KEAMANAN SISTEM WORLD WIDE WEB

KEAMANAN SISTEM WORLD WIDE WEB

DOSEN PENGAMPU NUZUL IMAM FADLILAH,S.T, M.Kom

Sejarah singkat WWW

            Dikembangkan oleh tim Berners Lee ketika bekerja di CERN (Swiss). Untuk membaca atau melihat sistem WWW digunakan tools yang dikenal dengan istilah browser.

            Sejarah browser dimulai dari NeXT. Selain NeXT, saat itu ada browser yang berbentuk text seperti” line mode” browser. Kemudian afa Mosaic yang multi-platflorm (Unix/Xwindow,Mac, Windows) dikembangkan oleh Marc Andreesen dkk ketika sedang magang di NCSA.

Arsitektur WWW

  Arsitektur sistem WWW

 Server (apache, IIS)

 Client (IE, Netscape, Mozilla, opera, kfm, arena, amaya, lynx)

 Terhubung melalui jaringan

 Program dapat dijalankan di server (CGI, [java] servlet) atau di sisi client (javascript, java applet)

Kegunaan Web

            Dapat menyajikan data-data dalam bentuk statis

            Menyediakan informasi dalam bentuk file

 Eksploitasi pada server WWW

aTampilan web diubah (deface)

•         dengan eksploitasi skrip / previledge / OS di server

•         Situs yang dideface dikoleksi di http://www.alldas.org

b Informasi bocor

•         (misal laporan keuangan semestinya hanya dapat diakses oleh orang/ bagian tertentu)

c Penyadapan informasi

•         URLwatch: melihat siapa mengakses apa saja. Masalah privacy

•         SSL memproteksi, namun tidak semua menggunakan SSL karena komputasi yang tinggi

)  DoS attack

•         Request dalam jumlah yang banyak (bertubi-tubi)

•         Request yang memblokir (lambat mengirimkan perintah GET)

e Digunakan untuk menipu firewall (tunelling ke luar jaringan)

f  Port 80 digunakan untuk identifikasi server (karena biasanya dibuka di router/firewall)

•         telnet ke port 80 (dibahas di bagian lain)

                          Cara Mengatasi Eksploitasi pada Server WWW

a                a)Membatasi Akses (Access Control)

–        Hanya IP tertentu yang dapat mengakses server (konfigurasi web server atau firewall)

–        Via userid & password (htaccess)

–        Menggunakan enkripsi untuk menyandikan data-data

b) htaccess di Apache

–        Isi berkas “.htaccess”

AuthUserFile /home/budi/.passme

AuthGroupFile /dev/null

AuthName “Khusus untuk Tamu Budi”

AuthType Basic

<Limit GET>

                        require user tamu

</Limit>

–        Membatasi akses ke user “tamu” dan password

–        Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di “.passme”

c) Secure Socket Layer (SSL)

•         Menggunakan enkripsi untuk mengamankan transmisi data

•         Mulanya dikembangkan oleh Netscape

•         Implementasi gratis pun tersedia

–        openSSL

d) Keamanan CGI

•         CGI digunakan sebagai interface dengan sistem informasi lainnya (gopher, WAIS)

•         Diimplementasikan dengan berbagai bahasa (perl, C, C++, python, dll.)

•         Skrip CGI dijalankan di server sehingga membuka potensi lubang keamanan