1 / 29

Keamanan Aplikasi Web Husni husni@if.trunojoyo.ac.id husni.trunojoyo.ac.id komputasi.wordpress

Keamanan Aplikasi Web Husni husni@if.trunojoyo.ac.id husni.trunojoyo.ac.id komputasi.wordpress.com. Web Engineering 2010 Pertemuan ke-13. Keamanan Aplikasi Web?. Bukan keamanan jaringan Mengamankan: “ Custom Code ” yang menggerakkan suatu aplikai web Pustaka (library) Sisterm Back-end

newman
Download Presentation

Keamanan Aplikasi Web Husni husni@if.trunojoyo.ac.id husni.trunojoyo.ac.id komputasi.wordpress

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Keamanan Aplikasi WebHusnihusni@if.trunojoyo.ac.idhusni.trunojoyo.ac.idkomputasi.wordpress.com Web Engineering 2010 Pertemuan ke-13

  2. Keamanan Aplikasi Web? • Bukan keamanan jaringan • Mengamankan: • “Custom Code” yang menggerakkan suatu aplikai web • Pustaka (library) • Sisterm Back-end • Server aplikasi dan Web

  3. Ilustrasi Masalah • Application Layer • Penyerang mengirimkan serangan dalam request HTTP valid • Kode aplikasi diakali untuk melakukan yang tidak boleh dilakukan • Keamanan mensyaratkan kepakaran pengembangan software, bukan tanda-tangan. • Network Layer • Firewall, hardening, patching, IDS & SSL tidak dapat mendeteksi atau menghentikan serangan dalam request HTTP. • Keamanan bersandar pada database tanda-tangan

  4. Server Web yang Paling Biasa Terinfeksi (Januari – Juni 2008)

  5. Kebutuhan Mengamankan Aplikasi/Situs Web • Situs-situs dirusak, sebagaimana banyak dilaporkan di Internet • Alasan perusakan • Kerentanan (vulnerability) dari aplikasi • Site owner authored (accidental/intentional) • Kesalahan konfigurasi server Web

  6. Keamanan Corporate Internet Server (Data) Firewall !!!!!!!!!!!! Wild Wild West Workstations (Green Segment)

  7. Keamanan Layer Network & Transport • Mengamankan secara tradisional tidak cukup • Kendali Jaringan – lalu lintas yang salah • Lebih 70% menyerang level aplikasi

  8. Aplikasi Web • Secara umum tersusuan dari himpunan script yang berada pada suatu web server dan berinteraksi dengan database dan sumber content dinamis lain. • Biasanya berjalan pada port80/8080 Serangan Tak-Terdeteksi • Data sebagai bagian dari trafik sah pada port 80/8080, sehingga tak terdeteksi. • Perangkat jaringan & Firewall konvensional tidak dapat membedakankan data “buruk” dari data yang benar(asli)

  9. Keamanan Aplikasi Web • Merujuk ke kombinasi orang, proses dan teknologi • Kenali, ukuran dan kelola resiko-resiko • Diperkenalkan oleh Open source dan aplikasi web “custom”

  10. Resiko dalam Aplikasi • Pengguna jahat dapat login tanpa account sah • Pengguna tak berhak menampilkan, menambah, mengupdate dan menghapus data • Pengguna sah dapat menambah/mengupdate data sebagai pengguna lain • Pengguna jahat dapat meng-uploadmalicious content. • Pengguna jahat dapat mencuri hak penggunavalid.

  11. Orang, Proses & Teknologi

  12. Standar Keamanan Aplikasi Web • OWASP(Open Web Application Security Project) • WASC( Web Application Security Consortium)

  13. OWASP • OWASP adalah proyek yang didedikasikan untuk berbagi (share) pengetahuan dan mengembangkan software open source yang mengedepankan pemahaman tentang keamanan aplikasi web. • Informasi lebih lanjut: http://www.owasp.org • OWASP Top 10

  14. WASC • Sebuah grup pakar, praktisi dan perwakilan organisasi internasionalyang membuat open sourcedan secara luas telah disetujui sebagai standar keamanan praktis terbaik bagi world wide web. • http://www.webappsec.org • Database peristiwa web hacking • Klasifikasi ancaman keamanan web

  15. Proyek OWASP-Top Ten • Menyediakan standar minimum bagi keamanan aplikasi web. • OWASP top ten menggambarkan suatu konsensus luas mengenai apa kelemahan aplikasi web yang paling kritis. • Pengadopsi • US Federal Trade commission, US DOD, VISA • Perusahaan: Sprint, IBM dll...

  16. OWASP: Kelemahan Aplikasi Web Paling Kritis • A1 - Unvalidated Input (Input Tak-Divalidasi) Informasi dari request web tidak divalidasi sebelum digunakan oleh suatu aplikasi web. Penyerang dapat memanfaatkan kekurangan ini untuk menyerang komponen backend melalui aplikasi web.

  17. OWASP: Kelemahan Aplikasi Web Paling Kritis • A2 - Broken Access Control (Kendali Akses Rusak) Pembatasan pada apa pengguna terotentikasi boleh lakukan tidak dengan tepat diterapkan. Penyerang dapat memanfaatkan kerusakan ini untuk mengakses account pengguna lain, nemapilkan file-file sensitif, atau menggunakan fungsi-fungsi yang bukan haknya.

  18. OWASP: Kelemahan Aplikasi Web Paling Kritis • A3 - Broken Authentication & Session Management (Otentikasi dan Manajemen Sesi Rusak) Account pengguna dan session token-nyatidak dilindungi dengan benar. Penyerang yang dapat mengakses password, key (kunci), session cookie atau token lain dapat menghancurkan pembatasan otentikasi dan mengambil itentitas pengguna lain.

  19. OWASP: Kelemahan Aplikasi Web Paling Kritis • A4 – Cacat Cross Site Scripting (XSS) Aplikasi web dapat digunakan sebagai suatu mekanisme untuk mengantarkan serangan ke web browser end-user. Serangan yang berhasil dapat menyingkap session token dari end-user, menyerang mesin lokal atau men-spoofcontent untuk mempermainkan penguna.

  20. OWASP: Kelemahan Aplikasi Web Paling Kritis • A5 - Buffer Overflow (Meluapnya buffer) Komponen aplikasi web dalam beberapa bahasa yang tidak dengan tepat men-validasi input dapat dibuat crash, dan pada beberapa kasus, digunakan utuk mengambil kendali dari proses. Komponen-komponen ini dapat termasuk CGI, pustaka, driver dan komponen server aplikasi Web.

  21. OWASP: Kelemahan Aplikasi Web Paling Kritis • A6 - Injection Flaws (Cacat Injeksi) Aplikasi web melewatkan beberapa parameter saat mengakses sistem eksternal atau sistem operasi lokal. Jika penyerang dapat melekatkan perintah-perintah “jahat” (malicious) dalam paramemeter ini, sistem eksternal mungkin mengeksekusi perintah tersebut “atas nama” aplikasi web.

  22. OWASP: Kelemahan Aplikasi Web Paling Kritis • A7 - Improper Error Handling (penanganan error tak tepat) Kondisi erroryang terjadi selama operasi normal tidak ditangani dengan benar. Jika penyerang dapat menyebabkan terjadinya error yang tak ditangani oleh aplikasi web, penyerang dapat memperoleh informasi detail mengenai sistem, meniadakan layanan, mengakibatkan gagalnya mekanisme keamanan atau server crash(macet).

  23. OWASP: Kelemahan Aplikasi Web Paling Kritis • A8 - Insecure Storage (media simpan tak-aman) Aplikasi web sering menggunakan fungsi kriptografi untuk melindungi informasi dan akun. Fungsi-fungsi ini dan kode untuk mengintegrasikan-nya terbukti sulit dituliskan dengan tepat, sering mengakibatkan proteksi yang lemah.

  24. OWASP: Kelemahan Aplikasi Web Paling Kritis • A9 - Denial of Service (Penolakan Layanan) Penyerang dapat menghabiskan sumber daya aplikasi web untuk suatu titik dimana pengguna sah lain tidak dapat lebih lama mengakses atau menggunakan aplikasi. Penyerang dapat pula mengunci pengguna lain atau bahkan menyebabkan aplikasi lengkap gagal.

  25. OWASP: Kelemahan Aplikasi Web Paling Kritis • A10 - Insecure Configuration Management (Manajemen Konfigurasi Tak-Aman) Memiliki standar konfigurasi server yang tangguh adalah kritis untuk mengamankan aplikasi web Server-server ini mempunyai banyak pilihan konfigurasi yang mempengaruhi keamanan dan tidak mengamankan di luarnya.

  26. Peranan Pengembang dalam Keamanan Aplikasi • Pengembang harus : • Bekerja dengan arsitek solusi dan administrator sistem untuk memastikan keamanan aplikasi • Berkontribusi untuk keamanan dengan: • Mengadopsi praktik pengembangan keamanan aplikasi yang baik • Mengetahui dimana kerentanan keamanan terjadi dan bagaimana menghindarinya • Menggunakan teknik pemrograman yang aman.

  27. Pendekatan Keamanan Holistik • Keamanan harus dipertimbangkan pada: Semua tahapan suatu proyek • Perancangan • Pengembangan • Penyebaran (deployment) Semua layer • Network • Host • Application • “Security is only as good as the weakest link”

  28. Referensi: Internet • http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • http://confluence.ltc.arizona.edu/confluence/display/WEBPRACTICES/Web+Application+Best+Practices • http://www.webappsec.org/ • http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=84B3AA98‐A1E5‐4A74‐A56B‐7ADDBDED79CC&displaylang=en • http://security.arizona.edu/appdev

  29. Pertanyaan?

More Related