
APACHE Web Server dengan HTTPS

HTTPS adalahvariandari protocol HTTP dimanauser mengaksesdengan https://

Data yang dikirimke server adalah data yang terenkripsi.

Enkripsi yang digunakanadalahenkripsi SSL (Secure socket Layer).

Menggunakan TCP port 443.

Shibu lijack



Ilustrasi koneksi http vs https
Ilustrasi Koneksi HTTP vs HTTPS

Shibu lijack


Tampilan http biasa
Tampilan HTTP biasa

Shibu lijack


Tampilan https
TampilanHTTPS

Shibu lijack


Ilustrasi cara kerja ssl
Ilustrasi Cara Kerja SSL


Penjelasan blok diagram
Penjelasan Blok Diagram

1. Klienmembukasuatuhalamanyang mendukungprotokol SSL, biasanyadiawalidenganhttps:// padabrowsernya.

2. Kemudian webserver mengirimkankuncipubliknyabesertadengansertifikat server.

3. Browser melakukanpemeriksaan : apakahsertifikattersebutdikeluarkanolehCA(Certificate Authority) yang terpercaya?

Apakahsertifikattersebutmasih valid danmemangberhubungandenganalamatsitus yang sedangdikunjungi?

Shibu lijack


4. Setelahdiyakinikebenarandariwebserver tersebut, kemudianbrowser menggunakankuncipublic dariwebserver untukmelakukanenkripsiterhadapsuatukuncisimetriyang dibangkitkansecara random daripihakklien. Kunci yang dienkripsiinikemudiandikirimkanke webserver untukdigunakansebagaikunciuntukmengenkripsialamat URL (Uniform Resource Locator) dan data http lain yang diperlukan.

Shibu lijack


5. Webserver melakukandekripsiterhadapenkripsidariklientadi, menggunakankunciprivat server. Server kemudianmenggunakankuncisimetridariklientersebutuntukmendekripsiURL dan data http yang akandiperlukanklien.

6. Server mengirimkankembalihalamandokumen HTML yang dimintakliendandata http yang terenkripsidengankuncisimetritadi.

7. Browser melakukandekripsi data http dandokumen HTML menggunakankuncisimteri tadi dan menampilkan informasi yang diminta.

Shibu lijack


Sekian

dan

TerimaKasih

Shibu lijack


ad