Disusun Oleh :
Agus Setiawan (17120116)
Arif Cahya A.S (17120109)
Imam Jati (17120002)
Naufal Faris( 17120125)
Salman Topiq (17120079)
Kata Pengantar
Puji dan syukur kami panjatkan kehadirat Tuhan Yang Maha Kuasa, khalik
langit dan bumi. Karena dengan penyertaannya kami dapat menyelesaikan
makalah ini. Shalawat serta salam tercurahkan pada junjungan Nabi Muhammad
SAW.
Makalah ini disusun untuk memenuhi tugas matakuliah Keamanan
Jaringan Komputer, Universitas Bina Sarana Informatika Bandung semester VI.
Terima kasih kami sampaikan kepada Bapak Ricky Firmasyah selaku
dosen matakuliah Keamanan Jaringan Komputer atas bimbingannya, juga kepada
teman-teman yang memberikan kritik dan saran mengenai makalah ini.
Dalam makalah ini mungkin terdapat banyak kekurangan yang tidak
sengaja penulis melakukannya. Oleh karena itu, penulis maklum dan meminta
saran dan kritiknya untuk hasil yang lebih baik lagi.
Akhir kata semoga makalah ini dapat bermanfaat bagi kita semua, Amin.
Daftar Isi
1 | Page
Kata Pengantar.......................................................................................................1
Daftar Isi................................................................................................................2
BAB I Pendahuluan...............................................................................................4
1.1 Latar belakang...........................................................................................4
1.2 Tujuan Penulisan.......................................................................................5
1.3 Metode Penulisan......................................................................................5
1.4 Sistematika Penulisan................................................................................5
BAB II Pembahasan
.........................................................................................7
2 | Page
3 | Page
BAB I
PENDAHULUAN
World Wide Web merupakan salah satu cara yang paling penting bagi
suatu organisasi untuk mempublikasikan informasi, berinteraksi dengan pengguna
internet, dan membangun keberadaan ecommerce/e-goverment. Namun demikian,
jika suatu organisasi tidak tepat dalam mengkonfigurasikan dan mengoprasikan
situs Web nya, kemungkinan situs web tersebut akan rawan terhadap berbagai
macam ancaman keamanan. Situs web yang dapat disajikan sebagai pintu masuk
secara ilegal ke dalam jaringan internal organisasi. Organisasi dapat kehilangan
data sensitif atau bahkan sistem jaringan komputernya menjadi tidak berfungsi.
Contohnya adalah serangan danial of service (DoS) dapat membuat para
pengguna sulit atau bahkan tidak bisa mebuka situs Web organisai. Web Server
juga merupakan software server yang menjadi tulang belakang dari World Wide
Web (WWW). Web server menunggu permintaan dari client yang menggunakan
browser seperti netscape navigator, Internet Explorer, modzilla, dan program
browser lainnya. Jika ada permintaan dari browser, maka web server akan
memproses permintaan itu dan kemudian memberikan hasil prosesnya berupa data
yang diinginkan kembali ke browser. Data ini mempunyai format yang standar
disebut dengan format SGML (Standard General Markup Language).
1.1 Latar Belakang
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem
informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat
perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah
keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar halhal yang dianggap penting. Apabila mengganggu performansi dari sistem,
seringkali keamanan dikurangi atau ditiadakan.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.
Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah informationbased society. Kemampuan untuk mengakses dan menyediakan informasi secara
4 | Page
cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa
organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan
maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat
di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer
sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifat sensiti.
Penggunaan komputer untuk menyimpan informasi yang sfatnya classified baru
dilakukan di sekitar tahun 1950-an.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali
informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya
informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan
kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah
perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di
dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang
sedang dalam development, algoritma-algoritma dan teknik-teknik yang
digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem
informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
1.2 Tujuan Penulisan
Tujuan penulisan dari makalah ini adalah untuk memenuhi tugas yang
diberikan, untuk membahas mengenai keamanan web server dan mengetahui
kelemahan yang terdapat pada web server maka langkah-langkah untuk mengatasi
kelemahan ini dapat dilakukan.
1.3 Metode Penulisan
Makalah ini ditulis berdasarkan beberapa referensi yang didapatkan dari
literatur mengenai keamanan web server.
1.4 Sistematika Penulisan
Makalah ini terdiri dari 3 bab, yaitu :
BAB I : PENDAHULUAN
5 | Page
Bab ini berisi latar belakang, tujuan penulisan, metode penulisan dan sistematika
penulisan dari makalah Keamanan Web Server.
BAB II : PEMBAHASAN
Bab ini berisi konsep Keamanan Web Server seperti web hacking, Deface,
Teknik deface, Netcat, Mengamankan server IIS dari deface, SQL injection,
Kelemahan dasar HTML Form dan Tool untuk memeriksa vulnerabilities.
BAB III : PENUTUP
Bab ini berisi kesimpulan dan saran dari makalah Keamanan Web Server.
6 | Page
BAB II
PEMBAHASAN
2.1. Web Hacking
Web hacking terdiri dari 2 suku kata yaitu Website dan Ilegal Access
yang masing-masing mempunyai arti yaitu :
a. Ilegal Acces(Akses Tanpa Ijin ke Sistem Komputer)
Dengan sengaja dan tidak berhak, melakukan akses secara tidak sah
terhadap seluruh ataupun sebagian dari sistem komputer orang lain.
Dengan maksud untuk mendapatkan data dan informasi ataupun
maksud-maksud untuk memperoleh keuntungan lainnya. Biasanya
kejahatan ini terjadi pada suatu sistem komputer yang di hubungkan
dengan sistem komputer lain (network). Salah satu kejahatan ini yang
sangat sering terjadi, dikenal dengan sebutan Hacking. (Sanusi, 2010)
b. Pengertian Website
Website adalah keseluruhan halaman-halaman web yang terdapat
dalam sebuah domain yang mengandung informasi. Sebuah website
biasanya di bangun atas banyak halaman web yang saling
berhubungan. Hubungan antara satu halaman web satu dengan yang
lainnya di sebut hyperlink, sedangkan teks yang di jadikan media
penghubung desebut hypertext. Domain adalah nama unix yang
dimiliki oleh sebuah institusi sehingga bisa di akses melalui internet.
(Yuhefizar, 2009)
Jadi dapat disimpulkan bahwa web hacking
sistem
yang
direpresentasikan
dalam
world
wide
web.
(cgeduntuksemua, 2010)
Siapa yang Melakukan Web Hacking?
Menerobos mekanisme keamanan suatu jaringan, bukanlah tindakan yang
gampang untuk dilakukan. Jadi, siapakah pelaku web hacking tersebut?
Seiring perkembangan internet yang benar-benar pesat dan diiringi
perkembangan security dan underground, membuat siapa saja dapat menjadi
7 | Page
pelaku. Tidak ada keharusan bahwa pelaku web hacking adalah orang yang
pintar komputer dan internet, atau lain sebagainya.
Mengapa Melakukan Web Hacking?
Jika semua bisa menjadi pelaku web hacking, tentu Ada alasan jika sampai
melakukannya dan pertanyaan adalah Mengapa? Jika pertanyaannya adalah
Mengapa, biasanya jawabannya adalah Karena. Ada banyak alasan orang
melakukan web hacking, diantaranya adalah: - Wanna Be A Hacker ( ingin
menjadi seorang hacker ). - Mendapatkan popularitas. - Ingin mendapat
pujian. Alasan-alasan tersebut di atas cukup bisa dicerna logika.
Kapan dan Dimana?
Internet merebak harum di Indonesia, bisa dikatakan mulai pada hitungan
tahun 90-an. Internet yang sebelumnya merupakan sebagai hal yang mustahil
untuk dirasakan oleh rakyat kelas bawah, semakin terjangkau dengan laris
manisnya bermunculan warnet (warung internet). Ada ujaran yang
mengatakan Kejahatan ada karena ada kesempatan. Ujaran tersebut mungkin
belum dapat ditujukan kepada pelaku web hacking. Dengan banyaknya
kehadiran warnet bahkan ada yang buka 24 jam, membuat web hacking dapat
dilakukan kapan saja dan dimana saja, tanpa harus menunggu waktu.
Bagaimana Web Hacking Dilakukan?
Bagaimana seseorang melakukan web hacking? Internet sudah hampir
menjangkau segala sisi kehidupan yang ada di dunia ini. Informasi mengenai
web hacking dapat anda temukan dengan berselancar ke Google. Google,
search engine yang terkenal menjawab pertanyaan Bagaimana. Dengan
memasukkan kata (keyword) pada baris isian pencarian maka anda akan
dibawa ke tempat-tempat yang berhubungan dengan web hacking. Anda
tinggal memilih dan menyaringnya.
2.2. Deface
Menurut (Adelheid, 2013), Deface adalah melakukan pewajahan ulang
pada halaman website, baik itu index atau direktori lainnya. Deface kerap
juga digunakan oleh para hacker untuk memberitahukan admin bahwa
sistusnya sudah mempunyai celah.
Menurut (Stiawan, 2006), Web Defacing digunakan untuk mengubah
halaman depan atau isi suatu sistus web sehingga tampilan atau isinya
berubah dari yang aslinya. Biasanya hal ini memanfaatkan sisi kelemahan
8 | Page
dari web server atau melalui bug Unicode Microsoft Internet Information
Server (IIS).
Web Defacing adalah suatu kegiatan untuk mengubah tampilan suatu
website, baik halaman utama atau index filenya, ataupun halaman lain yang
masih terikat dalam satu URL dengan website tersebut (Studio, 2008).
Serangan dengan tujuan utama merubah tampilah sebuah website baik
halaman utama maupun halaman lain terkait dengannya diistilahkan sebagai
Web Defacement. Hal ini biasa dilakukan oleh para attacker atau
penyerang karena merasa tidak puas atau tidak suka kepada individu,
kelompok, atau entitas tertentu sehingga website yang terkait dengannya
menjadi sasaran utama.
2.3. Teknik deface
Bila sebelumnya sudah membuat shell ke dalam server target, maka untuk
melakukan deface merupakan hal yang sangat mudah. Kalau belum bisa
membuat shell ke dalam server, kita buat dulu shell nya.
Shell atau backdoor adalah pintu belakang untuk masuk ke dalam sistem
apabila suatu celah yang biasa digunakan untuk masuk (pintu depan) sudah di
patching. Shell biasanya dapat di upload dengan mudah pada situs berbasis
cms Joomla. Jika Anda sudah mendapatkan username dan password control
panel target, Anda bisa langsung memasang shell ke direktori yang Anda
inginkan. Nantinya shell ini akan berguna untuk meng-explore semua yang
ada di folder hostingan situs target.
Cara menggunakan shell :
1. Menempatkan shell c99
2. Untuk menuju direktori utama, masuk ke httpdocz pada kolom Go Dir >
Go.
9 | Page
5. Ketikan kode-kode html yang anda inginkan. Seperti kode html berikut :
10 | P a g e
2.4. Netcut
Netcut sering disebut-sebut sebagai alat atau software untuk menghack
atau mengetahui password dari orang, tetapi bukan itu yang kami maksud
dalam materi ini.Istilah netcut diambil dari kata Net yang artinya internet, dan
Cut yang dalam bahasa inggrisnya yaitu memotong. Jadi pengertian Netcut
itu sendiri adalah memotong jaringan internet. Dimana orang yang
menggunakan jaringan internet seperti Wi-Fi / LAN, jaringgan yang
digunakan pengguna dapat dipotong menggunakan software ini.
Dalam penggunaanya, software ini mempunyai beberapa kelebihan dan
kekurangan, adapun kelebihan dan kekurangan dari software ini yaitu :
Kelebihan :
1. Proses pengoperasian internet sangat cepat
2. Jaringan Wi-Fi / LAN Anda kuasai,
3. Loading dalam membuka situs / web sangat cepat (tergantung dari
sinyal Wi-Fi / LAN ), dll
Kekurangan :
1. Software ini sering mengalami gangguan / hang apabila ada PC yang
on line atau PC yang off line
11 | P a g e
12 | P a g e
13 | P a g e
14 | P a g e
16 | P a g e
cmd.exe pada server keluarga Windows NT. Kelemahan IIS ini sempat ramai
dibicarakan orang karena banyaknya korban. Mengakses server dengan
memanfaatkan Unicode bug itu sendiri dilakukan melalui service http ( port
80 ), port yang pasti dibuka untuk memberikan layanan web.
Pada kasus, setelah berhasil masuk ke sistem, pelaku web hacking
menggunakan tool TFTP untuk melakukan transfer terhadap halaman web
dengan desain kreatif yang dimilikinya untuk mengubah tampilan web
target.
Untuk mengamanankan sever IIS dari deface ,
1. Server harus secara berkala di-update dengan sercvice pack dan hotfix
terbaru.
2. Lebih baik lagi kalau situs e-commerce itu juga dilindungi oleh
firewall dan IDS ( intrusion detection system ).
3. Melindungi dengan firewall dan IDS (intrusion detection system).
4. Menghilangkan Opsi write pada Protokol HTTP (HTTP 1.0 atau
HTTP 1.1)
5. Perintah-perintah yang didukung HTTP 1.0 dan HTTP 1.1
(CONNECT*, DELETE*, GET, HEAD, OPTIONS, POST, PUT,
TRACE).
Tapi semua itu ternyata belum menjamin keamanan situs ecommerce dari
deface. Seperti pada contoh kasus kita, ternyata setelah semua usaha di atas,
ternyata masih terkena deface juga.Walaupun kini deface yang terjadi tidak
terlalu mempunyai nilai seni, tetapi tetap efektif. Bagaimana hal ini bisa
terjadi?
Hal ini dapat terjadi karena setting pada protokol HTTP 1.0 atau HTTP 1.1
yang merupakan protokol utama untuk web itu sendiri, yaitu adanya opsi
untuk dapat membaca dan menulis lewat protokol-protokol ini. HTTP 1.0
RFC
1945
(http://www.ietf.org/rfc/rfc1945.txt)
Finalized
May
1996
Didukung oleh sebagian besar Web server dan browser HTTP 1.1 RFC 2616
(http://www.ietf.org/rfc/rfc2616.txt)
Finalized
2001
Standard
Baru
Komunikasi Web
Beberapa perintah HTTP 1.0
18 | P a g e
19 | P a g e
20 | P a g e
21 | P a g e
22 | P a g e
23 | P a g e
semua script yang masuk kategori ini dapat diterjemahkan oleh web
browser maka di dalam web browser terdapat sebuah komponen/modul/
engine yang memiliki daftar pustaka (library) yang mampu mengenali
semua perintah-perintah yang terdapat pada kategori client side scripting.
Berikut contoh web browser yang populer digunakan: internet explorer,
mozilla firefox, opera, safari. Berikut adalah contoh client side scripting:
HTML (hypertext markup language), java script, XML (extensible markup
language), CSS (cascading style sheet). Client side scripting merupakan script
yang digunakan untuk membuat halaman web statis.
Client-side script mempengaruhi berat-tidaknya loading sebuah website
yang tergantung pada kecepatan loading & spesifikasi komputer serta
koneksi internet penggunanya. Client-side script meliputi kode-kode yang
ditampilkan ketika anda mengklik kanan pada sebuah halaman web dan
melihat sumber halaman (View Page Source). Client side scripting,
merupakan jenis script yang pengolahannya dilakukan di sisi client.
Pengolahan disini berarti di terjemahkan/ interpreted. yang memiliki
tugas untuk menterjemahkan script jenis ini disisi client adalah web
browser. Agar semua script yang masuk kategori ini dapat diterjemahkan
oleh web browser maka didalam web browser terdapat sebuah
komponen/ modul/ engine yang memiliki daftar pustaka (library) yang
mampu mengenali semua perintah-perintah yang terdapat pada kategori client
side scripting. Berikut contoh web browser yang populer digunakan:
internet explorer, mozilla firefox, opera., safari. berikut adalah contoh
client side scripting: HTML (hypertext markup language), java script,
XML (extensible markup language), CSS (cascading style sheet). Client
side scripting merupakan script yang digunakan untuk membuat halaman web
statis.
Pengertian pemrograman client-side adalah metode pembuatan aplikasi
yang memungkinkan pemrosesan dilakukan di sisi client (komputer
pengguna), jadi kebalikan dari server-side. Contoh dari Client-side Script
adalah HTML, CSS, JavaScript, Jquery dan XML. Client Side merupakan
teknologi webpage yang menerapkan jenis pemrograman web dimana semua
sintaks dan perintah program dijalankan di web browser sehingga ketika
client meminta dokumen yang mengandung script, script tersebut akan
diambil dari web server kemudian dijalankan di web briwser yang
bersangkutan. Contoh dari Client Side Programming seperti : Java Script,
VbScript, HTML.
Karakteristik client side scripting :
1. Kode program didownload bersama dengan halaman web
25 | P a g e
26 | P a g e
terbatas. POST juga lebih aman sebab variabel tidak terlihat oleh pengunjung,
sehingga lebih sulit dimainkan lewat perubahan nama variabel. Namun
variabel tetap dapat diambil dengan RequestForm.
2.9. Mencari informasi mengenai web server
Sebagai Web Developer ataupun Website Administrator terkadang kita
ingin mengetahui jenis web server yang digunakan oleh suatu website. Seperti
yang kita ketahui bahwa cukup banyak jenis web server yang populer
digunakan di internet.
Berdasarkan survey yang dilakukan Netcraft pada tahun 2010, Apache
Web Server mendominasi jagat internet dengan penggunaan sebesar 53,93%.
Diikuti oleh IIS Web Server milik Microsoft sebesar 24,97%. Dua web server
ini adalah yang paling banyak digunakan di internet.
Ada 2 metode untuk mengetahui web server yang digunakan sebuah website.
a.
27 | P a g e
Gambar 1
Dari gambar diatas jelas terlihat bahwa www.swimsmooth.com di
hosting menggunakan Apache Web Server, karena forbidden error 403
akan menambahkan Apache Server Tag dibawahnya.
Contoh lainnya, mari kita coba www.dotnetspider.com. Menggunakan
"test Apache error .htaccess" akan menampilkan seperti gambar
berikut:
Gambar 2
28 | P a g e
b.
29 | P a g e
Gambar 3
Data di atas menampilkan bahwa dagang.com running di
Sistem Operasi Linux, menggunakan Apache web server dan
record tercatat dari 8 Maret 2005. Namun, untuk saat ini Sistem
Operasi yang digunakan tidak dapat diketahui.
2.10.
1)
penyerang dapat
mengelabui
membahayakan
password,
kunci,
sesi
token
atau
30 | P a g e
3)
4)
situs berbahaya.
Insecure Direct Object References, Sebuah referensi objek langsung
terjadi ketika pengembang mengekspos referensi ke suatu objek dalam
implementasi, seperti file, petunjuk, atau tombol database. Tanpa
pemeriksaan kontrol akses atau perlindungan lainnya atau penyerang
dapat memanipulasi referensi-referensi ini untuk mengakses data yang
5)
tidak sah.
Security Misconfiguration, Keamanan yang baik membutuhkan
adanya konfigurasi keamanan didefinisikan dan digunakan untuk
aplikasi, kerangka kerja, aplikasi server, web server,database server,
danplatform.Semua
pengaturan
ini
harus
31 | P a g e
8)
cookie
korban
dan
disertakan
informasi
otentikasi
dari korban.
Using Components with Known Vulnerabilities, Komponen yang
rentan, seperti libraries, frameworks dan modul perangkat lunak lain
hampir selalu berjalan dengan hak penuh. Jadi, jika dimanfaatkan,
mereka dapat menyebabkan hilangnya data yang serius maupun
pengambilalihan server.Aplikasi yang menggunakan komponenkomponen yang rentan dapat merusak pertahanan mereka dan
10)
sering
32 | P a g e
CVEChecker
untuk
menemukan
Download
CVEChecker
http://sourceforge.net/projects/cvechecker/files/
gunakan saat ini menggunakan versi 3.1
Extract CVE Checker :
(yang
di
saya
33 | P a g e
digit@digit-laptop:~$ cd cvechecker-3.1
digit@digit-laptop:~$ ./configure --enable-sqlite3
digit@digit-laptop:~$ sudo make
digit@digit-laptop:~$ sudo make install
Export Hasilnya :
digit@digit-laptop:~$ cvechecker -r -C
BAB III
PENUTUP
3.1. Kesimpulan
Ketika sebuah web server dirancang untuk memudahkan
para user sebaiknya dirancang juga dengan keamanannya
yang bisa mengurangi terjadinya peluang bagi cracker
maupun hacker untuk selalu melakukan hal-hal yang tidak
diinginkan seperti halnya melakukan pemblokiran apalagi
sampai memanipulasi database yang telah dirancang. Tidak
34 | P a g e
Daftar Pustaka
(2002, Desember). Harian Investor Indonesia , p.
10.
Adelheid, A. (2013). 1 Hari Menjadi Hacker. Jakarta: mediakita.
cgeduntuksemua. (2010, 1 1). Pengertian dan Jenis Web Hacking.
Retrieved 5 26, 2015, from http://cgeduntuksemua.blogspot.com/:
35 | P a g e
http://cgeduntuksemua.blogspot.com/2012/05/pengertian-dan-jenisweb-hacking.html
isma-ismi. (2015, 1 1). Pengertian Web server. Retrieved 5 26, 2015,
from http://isma-ismi.com/: http://isma-ismi.com/pengertian-webserver.html
Sanusi, M. (2010). The Genius Hacking Sang Pembobol Data. Jakarta:
PT Elex Media Komputindo.
Stiawan, D. (2006). Sistem Keamanan Komputer. Jakarta: PT Elex Media
Komputindo.
Studio, D. J. (2008). Teknik Menjebol Password Untuk Pemula. Jakarta:
PT Gramedia.
Supardi, I. Y. (2010). Web my profile dengan Joomla 1.5.x. Jakarta: PT
Elex Media Komputindo Kompas - Gramedia.
Yuhefizar. (2009). CMM Website Interaktif MCMS Joomla(CMS). Jakarta:
PT Elex Media Komputindo.
36 | P a g e