WEB SERVER

Anggota : Melya R (7409030033) Aat K (7409030037) Eko Rian W (7409030040) Praditha Rizky (7409030046)

DEFINISI
Webserver merupakan layanan aplikasi www (world wide web) untuk berkomunikasi dengan clientnya (web browser) yang mempunyai protokol sendiri, yaitu HTTP (hypertext transfer protocol).Dengan protokol ini, komunikasi antar web server dengan clientnya dapat saling dimengerti dan lebih mudah dimana layanan tersebut terpusat pada server.

Responsibility of WebServer
Availability (Ketersediaan), layanan pada webserver ini harus up and run untuk memenuhi request dari client. Secure (Aman), layanan harus aman dan tidak mudah di akses oleh orang yang tidak punya otorisasi untuk mengaksesnya karena webserver merupakan jantung daripada informasi dan konten website Patching dan Upgrade, untuk mengurangi kelemahan dari pada keamanan webserver. User Management, Disiplin seorang administrator untuk memaintain webserver

Macam macam web server

Open Source Platform
Apache Savant Roxen Lamp Jigsaw Xitami Aolserver Zope

Propietary Platform
Microsoft Internet Information Services (IIS)

Konsep Keamanan Data

Static Definition
CIA2
Confidentiality (Kerahasiaan) Integrity (Keutuhan) Availability (Ketersediaan) Accountability (Pertanggungjawaban)

Dinamic Definition
APDR

Assesment (Penaksiran/Perkiraan) Protection (Perlindungan) Detection (Penemuan) Reaction (Reaksi)

Jaringan

Exploit Web Server

Secara garis besar exploit yang dipergunakan oleh cracker untuk masuk ke sebuah server dapat dibagi dalam dua bagian yaitu : Lokal Exploit Yang dimaksud dengan lokal exploit adalah exploit yang hanya dapat diexecute pada komputer itu sendiri. Remote Exploit Remote exploit adalah exploit yang dapat diexecute dari jarak jauh.

Contoh Exploit
Known vulnerabilities dan misconfiguration adalah bug(hole) yangg timbul pada operating system (OS) ataupun aplikasi pihak ketiga (third party) Hiden Fields ini terdapat pada HTML form, dimana dari field-field ini dapat di ketahui harga barang dan bahkan adanya password yang tersembunyi,

 Cross Site Scripting Salah satu contohnya adalah anda membuat suatu page yg dapat mengumpulkan informasi dari user dan dikirim ke server user atau e-mail dll. Parameter Tampering Dimana parameter tampering meliputi manipulasi dari URL sehingga dapat melihat informasi yg tidak seharusnya di publish. Cookie Poisoning adalah merubah data yg ada di dalam cookie. Buffer Overflow adalah tehnik dimana mereka mengirimkan packet data yg besar ke web site tertentu sehingga kinerja web server menjadi lambat. Direct Access Browsing Seharusnya menggunakan authentication. Hal ini juga cukup berbahaya dimana data yang sensitive akan dapat di akses semuanya. Salah satu contoh yaitu dengan menggunakan telnet, dimana akses ke informasi web secara direct

 DoS penyerang mengirimkan sebuah arus permintaan layanan pada mesin server untuk melemahkan sumber daya seperti memory atau melakukan komsumsi kapasitas processor Smurf Attack modifikasi dari serangan ping dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir thevictim mesin atau sistem dengan ratusan atau ribuan ping.

 SYN Flooding Attack Serangan ini memanfaatkan kerentanan dalam TCP / IP protokol komunikasi. Serangan ini membuat mesin korban menanggapi kembali ke sistem tidak ada. Korban dikirim paket dan diminta untuk menanggapi sebuah sistem atau mesin IPFragmentation/Overlapping Fragment Attack Memfasilitasi IP relatif sesak pengiriman melalui jaringan. dengan alamat IP yang salah. SNMP Attack dapat mengakibatkan jaringan yang dipetakan, dan lalu lintas dapat dipantau dan diarahkan.

SOLUSI
Address field pada web aplikasi tidak boleh terdapat character @, $, *, < dan &. Nama field juga harus dibatasi tidak sampai dengan 255 char karena hal ini menuju pada exploit buffer overflow. Pembuatan file htaccess pada web untuk keamanan Tetap memonitoring patch terbaru sehingga tidak ketinggalan jaman dalam menginstall Service Pack. Memindahkan lokasi default file yang berisi halaman web, untuk alasan keamanan dan fleksibilitas jangka panjang. Belilah scanning tools utk scanning web anda sendiri. Sehingga dengan cara ini anda tahu hole apa yg ada di dalam web anda sendiri, contoh : Acunetix Web Vulnerability Scanner

Saran untuk konfigurasi web server yang aman Menguji keamanan script CGI, agar bisa memverifikasi data yang diinputkan oleh user File executable harus dibiarkan berjalan hanya dalam direktori tertentu yang ditentukan Source kode tidak harus disimpan di mana saja di tempat yang dapat di download Pengindeksan direktori harus dimatikan, kecuali jika menggunakan web eksternal hosting, anda tidak bisa mematikan

 Jika tidak perlu, nonaktifkan Sistem manajemen content dan fitur lain yang memungkinkan user mengelola file di server Web Remote Mengindentifikasi titik lemah potensial dengan memanfaatkan alat-alat keamanan, seperti IIS atau URL Scan Informasi pribadi dan publik harus disimpan baik secara fisik terpisah Data rahasia tidak harus berada pada mesin yang sama dengan server web yang bisa diakses publik

 Intranet harus dilindungi firewall Sebuah server web extranet harus terletak di luar firewall Mengatur tingkat akses dan perizinan sesuai dengan perangkat lunak SO Password harus diubah secara teratur, pasword default harus diubah Setiap fitur, server atau penerjemah yang tidak digunakan harus dihapus atau dinonaktifkan.

SQL Injection
sebuah teknik untuk mengeksplorasi aplikasi web dengan memanfaatkan suplai data dari client dalam sintak SQL. Menghindari SQL Injection
Memfilter dengan tidak membolehkan karakter seperti single quote, double quote, slash, back slash, semi colon, extended character like NULL, carry return, new line, etc, dalam string form: - Masukan dari from users - Parameters di URL - Nilai dari cookie

 Untuk nilai numeric, convert dulu sebelum melewati statement SQL dengan mengunakan ISNUMERIC untuk meyakinkan itu adalah integer. Mengubah Startup and run SQL Server menggunakan low privilege user dalam SQL Server Security tab. Ubah stored procedure store procedure yang tidak terpakai, seperti: master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask

PERTANYAAN?