NPM : TI1401014
Soal!
Keamanan web atau web security adalah suatu proses untuk mengamankan
suatu web. Proses ini berupa suatu mekanisme yang bekerja untuk mencegah
akses dan modifikasi oleh user yang tidak dikenal, terhadap data-data dari web
yang tersimpan secara online. Celah keamanan pada aplikasi berbasis web yang
telah di sebutkan oleh (OWASP) Open Web Application Security Project adalah
project open source yang dibangun untuk menemukan penyebab dari tidak
Abstrak
password, informasi kartu kredit, dan yang lain. Dikarenakan item-item tersebut
pengaksesan secara langsung. Akan tetapi beberapa metode enkripsi yang lemah
pada user object. Akan tetapi, aplikasi menyimpan user objek ke dalam session
setelah user login. Permasalahan yang akan muncul pada skenario ini adalah
password dapat dilihat oleh seseorang yang dapat melihat session user tersebut.
Environments Affected
dukungan kriptografi. Dalam kasus yang jarang terjadi, dukungan semacam itu
belum tersedia, ada beragam produk pihak ketiga yang dapat ditambahkan. Hanya
bahwa bagian ini tidak mencakup penggunaan SSL, yang tercakup dalam
cookies dan kredensial lainnya untuk melihat apakah mereka jelas tidak acak.
Sejauh ini pendekatan yang paling mudah adalah meninjau ulang kode untuk
Peninjau harus memiliki latar belakang yang kuat dalam penggunaan kriptografi
dan kelemahan umum. Peninjauan juga harus mencakup bagaimana kunci, kata
kunci, dan rahasia lainnya disimpan, dilindungi, dimuat, diproses, dan dihapus
dari memori.
How to Protect Yourself
nomornya. Selain itu, alih-alih menyimpan kata sandi terenkripsi, gunakan fungsi
hash satu arah baru-baru ini (seperti SHA-256) untuk hash kata kunci.
pengawasan publik dan pastikan tidak ada kerentanan terbuka. Enkapsulasi fungsi
kriptografi yang digunakan dan mengkaji ulang kode dengan saksama. Pastikan
rahasia, seperti kunci, sertifikat, dan kata sandi, disimpan dengan aman. Untuk
menyulitkan penyerang, rahasia utama harus dibagi menjadi setidaknya dua lokasi
dan dirakit saat runtime. Lokasi seperti itu mungkin termasuk file konfigurasi,
Keamanan Web memang tidak selalu aman, pasti ada celah yang dapat
atribut dari kelas yang mewakili informasi user. Daripada mengenkripsi nomor
kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali
dibutuhkan.
Selain itu, menggunakan algoritma enkripsi yang sudah ada akan lebih baik
akan digunakan telah diakui oleh public dan benar-benar dapat dilaksanakan.
Serangan Injeksi Terhadap Aplikasi Web
(Injection Flaws)
Abstraksi
web melalui jaringan internet. Jenis-jenis aplikasi web sangat beragam, seperti
sosial media, toko online dan website yang berisi informasi yang dalam beberapa
tahun terakhir menjadi target serangan cracker. Adapun ancaman yang sering
keamanan yang terjadi dalam lapisan basis data dengan cara memodifikasi
yang terjadi dalam lapisan basis data dengan cara memodifikasi perintah SQL
melalui halaman masuk pada suatu situs. Hal ini dikarenakan tidak adanya
penanganan terhadap karakter-karakter tanda petik tunggal (‘) dan juga karakter
Dengan cara ini penyerang hanya ingin menyelidiki aplikasi web hanya untuk
SQLIA.
Penyerang ingin menemukan jenis dan versi database yang aplikasi web
terhadap query dan serangan, dan informasi ini dapat digunakan untuk “sidik
jari” database. Mengetahui jenis dan versi database yang digunakan oleh
spesifik.
3. Determining database schema
perlu mengetahui informasi skema database, seperti nama tabel, nama kolom,
4. Extracting data
dari database, tergantung pada jenis aplikasi web. Informasi ini bisa menjadi
sensitif dan sangat diinginkan untuk penyerang. Serangan dengan maksud ini
Tujuan dari serangan ini adalah untuk menambah atau mengubah informasi
dalam database.
Serangan ini dilakukan untuk menutup database dari aplikasi web, sehingga
7. Evading detection
Kategori ini mengacu pada teknik serangan tertentu yang digunakan untuk
8. Bypassing authentication
Tujuan dari serangan jenis ini adalah untuk memungkinkan penyerang untuk
pada database. Perintah ini disimpan di prosedur atau fungsi yang tersedia
Select id, name, email, password, type, block, from user where email =
“or” = “and password = “or” = “
Maka dilakukan perubahan script menjadi :
melihat input box yang tidak bisa di injek dengan perintah yang panjang.
3. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip
4. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server
yang berjalan.
6. Ubah “Startup and run SQL Server” menggunakan low privilege user di
Kesimpulan
Injeksi merupakan salah satu teknik dalam melakukan web hacking untuk
dalam mengolah suatu sistem database. Hasil yang ditimbulkan dari teknik ini
karakter tanda petik satu dan juga karakter double minus yang menyebabkan suatu
yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga
Bruce Schneier, “Applied Cryptography”, 2nd edition, John Wiley & Sons, 1995
https://www.owasp.org/index.php/Insecure_Storage/
https://www.owasp.org/index.php/OWASP_Guide_Project/
http://www.binushacker.net/pengertian-tutorial-tools-sql-injection-cara-
kumpulan-software-sql-injection.html
https://prezi.com/2e202zj4qz8f/website-security/
http://www.iosrjournals.org/iosr-jce/papers/vol1-issue5/D0151320.pdf?id=2162/
http://www.mncplay.id/uploads/pdf/1dv0fhi2719_03_14_02_20_17.pdf
https://id.wikipedia.org/wiki/Injeksi_SQL/
https://microcyber2.com/pengertian-teknik-sql-injection-dan-cara-mencegah-sql-
injection/