Anda di halaman 1dari 5

UJIAN TENGAH SEMESTER

Mata Kulia : E- Commerce

Dosen : Dr. Hari

Dibuat Oleh : Amat Damuri

Nim : Dibuat oleh: 0401 2222 1049


Permasalahan
SQL injection dan cross-site scripting adalah dua kerentanan keamanan yang paling umum yang
mengganggu aplikasi web saat ini. Ini dan banyak lainnya hasil dari memiliki data jangkauan
masukan operasi keamanan-sensitif dicentang. Makalah ini menjelaskan bahasa yang disebut
PQL (Program Query Language) yang memungkinkan pengguna untuk menyatakan untuk
menentukan pola arus informasi ringkas dan declaratively. Kami telah mengembangkan statis
konteks-sensitif, namun aliran-sensitif informasi analisis pelacakan aliran yang dapat digunakan
untuk menemukan semua kerentanan dalam program. Dalam hal analisis menghasilkan terlalu
banyak peringatan, hasilnya dapat digunakan untuk menggerakkan sistem modelchecking untuk
menganalisis lebih tepat. Model pemeriksaan juga digunakan untuk secara otomatis
menghasilkan vektor masukan yang mengekspos kerentanan. Setiap perilaku yang tersisa ini
analisis statis tidak terisolasi dapat diperiksa secara dinamis. Hasil analisis statis dapat digunakan
untuk mengoptimalkan pemeriksaan ini dinamis. Hasil percobaan kami menunjukkan bahasa
cukup ekspresif untuk menggambarkan sejumlah besar kerentanan ringkas. Kami telah
menganalisis lebih dari sembilan aplikasi, mendeteksi 30 vulnerabilities. keamanan serius juga
mampu secara otomatis pulih dari serangan karena mereka terjadi menggunakan checker
dinamis. Aplikasi web dari e-commerce, online banking, kolaborasi perusahaan, dan situs
manajemen Supplai chain yang ada menyimpulkan bahwa pada sedikitnya 92% dari aplikasi
Web yang rentan terhadap beberapa bentuk serangan . Survei lain menemukan bahwa sekitar
75% dari semua serangan terhadap server web menargetkan aplikasi berbasis web. Banyak
kerentanan dalam aplikasi web disebabkan dengan mengizinkan masukan dicentang untuk mengambil
kontrol aplikasi, yang seorang penyerang akan beralih ke tujuan yang tidak diharapkan. SQL injeksi
adalah salah satu lima ancaman eksternal atas ke sistem TI perusahaan . melalui SQL
injeksi , penyerang dapat memperkenalkan kondisi tambahan atau perintah untuk query database,
sehingga memungkinkan penyerang untuk memotong otentikasi atau bahkan mengubah atau
menghancurkan data. Dalam cross-site scripting (XSS), salah satu kerentanan teratas dalam dua tahun
terakhir. penyerang bisa mengelabui korban agar mengklik URL yang mengambil alih browser. Dalam
apa yang disebut "serangan refleksi. XSS digunakan oleh phisher untuk menyuntikkan kode mencuri-
credential ke situs resmi tanpa harus benar-benar meniru situs dia berharap untuk menembus.
Keamanan aplikasi web ini telah menjadi semakin penting dalam decade . Dengan terakhir lebih dan
berbasis pada aplikasi web lebih menangani data keuangan dan medis yang sensitif, sangat penting untuk
melindungi aplikasi ini dari serangan hacker. Sebuah penilaian tentang pertahanan keamanan oleh Pusat
Aplikasi, yang mencakup lebih dari 250.

Solusi
SiteLock secara automatis memproteksi dan melakukan Scan terhadap celah-celah yang tidak
aman pada web anda seperti terdapat suatu script yang tidak aman dan memungkinkan bagi
malware/virus untuk menyerang website anda (istilahnya: website vulnerabilities). SiteLock
secara automatis memproteksi dan melakukan Scan terhadap celah-celah yang tidak aman pada
web anda seperti terdapat suatu script yang tidak aman dan memungkinkan bagi malware/virus
untuk menyerang website anda (istilahnya: website vulnerabilities).

Didalam prosesnya sitelock melakukan 3 hal penting ;

 Langkah 1 : Business Verification, adalah tahapan awal memverifikasi bisnis anda


seperti Telepon, Email dan alamat.
 Langkah 2 : 360 Degree Scan Technology, Adalah tahapan melakukan scanning seluruh
website anda dari celah-celah berbahaya untuk malware/virus, celah untuk spammer dan
berbagai hal lainnya untuk website vulnerabilities.
 Langkah 3 : Trusted Reputation, dimana pemilik website menampilkan sertifikat
lambang/logo dari Sitelock ( SiteLock certificate), hal ini sangat penting sebagai usaha
pemberitahuan kepada pengunjung bahwa website anda telah mendapatkan verifikasi
untuk keamanan dan kenyamanan dalam bertransaksi.

Hasilnya

1. Mengintegrasikan Analisis Statis dan Dinamis

Dari permintaan PQL, sistem kami secara otomatis menghasilkan satu set analisis statis dan
dinamis pelengkap untuk mendeteksi pertandingan dengan spesifikasi arus informasi. Sistem
kami memanfaatkan tiga macam teknik analisis untuk membantu pengguna melacak arus
informasi. Suara informasi pelacak statis menggunakan konteks-sensitif Analisis alias pointer.
Analisis arus informasi suara menantang karena benda yang membawa informasi dapat
dilewatkan sekitar sebagai referensi tumpukan dan parameter metode seluruh program. Kami
telah mengembangkan suatu informasi yang akurat pelacakan analisis berdasarkan konteks-
sensitif, aliran-sensitif analisis pointer alias . Query PQL secara sistematis diterjemahkan ke
dalam permintaan Datalog, bahasa pemrograman logika untuk sistem deduktif untuk
menerjemahkan Datalog query ke BDD operasi-representasi BDD memungkinkan untuk
mengkodekan banyak eksponensial panggilan konteks dalam aplikasi Java yang besar singkat
[42]. Dalam kasus di mana analisis statis menghasilkan terlalu banyak kesalahan yang potensial
untuk menganalisa. Kami menunjukkan bahwa kita dapat memanfaatkan penggunaan kerangka
umum untuk menghasilkan tool pemrograman yang kuat. Kami telah mengembangkan sebuah
model checker, disebut QED (Direktur Event-based Query). Model ini checker dirancang untuk
aplikasi web dibangun di atas servlet, JSP, dan Apache Struts:
Kerentanan ditemukan di 9 aplikasi web yaitu : Program sql injection Http Splitting Cross site
scripting Pat traversal Total errors
Jboard, blueblog, webgoat,blojsom,persoanalblog, Snipsnap, road2hibernate, pebble, ruller.
Untungnya, optimizer statis efektif menghilangkan instrumentasi pada panggilan ke rutinitas
pengolahan string yang tidak di jalan dari input pengguna untuk mengakses database.
Pemanfaatan Informasi pointer secara dramatis mengurangi baik jumlah titik instrumentasi dan
overhead dari sistem. Penurunan jumlah instrumentasi poin karena optimasi statis dapat setinggi
97% di roller dan 99% di personalblog. Penurunan dalamjumlah instrumentasi menunjukkan
hasil dalam overhead yang lebih kecil. Untuk Misalnya, dalam WebGoat, biaya overhead yang
dipotong hampir setengah dalam dioptimalkan versi.
2. Pelacakan di tingkat objek arus informasi statis sekarang mungkin
untuk aplikasi kehidupan nyata berkat contextsensitive kuat Analisis alias pointer. Kami
menunjukkan bahwa hal itu dapat digunakan langsung untuk membuktikan fakta-fakta
tertentu seperti tidak adanya kerentanan keamanan dalam program, atau untuk mengurangi
overhead model pemeriksaan dan analisis dinamis. Ini hanya awal, sebagai perbaikan masih
diperlukan untuk meningkatkan akurasi dan skalabilitas analisis konteks-sensitif statis.
3. Penggunaan komponen, perpustakaan, kerangka kerja telah sangat dipercepat
pengembangan perangkat lunak. Kami berharap bahwa lebih alat kerangka kerja khusus,
seperti QED Model checker, akan dikembangkan untuk membantu programmer dengan
tidak hanya pembangunan, tetapi debugging dan evolusi perangkat lunak.