Nama Kelompok:
1. Nur Fajar
2. Pera Lesviana
3. Suprihatin
4. Rizal
1.4 Tujuan
1. Mengetahui apa yang dimaksud dengan web, web browser dan web server
2. Mengetahui keamanan pada website
3. Mengetahui cara menangani ancaman pada website.
BAB II
PEMBAHASAN
a. Internet explorer
b. Mozila Firefox
c. Opera
d. Netscape, dll.
Pengertian Web Server
Web Server adalah software yang menjadi tulang belakang dari WWW (World Wide
Web). Web server menunggu permintaan dari client yang menggunakan browser, seperti
Microsoft Internet Explorer, Mozilla Firefox, dan browser lainnya. Jika ada permintaan
dari browser, maka web server akan memproses permintaan itu kemudian memberikan
hasil prosesnya berupa data yang diinginkan kembali ke browser.
Data ini mempunyai format yang standar, disebut dengan format SGML (Standar General
Markup Language). Data yang berupa format ini kemudian akan ditampilkan oleh
browser sesuai dengan kemampuan browser tersebut. Contohnya, bila data yang dikirim
berupa gambar, browser yang hanya mampu menampilkan teks (misalnya lynx) tidak
akan mampu menampilkan gambar tersebut, dan jika ada akan menampilkan alternatifnya
saja.
Web server, untuk berkomunikasi dengan client-nya (web browser) mempunyai protokol
sendiri, yaitu HTTP (HyperText Transfer Protocol). Dengan protokol ini, komunikasi
antar web server dengan client-nya dapat saling dimengerti dan lebih mudah. Seperti telah
dijelaskan diatas, format data pada world wide web adalah SGML. Tapi para pengguna
internet saat ini lebih banyak menggunakan format HTML (HyperText Markup
Language) karena penggunaannya lebih sederhana dan mudah dipelajari.
Serangan Terhadap Web
Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk
menyerang suatu website:
a. Remote File Inklusi (RFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan RFI
seorang attacker dapat menginclude kan file yang berada di luar server yang
bersangkutan.
Salah satu tehnik paling aman bagi seorang administrator adalah selalu memperhatikan
usaha-usaha infiltrasi dan usaha eksploitasi lokal. Gunakan firewall guna mencegah
penyusupan orang-orang yang tidak bertanggung jawab dan memperhatikan port-port
server yang sedang terbuka.
c. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang
terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna
tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam
pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak
terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari
kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang
tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan
penyisipan SQL.
XSS data diatasi dengan menggunakan Open Source Libraries mengenai pencegahan
XSS attack seperti PHP AntiXSS, HTML Purifier , xssprotect , XSS HTML Filter
XML Encryption
Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada
level parser. Pada level aplikasi, implementasi Enkripsi XML paling banyak
dibuat dengan menggunakan DOM, Document Object Model.
XKMS merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini
(PKIX) dan juga melakukan perubahan standar PKI sebagai salah satu bentuk web
services. Dengan demikian XKMS dapat melakukan proses registrasi pasangan
kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci-
publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan
(recover) kuncipublik. Oleh karena itu, keseluruhan struktur PKI akan
dikembangkan ke dalam lingkungan berbasis XML. XML Key Management
Specification yang diterapkan sebagai web service akan mengurangi bentuk
“ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi.
Sebelumnya penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang
diterapkan pada produk aplikasi yang akan digunakan sedangkan dengan adanya
XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibuat
fungsi untuk menentukan pengguna (client) yang mengakses fungsi/layanan yang
disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi:
v Registration (registrasi). Layanan pada XKMS dapat digunakan untuk
mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”.
Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun
layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan
melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang
dibangkitkan oleh server ataupun client.
v Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan
kembali kunci-publik yang terdaftar.
v Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa
kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak
kadaluarsa ataupun telah dicabut.
Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses
enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server.
Dengan demikian pihak client hanya perlu mengetahui cara mengakses antarmuka
yang disediakan. Sebagai pengembangan lebih lanjut dari PKI yang ada saat ini,
XKMS memiliki karakteristik kompatibel (selaras) dengan infrastruktur kunci-
publik yang menggunakan X.509 (PKIX); dapat mendukung perubahan struktur
dasar kebijakan yang akan digunakan pada PKI, contohnya Federal Bridge CA,
ataupun perpaduan X.509 dengan non-509; proses pembangkitan dengan
menggunakan XML signature dan encryption; dapatdikembangluaskan. Untuk
produk aplikasi yang akan menggunakan spesifikasi XKMS haruslah melakukan
implementasi operasi penandaan ataupun verifikasi paling dasar (basic) dan juga
dapat mengelola kunci-privat yang dimiliki oleh client kemudian dapat melakukan
pembangkitan dan pemrosesan terhadap transaksi-transaksi berbasis XML.
Selain itu, berbeda dengan produk aplikasi pada PKIX, produk aplikasi yang akan
menerapkan XKMS tidak perlu melakukan pemrosesan terhadap protokol ASN.1
ataupun sertifikasi X.509. Dengan bentuk penggunaan XKMS sebagai web
service, maka produk aplikasi “terbebaskan” dari kebutuhan untuk memahami dan
menerapkan PKI tradisional (PKIX) – cukup dengan memanggil dan
menggunakan layanan yang disediakan oleh web service XKMS.
3. SQL injection