Nama: Nor Alip

NPM : 133112706440122
Matkul : Keamanan Jarkom

1.

A. Unvalidated input

semua aplikasi web menampikan data dari HTTP request yang dibuat oleh user dan
menggunakan data tersebut untuk melakukan operasinya. Hacker dapat
memanipulasi bagian-bagian pada request (query string, cookle information,
header) untuk membypass mekanisme keamanan.

B. Broken Access Control

Banyak aplikasi yang mengkategorikan user-usernya ke dalam role yang berbeda

dan level yang berbeda untuk berinteraksi dengan content yang dibedakan dari
kategori-kategori tersebut, salah satu contohnya, banyak aplikasi yang terdapat
user role dan admin role: hanya admin role yang dijinkan untuk mengakses
halaman khusus atau melakukan action melakukan action administration.

Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otomatis ini
bekerja contohnya, beberapa program hanya menggunakan sebuah chekpoint
dimana hanya user yang terpilih yang dapat mengakses: untuk proses lebih lanjut,
user harus membuktikan dirinya menjalankan pengecekan dari chek point
sebelumnya: dimana apabila user berhasil melewati halaman login, mereka dapat
bebas menjalankan operasi.

C. Broken Authentication dan session Management

Authentication dan session management menunjuk kepada semua aspek dari

pengaturan user authentifikasi management of active session, ini beberapa hal
yang perlu di perhatikan :

a. Password strength-Aplikasi kita harus memberikan level minimal dari

keamanan sebuah password dan mendaftar: aplikasi tidak mengijinkan password
dengan panjang 3-4 atau kata-kata simple yang dapat mudah ditebak oleh hacker.

b. Password use Aplikasi kita harus membatasi user yang mengakses aplikasi
melakukan login kembali ke sistem pada tenggang waktu tertentu. Dengan cara ini
aplikasi dapat dilindungi dari serangan brute force dimana hacker bisa menyerang
berulang kali untuk berhasil login ke sistem, selain itu, log in yang gagal sebaiknya
dicatat sebagai informasi kepada administrator untuk mengindikasikan
kemungkinan serangan yang terjadi.
c. Password storage password tidak boleh disimpan di dalam aplikasi.
Password harus disimpan dalam format terenkripsi dan disimpan di file lain seperti
database atau file password. Hal ini dapat meastikan bahwa informasi yang sensitif
seperti password tidak disebarkan ke dalam aplikasi.

D. Cross Site Scripting

Cross Site Script atau kependekannya XSS merupakan salah satu serangan injeksi
code (code injection attack). XSS dilakukan oleh penyerang dengan cara
memasukan kode HTML (HyperText Markup Language) atau client script
code lainnya kesuatu situs. Serangan ini akan seolah-olah datang dari situs tersebut
akibat serangan ini antara lain penyerang dapat mem-bypass keamanan disisi
klkien, mendapat informsi sensitif, atau menyimpan aplikasi berbahaya.

Alasannya kependekan yang digunakan XSS bukan CSS karena CSS sudah
digunakan untuk cascade syle sheet.

E. Buffer over Flow

Kelemahan Buffer overflow adalah salah satu dari banyak kelemahan dari
keamanan komputer. Kelemahan jenis ini dapat digunakan pada remote acces atau
local acces atau, karena ini dapat memberikan si Attacker kesempatan untuk
melancarkan jurus-jurus dengan coding di komputer target.

Serangan Buffer overflow terjadi ketika si attacker emberikan input yang berlebihan
pada program yang di jalankan, sehingga program mengalami kelebihan muatan
dan memory tidak dapat mengalokasikannya. Ini memberikan kesempatan kepada
Attacker untuk menindih data pada program dan men take over kontrol porgram
yang dieksekusi attacker.

Buffer over flow hasil dari kelemahan bahasa pemograman c, c++, fontran, dan
assembly, yang tidak secara otomatis melakukan pengecekan batas input ketika
program dieksekusi. Sebagai akibat dari Buffer overflow dapat menyebatkan crash
pada program, atau mempersilahkan si Attacker untuk mengesekusi perintah atau
coding jahatnya untuk menguasai sistem target, seperti tujuan mengambil alih akun
root menggunakan metode buffer overflow.

F. Injection Flows

Injection flaws,yaitu salah satu teknik hacking yang memanfaatkan celah keamanan
pada basis datanya. dan yang sering digunakan adalah SQL injectiondengan
memasukan perintah-perintah SQL pada website yang lemah dalam membuat
struktur basis data, akan memudahkan bagi hacker untuk mendapatkan informasi
pribadi, seperti strukur tabel basis data, kolom-kolom yang terdapat pada tabel
basis data tersebut, hingga isi record basis data tersebut. sehingga hacker bisa
mengetahui username atau id dan password admin pengelola website tersebut.

2. Cara-cara pembatasan hak akses dapat dilakukan:

Nonaktifkan layanan yang tidak perlu

Amankan akses secara remote
Gunakan server berbeda untuk eksperimen dll
Tetapkan hak akses
Pasang patch secara teratur
Pantau dan periksa server
Nonaktifkan/ hapus akun yang tidak terpakai
Hapus modul server yang tidak terpakai
Gunakan security yang disediakan web server
Gunakan scanner untuk memeriksa port yang terbuka.
Ginakan layanan conten delivery network (CDN)

3. anatomi suatu serangan Hacking pada suatu sistem computer:

Footprinting
Scanning
Enumeration
Gaining Access
Escalating Privilege
Pilfering
Covering Track
Creating Backdoors
Denial Of Service

4. SSL (Secure Socket Layer) adalah lapisan keamanan untuk melindungi transaksi
di website Anda dengan teknologi enkripsi data yang canggih. Pada website dengan
SSL maka alamatnya berubah menjadi https dan muncul tanda padlock (gembok) di
address bar browser yang bisa di-klik untuk melihat jenis SSL, teknologi enkripsi
yang dipakai dan siapa identitas pemilik website.

Manfaat utama menggunakan SSL:

Meningkatkan kepercayaan pengunjung website untuk melakukan transaksi

atau bisnis dengan Anda.
 Mengamankan transaksi yang ada di website dengan enkripsi termasuk data
kartu kredit, password, dll.
Website yang menggunakan SSL/HTTPS mendapatkan ranking SEO yang lebih
baik dari Google dibanding dengan website yang tidak diproteksi dengan SSL.
Berhak menampilkan SSL Secured Seal di website.
Meningkatkan penjualan atau conversion rate di website sebagai hasil dari
kepercayaan konsumen yang meningkat.
(EV SSL) Meningkatkan prestisius perusahaan Anda dengan green bar dan
nama perusahaan di address bar browser.
(EV SSL dari Symantec) Mendapatkan layanan free malware scanning dan
security vulnerability assessment gratis dari Symantec.
Dewaweb menyedia

5. OS-Fingerprint bertujuan untuk mengetahui Operating System yang digunakan

oleh computer target. Hal ini sangat berguna untuk menentukan jenis serangan apa
yang akan dapat dilakukan dengan berbagai informasi yang didapat nanti. Misalkan,
operating system yang dipakai oleh computer target adalah linux, dan service yang
tersedia ada FTP, samba, dan bahkan email. Untuk menentukan jenis serangan
yang lebih akurat dan efisien maka informasi yang didapat haruslah detail. Entah itu
tipe jenis linux apa, atau service yang dipakai adalah aplikasi versi berapa. Dengan
mengetahui hal ini kita dapat menentukan jenis serangan yang sesuai.

6.

A. Membuat tingkatan akses :

Pembatasan-pembatasan dapat dilakukan sehingga memperkecil peluang
penembusan oleh pemakai yang tak diotorisasi, misalnya :

oPembatasan login. Login hanya diperbolehkan :

o Pada terminal tertentu.
o Hanya ada waktu dan hari tertentu.
o Pembatasan dengan call-back (Login dapat dilakukan siapapun. Bila
telah sukses login, sistem segera memutuskan koneksi dan memanggil
nomor telepon yang telah disepakati, Penyusup tidak dapat
menghubungi lewat sembarang saluran telepon, tapi hanya pada
saluran telepon tertentu).
o Pembatasan jumlah usaha login.
o Login dibatasi sampai tiga kali dan segera dikunci dan diberitahu
ke administrator.
o Semua login direkam dan sistem operasi melaporkan informasi-
informasi berikut :
o Waktu, yaitu waktu pemakai login.
o Terminal, yaitu terminal dimana pemakai login.
o Tingkat akses yang diizinkan ( read / write / execute / all )
B. Mekanisme kendali akses :
Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user
authentication). Kebanyakan metode otentifikasi didasarkan pada tiga cara, yaitu :
1. Sesuatu yang diketahui pemakai, misalnya :
o Password.
o Kombinasi kunci.
o Nama kecil ibu mertua.
o Dan sebagainya.
2. Sesuatu yang dimiliki pemakai, misalnya :
o Badge.
o Kartu identitas.
o Kunci.
o Dan sebagainya.
3. Sesuatu mengenai (ciri) pemakai, misalnya :
o Sidik jari.
o Sidik suara.
o Foto.
o Tanda tangan.
C. Waspada terhadap Rekayasa sosial :
1. Mengaku sebagi eksekutif yang tidak berhasil mengakses, menghubungi
administrator via telepon/fax.
2. Mengaku sebagai administrator yang perlu mendiagnosa masalah network,
menghubungi end user via email/fax/surat.
3. Mengaku sebagai petugas keamanan e-commerce, menghubungi customer
yang telah bertransaksi untuk mengulang kembali transaksinya di form yang
disediakan olehnya.
4. pencurian surat, password.
5. penyuapan, kekerasan.
D. Membedakan Sumber daya internal dan Eksternal :
Memanfaatkan teknologi firewall yang memisahkan network internal dengan
network eksternal dengan rule tertentu.
E. Sistem Otentikasi User :
Def : adalah proses penentuan identitas dari seseorang yang sebenarnya, hal ini
diperlukan untuk menjaga keutuhan ( integrity ) dan keamanan ( security ) data,
pada proses ini seseorang harus dibuktikan siapa dirinya sebelum menggunakan
layanan akses.

7. Footprinting

8. Creating Backdoors

9. Serangan DOS (Denial-Of-Service attacks) adalah jenis serangan terhadap sebuah

computer atau server di dalam jaringan internet dengan cara menghabiskan
sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut
tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung
mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang
diserang tersebut.

Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk

mencegah akses seorang pengguna terhadap sistem atau jaringan dengan
menggunakan beberapa cara, yakni sebagai berikut:
 Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan
yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam
sistem jaringan. Teknik ini disebut sebagai traffic flooding.
Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang
disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar
tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request
flooding.
Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan
menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi
sistem atau bahkan perusakan fisik terhadap komponen dan server.

10.

A. Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang

berhubungan dengan aspek keamanan informasi, seperti kerahasiaan data,
keabsahan data, integritas data, serta autentikasi data .Tetapi tidak semua
aspek keamanan informasi dapat diselesaikan dengan kriptografi.
Kriptografi dapat pula diartikan sebagai ilmu atau seni untuk menjaga
keamanan pesan.

Pada prinsipnya, Kriptografi memiliki 4 komponen utama yaitu:

Plaintext, yaitu pesan yang dapat dibaca

Ciphertext, yaitu pesan acak yang tidka dapat dibaca
Key, yaitu kunci untuk melakukan teknik kriptografi
Algorithm, yaitu metode untuk melakukan enkrispi dan dekripsi

B. Enkripsi (Encryption) adalah sebuah proses menjadikan pesan yang dapat

dibaca (plaintext) menjadi pesan acak yang tidak dapat dibaca (ciphertext).
Berikut adalah contoh enkripsi yang digunakan oleh Julius Caesar, yaitu
dengan mengganti masing-masing huruf dengan 3 huruf selanjutnya (disebut
juga Additive/Substitution Cipher).