MAKALAH

KEAMANAN SISTEM INFORMASI

KEAMANAN WEBSITE

Nama Kelompok:
1. Nur Fajar
2. Pera Lesviana
3. Suprihatin
4. Rizal

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER

(STMIK) DIAN CIPTA CENDIKIA LAMPUNG
2018
Kata Pengantar
Daftar Isi
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Keamanan web, sangat erat kaitannya dengan jaringan, karena untuk mengakses sebuah
website pasti dibutuhkan koneksi jaringan. Saat ini sangat pesat sekali perkembangan
teknologi website, jaringan dan bermacam ancaman keamanan yang dihadapi, seperti
ancaman terhadap kerahasiaan yang sering dihadapi adalah hacker, Masquerader,virus
virus dari internet maupun dari media transfer data seperti flasdisk, hardisk eksternal,
melalui jaringan LAN, download file tanpa proteksi, Trojan horse, Aktifitas user yang
tidak terotorisasi dan masih banyak lagi ancaman keamanan yang kadang tidak kita
sadari.
Keamanan suatu website atau web security system merupakan salah satu prioritas yang
sangat utama bagi seorang webmaster. Tetapi kebanyakan para webmaster hanya
mengutamakan design dan topik apa yang harus disediakan supaya menarik pengunjung
sebanyak-banyaknya. Padahal jika seorang webmaster mengabaikan keamanan suatu
website, maka yang dirugikan adalah webmaster itu sendiri karena seorang hacker dapat
mengambil data-data penting pada suatu website dan bahkan pula dapat mengacak-acak
tampilan website(deface) tersebut.

1.2 Rumusan masalah

Rumusan masalah pada makalah ini adalah
Apa yang dimaksud dengan sebuah keamanan website dan beberapa ancaman dan
cara menanganinya.

1.3 Batasan Masalah

Batasan masalah dari makalah ini adalah
pembahasan tentang leamanan website dan cara menanganinya.

1.4 Tujuan
1. Mengetahui apa yang dimaksud dengan web, web browser dan web server
2. Mengetahui keamanan pada website
3. Mengetahui cara menangani ancaman pada website.
 BAB II
PEMBAHASAN

2.1 Pengertian Website

Website adalah sebutan bagi sekelompok halaman web (webpage) yang umumnya
merupakan bagian dari suatu nama domain atau subdomain di WWW di internet.
Website juga dapat diartikan sebagai kumpulan halaman yang menampilkan
informasi data teks, data gambar diam atau gerak, data animasi, suara atau video
atau gabungan dari semuanya. Baik yang bersifat statis maupun dinamis yang
membentuk 1 rangkaian bangunan yang saling terkait, dimana masing-masing
dihubungkan dengan jaringan (hyperlink).
Bersifat statis apabila isi informasi tetap, jarang berubah dan informasinya searah
hanya dari pemilik website. Bersifat dinamis apabila isi informasi website selalu
berubah-ubah.

Pengertian Web browser

Webrowser adalah suatu program yang digunakan untuk menjelajahi dunia internet atau
untu mencari informasi tentang suatu halaman web yang tersimpan di komputer.
Awalnya, web browser hanya berorientasi pada teks dan belum dapat menampilkan
gambar. Namun web browser sekarang tidak hanya menampilkan gambar dan teks dan
belum dapat menampilkan gambar dan teks saja, tetapi sudah memutar tes multimedia.
Browser juga dapat mengirim dan menerima email, mengolah bahasa HTML sebagai
input dan menjadikan halaman web sebagai output yang informatif. Contoh Web browser
antara lain:

a. Internet explorer
b. Mozila Firefox
c. Opera
d. Netscape, dll.
Pengertian Web Server
Web Server adalah software yang menjadi tulang belakang dari WWW (World Wide
Web). Web server menunggu permintaan dari client yang menggunakan browser, seperti
Microsoft Internet Explorer, Mozilla Firefox, dan browser lainnya. Jika ada permintaan
dari browser, maka web server akan memproses permintaan itu kemudian memberikan
hasil prosesnya berupa data yang diinginkan kembali ke browser.
Data ini mempunyai format yang standar, disebut dengan format SGML (Standar General
Markup Language). Data yang berupa format ini kemudian akan ditampilkan oleh
browser sesuai dengan kemampuan browser tersebut. Contohnya, bila data yang dikirim
berupa gambar, browser yang hanya mampu menampilkan teks (misalnya lynx) tidak
akan mampu menampilkan gambar tersebut, dan jika ada akan menampilkan alternatifnya
saja.
Web server, untuk berkomunikasi dengan client-nya (web browser) mempunyai protokol
sendiri, yaitu HTTP (HyperText Transfer Protocol). Dengan protokol ini, komunikasi
antar web server dengan client-nya dapat saling dimengerti dan lebih mudah. Seperti telah
dijelaskan diatas, format data pada world wide web adalah SGML. Tapi para pengguna
internet saat ini lebih banyak menggunakan format HTML (HyperText Markup
Language) karena penggunaannya lebih sederhana dan mudah dipelajari.
Serangan Terhadap Web
Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk
menyerang suatu website:
a. Remote File Inklusi (RFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan RFI
seorang attacker dapat menginclude kan file yang berada di luar server yang
bersangkutan.
Salah satu tehnik paling aman bagi seorang administrator adalah selalu memperhatikan
usaha-usaha infiltrasi dan usaha eksploitasi lokal. Gunakan firewall guna mencegah
penyusupan orang-orang yang tidak bertanggung jawab dan memperhatikan port-port
server yang sedang terbuka.

b. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server
yang bersangkutan.

c. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang
terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna
tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam
pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak
terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari
kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang
tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan
penyisipan SQL.

d. Cross Site Scripting (XSS)

Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya
ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik
script sisi klien ke dalam halaman web dilihat oleh pengguna lain.
lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan
penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada
konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam
halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman
sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas nama
pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi kode.

XSS data diatasi dengan menggunakan Open Source Libraries mengenai pencegahan
XSS attack seperti PHP AntiXSS, HTML Purifier , xssprotect , XSS HTML Filter

Paket Keamanan Web

a. SSL (Secure Sockets Layer)
Sebuah protokol yang dikembangkan oleh Netscape untuk komunikasi dokumen yang
membutuhkan privasi melalui Internet. SSL menggunakan suatu sistem enkripsi yang
menggunakan dua kunci untuk melakukan enkripsi data.
SSL terdiri dari 4 jenis, yaitu:
· SSL web server certificate with EV
SSL jenis ini digunakan bila pengunjung harus input data sensitif seperti credit cards, PIN
number, dst yang membutuhkan keamanan ekstra. Bila menggunakan SSL jenis ini,
address bar pada browser akan berwarna hijau dan menunjukan nama ogranisasi
bersangkutang yang telah diverifikasi.
· SSL web server certificates
SSL jenis ini digunakan bila pengunjung harus log in atau sign in. SSL jenis ini
menggunakan enkripsi sekuat SSL web server certificate with EV namun tidak adanya
warna hijau pada address bar browser.
· SGC SuperCerts
SSL ini digunakan untuk kompatibilitas browser lama. Jika pengunjung menggunakan
browser lama, atau cara lain untuk mengunjungi suatu website, maka SSL jenis ini cocok
untuk diterapkan di browser tersebut, karena SSL jenis ini memungkinkan kompatibilitas
browser lama untuk enkripsi 128 atau 256 bit.
· SSL 123 Certificate
SSL ini digunakan untuk komunikasi internal dan intranet private. SSL ini melakukan
enkripsi unutk pegawai dan user di dalamnya. Hanya nama domain yg diverifikasi.

b. IDS (Intrusion Detection System)

Intrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan
dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak
diinginkan yang mengganggu konfidensialitas, integritas dan atau ketersediaan dari
informasi yang terdapat di sebuah sistem. IDS akan memonitor lalu lintas data pada
sebuah jaringan atau mengambil data dari berkas log. IDS akan menganalisa dan dengan
algoritma tertentu akan memutuskan untuk memberi peringatan kepada seorang
administrator jaringan atau tidak

c. IPS (Intrusion Prevention System)

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring
traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan
dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak
seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan
sebagainya.
Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak
(software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention
System (HIPS) dan Network-based Intrusion Prevention System (NIPS).

2. Macam Serangan Penanggulangan Web

Web Service memberikan paradigma baru dalam mengimplementasikan sistem
terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL
dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem
terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan
proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang
bersifat terbuka (non-propriertary) berbasis Web. Penerapan Web Service akan
memudahkan proses integrasi dan kolaborasi antar aplikasi pada lingkungan
platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan
biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun
demikian, masih banyak yang ragu untuk segera menerapkan Web Service,
khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet
(global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan
kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara
itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi
berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi
Web Service. Pada makalah ini dibahas berbagai arsitektur keamanan dan
spesifikasi standard keamananan untuk Web Service.

Walaupun Web Service menjanjikan solusi untuk mengatasi kelemahan teknologi

berbasis Web pada umumnya, namun demikian masih banyak yang merasa ragu
untuk segera menerapkan Web Service, khususnya pada lingkungan Internet
(publik), misalnya untuk mendukung transaksi e-business. Keraguan ini
disebabkan oleh faktor jaminan keamanan dari teknologi Web Service. Survey
menunjukkan bahwa faktor keamanan merupakan masalah utama yang menjadi
perhatian dalam mengimplementasikan Web Service.

Teknologi keamanan yang biasa digunakan untuk mengatasi aspek keamanan

pada sistem berbasis Web pada umumnya, seperti Secure socket Layer (SSL)/
Transport Secure Layer (TSL), tidak cukup memadai jika diterapkan pada system
berbasis Web Service. Hal ini dikarenakan SSL/TLS menyediakan solusi
kemanan dengan konteks point-to-point pada level transport layer. Sementara
karakteristik transaksi Web Service, membutuhkan pengamanan dalam konteks
end-to-end pada level application layer. Teknologi Firewall yang menyediakan
pengamanan pada level Network Layer juga tidak cukup memadai, karena
karakteristik transaksi Web Service yang menggunakan standard internet (HTTP,
SMTP, FTP) akan dilewatkan oleh Firewall karena dianggap Sebagai trafik
Internet pada umumnya (firewall friendly).
Walaupun teknologi keamanan yang ada saat ini masih memegang peranan
penting, namun demikian masih diperlukan suatu mekanisme keamanan pada
level appplication layer yang dapat diterima luas oleh berbagai pihak yang terlibat
dalam implementasi Web Service, dan mendukung aspek interoperabilitas dalam
mengimplementasikan Web Service. Keberadaan standard kemananan Web
Service tersebut akan sangat mempengaruhi prospek penerapan Web Service
secara luas.

STANDAR PENGAMANAN WEB

XML signatures merupakan dokumen XML yang berisi informasi mengenai tanda
tangan digital. Tanda tangan digital dapat dilakukan terhadap dokumen dengan
tipe apapun, termasuk dokumen XML. XML signatures dapat ditambahkan pada
dokumen XML yang ditandatangani ataupun dapat berupa sebuah dokumen XML
tersendiri.
Secara garis besar, struktur XML signatures adalah sebagaimana (dimana “?”
menandakan nol atau satu kemunculan, “+” menandakan satu atau lebih
kemunculan, dan “*” menandakan nol atau lebih kemunculan) ditampilkan pada
Kode XML

Salah satu keuntungan penggunaan standar XML signature adalah dapat

dilakukannya penandatanganan sebuah dokumen XML oleh lebih dari satu pihak.
Pihak tertentu hanya akan menandatangani elemen XML yang menjadi tanggung
jawabnya.

XML Encryption

Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan

yang muncul pada proses pertukaran data. W3C telah merekomendasikan Enkripsi
XML sebagai metode alternatif untuk pengamanan data dengan menggunakan
format XML. Namun demikian, Enkripsi XML dirancang untuk dapat diterapkan
baik pada data XML maupun data non XML. Implementasi Enkripsi XML
memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak
dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi
maupun dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan
saja.

Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada
level parser. Pada level aplikasi, implementasi Enkripsi XML paling banyak
dibuat dengan menggunakan DOM, Document Object Model.

Sementara pada level parser, implementasi Enkripsi XML di antaranya dibuat

dengan menggunakan parser Xerces. Enkripsi XML secara umum dapat dianggap
sebagai proses transformasi dokumen XML yang belum terenkripsi ke dokumen
XML yang sudah terenkripsi. W3C telah merekomendasikan XSLT, Extensible
Stylesheet Language Transformations, sebagai bahasa transformasi untuk
dokumen XML. Dengan demikian, maka XSLT sebagai bahasa transformasi
untuk XML dapat digunakan untuk mengimplementasikan Enkripsi XML.

Xml Key Management Specification

XML key management specification (XMKS) merupakan sebuah spesifikasi

infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada
web services digunakan format komunikasi data berbasis XML dan untuk
keamanan data-data tersebut digunakan teknik kriptografi kunci-publik.
Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key
infrastructure (PKI).

XKMS merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini
(PKIX) dan juga melakukan perubahan standar PKI sebagai salah satu bentuk web
services. Dengan demikian XKMS dapat melakukan proses registrasi pasangan
kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci-
publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan
(recover) kuncipublik. Oleh karena itu, keseluruhan struktur PKI akan
dikembangkan ke dalam lingkungan berbasis XML. XML Key Management
Specification yang diterapkan sebagai web service akan mengurangi bentuk
“ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi.
Sebelumnya penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang
diterapkan pada produk aplikasi yang akan digunakan sedangkan dengan adanya
XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibuat
fungsi untuk menentukan pengguna (client) yang mengakses fungsi/layanan yang
disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi:
v Registration (registrasi). Layanan pada XKMS dapat digunakan untuk
mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”.
Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun
layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan
melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang
dibangkitkan oleh server ataupun client.
v Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan
kembali kunci-publik yang terdaftar.
v Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa
kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak
kadaluarsa ataupun telah dicabut.

Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses
enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server.
Dengan demikian pihak client hanya perlu mengetahui cara mengakses antarmuka
yang disediakan. Sebagai pengembangan lebih lanjut dari PKI yang ada saat ini,
XKMS memiliki karakteristik kompatibel (selaras) dengan infrastruktur kunci-
publik yang menggunakan X.509 (PKIX); dapat mendukung perubahan struktur
dasar kebijakan yang akan digunakan pada PKI, contohnya Federal Bridge CA,
ataupun perpaduan X.509 dengan non-509; proses pembangkitan dengan
menggunakan XML signature dan encryption; dapatdikembangluaskan. Untuk
produk aplikasi yang akan menggunakan spesifikasi XKMS haruslah melakukan
implementasi operasi penandaan ataupun verifikasi paling dasar (basic) dan juga
dapat mengelola kunci-privat yang dimiliki oleh client kemudian dapat melakukan
pembangkitan dan pemrosesan terhadap transaksi-transaksi berbasis XML.
Selain itu, berbeda dengan produk aplikasi pada PKIX, produk aplikasi yang akan
menerapkan XKMS tidak perlu melakukan pemrosesan terhadap protokol ASN.1
ataupun sertifikasi X.509. Dengan bentuk penggunaan XKMS sebagai web
service, maka produk aplikasi “terbebaskan” dari kebutuhan untuk memahami dan
menerapkan PKI tradisional (PKIX) – cukup dengan memanggil dan
menggunakan layanan yang disediakan oleh web service XKMS.

WEB SCIENCE SECURITY

WS-Security atau juga dikenal sebagai Web Service Security Core Language
(WSS-Core) merupakan spesifikasi keamanan Web Service yang mendefinisikan
mekanisme pengamanan pada level pesan SOAP untuk menjamin message
integrity & confidentiality. Standard WS-Security saat ini dikembangkan secara
resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM,
dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service
Security Technical Committee (WSS) melanjutkan pengembangan WS-Security
dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core
Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile.
Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message
Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini
adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token
Profile.

Disamping 2 organisasi tersebut, ada organisasi lain yang juga aktif

mengembangkan standard keamanan Web Service yang disponsori oleh Sun
Microsystem yaitu Liberty Alliance Technology Group. Namun pada akhirnya
lembaga ini juga mengumumkan untuk memfokuskan diri pada pengembangan
spesifikasi WS-Security dan berkerjasama dengan OASIS untuk maksud tersebut.
Dengan demikian, WS-Security akan menjadi standard de-facto untuk
pengamanan Web Service.
Secara umum standard WS-Security (versi orisinal) mendefinisikan suatu
spesifikasi mengenai bagaimana mengamankan pesan SOAP secara end-to-end,
dengan cara menyertakan (attach) digital signature, enkripsi dan security token
pada bagian Header dari pesan SOAP. Spesifikasi WSS-Core versi terbaru
menyediakan 3 mekanisme untuk memproteksi pesan dari ancaman terhadap
upaya gangguan keamanan pesan SOAP, yaitu (1)Kemampuan untuk mengirim
security token sebagai bagian dari pesan SOAP, (2) Message integrity dan (3)
Message confidentiality. Namun demikian, mekanisme tersebut tidak memberikan
solusi keamanan yang lengkap untuk Web Service. Spesifikasi ini merupakan
building block yang digunakan untuk mengakomoda- sikan berbagai variasi
model keamanan dan teknologi kemanan.

Dengan kata lain, WS-Security tidak menspesifikasikan suatu mekanisme

keamanan baru, tetapi menyediakan fleksibilitas untuk menggunaan teknologi
keamanan yang sudah ada (X.509, Karberos, XML Encryption), sehingga dapat
mengakomodasi berbagai pendekatan keamanan secara umum. Hal baru yang
ditambahkan oleh WS-Security adalah suatu spesifikasi untuk

3. Paket Pemgamanan Web

1. Remote File Inklusi (RFI)
Remote File Inklusi (RFI) adalah jenis kerentanan paling sering ditemukan
di situs Web, memungkinkan penyerang untuk menyertakan file jarak jauh yang
biasanya melalui sebuah script di server web. Kerentanan terjadi karena
penggunaan input yang diberikan pengguna tanpa validasi yang tepat. Hal ini
dapat mengakibatkan sesuatu yang minimal keluaran isi file, tetapi tergantung
pada beratnya, untuk daftar beberapa itu bisa mengarah pada:
* Kode eksekusi pada server web
* Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan
lain seperti situs cross scripting (XSS).
* Denial of Service (DoS)
* Pencurian Data / Manipulasi
Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel
eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem, yang
paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian besar
kerentanan dapat dikaitkan dengan programmer pemula tidak akrab dengan semua
kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki direktif
allow_url_fopen dan jika diaktifkan memungkinkan fungsi filesystem untuk
menggunakan URL yang memungkinkan mereka untuk mengambil data dari
lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke
salah satu fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya
dari sumber daya remote. Untuk mengatasi ini, semua input pengguna harus
divalidasi sebelum digunakan.

2. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(),

require(), require_once() yang variabel nya tidak dideklarasikan dengan
sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada
di dalam server yang bersangkutan.

3. SQL injection

SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan

keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika
masukan pengguna tidak benar baik disaring untuk menghindari karakter string
literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik
dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas
yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa
pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL
juga dikenal sebagai serangan penyisipan SQL.
4. Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya
ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk
menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna lain.
Sebuah kerentanan dieksploitasi scripting lintas situs dapat digunakan oleh
penyerang untuk mem-bypass akses kontrol seperti kebijakan asal-usul yang
sama. Cross-site scripting dilakukan di situs Web adalah sekitar 80% dari semua
kerentanan keamanan didokumentasikan oleh Symantec pada 2007. Dampak
beragam, mulai dari gangguan kecil dengan risiko keamanan yang signifikan,
tergantung pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap
mitigasi keamanan dilaksanakan oleh pemilik situs.

Lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan

penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya
dikenakan pada konten web oleh browser modern. Dengan mencari cara suntik
script jahat ke dalam halaman web, penyerang bisa mendapatkan hak akses
diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya
yang dikelola oleh browser atas nama pengguna. serangan Cross-site scripting
Oleh karena itu kasus khusus injeksi kode.

Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan loading

aplikasi, web diserang pihak ketiga dari sebuah situs serangan yang tidak
berhubungan, dengan cara yang mengeksekusi sebuah fragmen JavaScript disusun
oleh penyerang dalam konteks keamanan dari domain yang ditargetkan (a
dipantulkan atau non-persistent kerentanan XSS). Definisi ini secara bertahap
diperluas untuk mencakup modus lain injeksi kode, termasuk vektor persisten dan
non-JavaScript (termasuk Jawa, ActiveX, VBScript, Flash, HTML atau bahkan
murni), menyebabkan kebingungan untuk pendatang baru dalam bidang keamanan
informasi.