Scribd Logo
Unggah

Selamat datang di Scribd!

  • Web Security - Kelompok 5 - SI3907

    Diunggah oleh

    Fadhli Aulia S
    8 tayangan5 halaman

    Judul Asli

    Web Security_Kelompok 5_SI3907.docx

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    8 tayangan5 halaman

    Web Security - Kelompok 5 - SI3907

    Diunggah oleh

    Fadhli Aulia S

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 5

    Nama : Fadhli Aulia S 1202150372

    Zailani Sianabariba 1202154183


    Bagas Saadilah 1202151231

    1. Apa yang dimaksud dengan SSL/TLS ? Jelaskan secara singkat kegunaan dan cara kerja
    Protokol tersebut. Protokol mana yang lebih aman diantara protocol SSL/TLS yang ada?

    2. Jelaskan Threat berikut :


    a. Zero-day Attack
    b. Input validation exploit
    c. Buffer overflow
    d. SQL/XML Injection
    e. Cross Site Scripting (XSS)
    f. Cookies/session hijacking

    3. Cara untuk mengamankan website adalah dengan menerapkan hal berikut.

    1. Secure coding practices


    2. Input validation
    3. Fuzzing
    4. Error / exception handling

    Jelaskan secara singkat.!

    4. Apa yang dimaksud dengan cookies?

    5. Apa yang dimaksud dengan sertifikat dijital dan apa kegunaaannya?


    Jawaban :

    1. SSL (Secure Socket Layer) dan TLS (Transport Layer Security) merupakan protokol
    yang digunakan dalam proses komunikasi antara client-server karena ada proses enkripsi
    didalamnya sehingga tidak dapat disadap.

     SSL menjadi sebuah komponen yang penting pada system . Mekanisme otentikasi
    dasar seperti kredensial login tidak dapat dikirimkan secara plainteks lagi apabila
    menggunakan SSL.

     Authentication – Memastikan bahwa pesan yang diterima dari sumber yang


    terpercaya
     Confidentiality – Adanya enkripsi pada pesan/data yang dikirimkan melalui
    jaringan
     Integrity – Melakukan integrity checking untuk memastikan data/pesan yang
    diterima tidak mengalami perubahan

    Proses kerja SSL terdiri dari 4 layer protokol, yaitu Record Layer Protocol, Change Cipher
    Spec Protocol, Alert Protocol, dan Handshake Protocol.

    Record Layer Protocol : Berfungsi melakukan format pada header pesan yang dikirim
    terhadap layer lainnya, yaitu Alert, ChangeCipherSpec, Handshake, dan Application
    Protocol Message. Header ini berisi Protocol Definition , Protocol Version , dan Length es)

    ChangeCipherSpec Protocol : Berisi pesan yang memberi sinyal untuk sebuah awalan
    dari secure communication antara client dan server. Meskipun protokol ini menggunakan
    format pada record layer, panjang pesan dari ChangeCipherSpec Protocol ini hanya 1 bytes
    dan perubahan sinyal pada protokol komunikasi memiliki nilai 1.

    Alert Protocol – protokol ini bertugas mengirimkan error atau masalah terkait konekrsi
    antara client dan server. Layer ini terdiri dari 2 bagian, yaitu severity level dan alert
    description. Severity level mengirimkan pesan dengan nila “1” (tanda agar client dan
    server memutuskan session dan membangun koneksi lagi menggunkan handshake), dan
    pesan dengan niai “2” (adanya kesalahan alert (fatal alert) yang mengharuskan kedua sisi
    client-server harus memutuskan session). Dan alert description berfungsi untuk
    mendeskripsikan secara spesifik eror yang menyebabkan alert message muncul.

    Handshake Protocol – terjadinya proses pengiriman pesan antara client dan server untuk
    membangun sebuah komunikasi yang aman (secure communication)
     TLS (Transport Layer Security) dirilis pada tahun 1999 dengan tujuan untuk
    menjadi protokol standar komunikasi yang aman. Protokol ini didesain agar
    komunikasi antara client dan server tidak dapat di sadap atau diketahui oleh orang
    lain (tampering, eavesdroping), Adapun tujuan dari dibuatnya TLS ini diantaranya:

     Criptographic security
     Interoperability
     Extensibility
     Relative Efficiency

    Proses Kerja TLS terdiri dari 2 yaitu, TLS Record Protocol dan TLS Handshake Protocol

    TLS Record Protocol : Tugasnya adalah melakukan negoisasi koneksi antara client dan server.
    Meskipun protokol ini bisa digunakan tanpa menggunakan enkripsi namun protokol ini tetap
    menggunakan enkripsi dengan kunci kriptografi simetris untuk memastikan koneksi yang terjalin
    aman. Pengamanan koneksi ini menggunakan fungsi hash yaitu Message Authentication Code.

    TLS Handshake Protocol – Protokol ini akan mengijinkan adanya komunikasi antara client dan
    server apabila sudah ter-otentikasi. Sebelum adanya pengiriman data ada proses untuk
    menyamakan algoritma enkripsi dan kunci yang digunakan. Cara kerja dari proses handshake
    pada TLS ini sama dengan yang terjadi pada SSL.

    2. Zero-day Attack : Serang yang dimana suatu celah keamanan (vulnerability)


    diketemukan dan tidak ada patch yang tersedia .

    Beberapa hal yang bisa dipertimbangkan untuk meminimalisasi serangan yang


    mungkin terjadi.

    Implementasi Network Access Control (NAC).  Network Access Control atau disebut
    juga sebagai Network Admission Control adalah suatu metode untuk membatasi
    akses jaringan Pembatasan jaringan ini bisa dilakukan dengan menggunakan firewall
    ( issal dengan iptable).

    Port Knocking. Mirip kaya ketuk pintu, begitulah port knocking ini berjalan. Dalam
    hal ini semua port pada firewall tertutup. Client melakukan pengetukan melalui UDP
    port dan server mengautentikasi client dan apabila client bisa terauthentikasi maka
    server akan melakukan modifikasi firewall untuk mengijinkan client melakukan
    koneksi.

    Implementasikan IDS/IPS (Intrusion Detection System/Intrusion Prevention System)


    yang akan melakukan pengawasan terhadap aktifitas di jaringan dan memberikan
    laporannya (IDS) atau melakukan tindakan berdasar suatu rule tertentu (IPS).
    Whitelisting bisa secara efektif untuk mencegah terjadinya zero-day attack.
    Whitelisting  hanya akan memberikan akses kepada aplikasi yang telah benar-benar
    diketahui keamanannya.

    Sumber : http://www.mastoyo.com/2011/08/zero-day-attack-aka-zero-day.html

     Input validation exploit adalah serangan ini adalah untuk memanfaatkan hak
    istimewa server web. Jika server web diizinkan untuk menulis ke direktori web
    yang dapat diakses (yang merupakan konfigurasi umum), maka penyerang dapat
    menggunakan hak ini untuk menulis konten seperti skrip PHP atau Perl ke dalam
    direktori web yang dapat diakses kemudian mencari ke skrip baru ini dan
    menggunakannya untuk mengunggah konten baru, mengubah file yang ada, dan
    berinteraksi dengan sistem file.
    Sumber : http://www.madirish.net/152

     Buffer Overvlow : Serangan Buffer overflow terjadi ketika si Attacker


    memberikan input yang berlebihan pada program yang di jalankan, sehingga
    program mengalami kelebihan muatan dan memory tidak dapat
    mengalokasikannya. Ini memberikan kesempatan kepada Attacker untuk menindih
    data pada program dan men-takeover kontroll program yang dieksekusi attacker.

    Sumber : https://logsmylife.wordpress.com/2009/03/31/konsep-buffer-overflow-
    vurnabilities-dan-pencegahannya/

     SQL/XML Injection : Serangan injeksi SQL memungkinkan penyerang untuk


    spoof identitas, mengutak-atik data yang ada, menyebabkan masalah penolakan
    seperti membatalkan transaksi atau mengubah saldo, memungkinkan pengungkapan
    lengkap semua data pada sistem, menghancurkan data atau membuatnya tidak
    tersedia, dan menjadi administrator dari server basis data.
    Sumber : https://en.wikipedia.org/wiki/SQL_injection

     Cross Site Scripting (XSS) : Serangan XSS terjadi ketika penyerang menggunakan
    aplikasi web untuk mengirim kode berbahaya, umumnya dalam bentuk skrip sisi
    browser, ke pengguna akhir yang berbeda. Cacat yang memungkinkan serangan ini
    berhasil cukup luas dan terjadi di mana saja aplikasi web menggunakan input dari
    pengguna dalam output yang dihasilkannya tanpa memvalidasi atau menyandikannya.

    Data memasuki aplikasi Web melalui sumber yang tidak tepercaya, paling sering
    berupa permintaan web.

    Data termasuk dalam konten dinamis yang dikirim ke pengguna web tanpa divalidasi
    untuk konten berbahaya.

    Sumber : https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
     Cookies/session hijacking : Serangan untuk mendapatkan akses tidak sah ke informasi
    atau layanan dalam sistem komputer. dan khususnya yang tujuan utama untuk
    pencurian Cookies untuk mengautentikasi pengguna ke server jarak jauh.
    Sumber : https://en.wikipedia.org/wiki/Session_hijacking

    3. asd

    4. Cookie adalah serangkaian teks yang disimpan pada komputer Anda oleh situs web
    yang Anda kunjungi. Pada umumnya cookie menyimpan pengaturan atau preferensi
    Anda untuk suatu situs web tertentu, misalnya bahasa yang dipilih, atau lokasi (negara)
    Anda.

    5. Sertifikat Digital adalah paket data yang mengidentifikasikan sesuatu yang sungguh-
    sungguh ada secara lengkap, dan dikeluarkan oleh CA hanya setelah orang yang
    berwewenang telah memeriksa identitas entity.

    Fungsi Digital Certificate


    Sertifikat digital memiliki dua fungsi dasar,yaitu:
             Untuk menyatakan  bahwa orang-orang, website, dan sumber daya jaringan seperti server
    dan router merupakan  sumber terpercaya,  dengan kata lain sesuai dengan siapa atau apa
    yang menjadi tuntutan  mereka.
             Untuk memberikan perlindungan bagi pertukaran data dari  pengunjung dan website
    dari gangguan atau bahkan pencurian, seperti informasi kartu kredit.

    Anda mungkin juga menyukai