0 penilaian0% menganggap dokumen ini bermanfaat (0 suara)
3 tayangan2 halaman
Dokumen tersebut memberikan penjelasan tentang cara pencegahan serangan terhadap keamanan informasi seperti SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), dan serangan terhadap Web Server. Metode pencegahannya meliputi validasi input pengguna, penggunaan prosedur terenkripsi, pembatasan akses, dan pengaturan kebijakan keamanan situs seperti Content Security Policy.
Dokumen tersebut memberikan penjelasan tentang cara pencegahan serangan terhadap keamanan informasi seperti SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), dan serangan terhadap Web Server. Metode pencegahannya meliputi validasi input pengguna, penggunaan prosedur terenkripsi, pembatasan akses, dan pengaturan kebijakan keamanan situs seperti Content Security Policy.
Dokumen tersebut memberikan penjelasan tentang cara pencegahan serangan terhadap keamanan informasi seperti SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), dan serangan terhadap Web Server. Metode pencegahannya meliputi validasi input pengguna, penggunaan prosedur terenkripsi, pembatasan akses, dan pengaturan kebijakan keamanan situs seperti Content Security Policy.
1. Jelaskanlah cara pencegahan terhadap serangan SQL Injection
Jawab : 1. Jangan berasumsi tentang ukuran, jenis, atau konten data yang diterima oleh aplikasi Anda 2. Uji ukuran dan tipe data yang dimasukkan dan terapkan batasan yang sesuai untuk mencegah buffer overruns 3. Uji konten dari variabel string dan terima konten hanya dari isi data yang diharapkan 4. Tolak pengisian menggunakan data biner, escape sequence, dan karakter komentar 5. Jangan pernah membuat pernyataan Transact-SQL langsung dari input pengguna dan gunakan prosedur yang tersimpan untuk memvalidasi input pengguna 6. Terapkan beberapa lapisan validasi dan jangan pernah menggabungkan input pengguna yang tidak divalidasi 2. Jelaskanlah cara pencegahan terhadap serangan Cross Site Scripting (XSS) Jawab : 1. Validasi semua header, cookie, string query, bagian formulir, dan bagian tersembunyi (yaitu, semua parameter) terhadap spesifikasi yang ketat 2. Gunakan alat pengujian secara ekstensif selama fase perancangan untuk menghilangkan lubang XSS seperti itu dalam aplikasi 3. Gunakan firewall aplikasi web untuk memblokir eksekusi skrip berbahaya 4. Ubah semua karakter non-alfanumerik menjadi entitas karakter HTML sebelum menampilkan input pengguna di mesin telusur 3. Jelaskanlah cara pencegahan terhadap serangan Cross Site Request Forgery (CSRF) Jawab : 1. Website beralih dari metoda persistent authentication (menggunakan otentikasi dengan cookie atau HTTP) ke metoda transient authentication (menggunakan hidden field oleh setiap form). 2. Menyertakan token user-specific rahasia yang ditambahkan ke cookie. 3. Meskipun cross-site request forgery pada dasarnya adalah masalah dengan aplikasi web, user dapat membantu melindungi accountnya dengan logoff site sebelum mengunjungi yang lain atau membersihkan cookie browsernya pada akhir session browser. 4. Menggunakan SSL (Secure Socket Layer) and TLS (Transport Layer Security) encryption ketika berurusan dengan data yang sensitive. 5. Setting dan restrict security terkait header HTTP, diantaranya Mengatur Content-Security-Policy, Menonaktifkan X-Powered-By, Mengatur Strict-Transport-Security, Mengatur X-XSS-Protection. 4. Jelaskanlah cara pencegahan terhadap serangan terhadap Web Server. Jawab : 1. Terapkan ACL terbatas dan blokir administrasi registri jarak jauh. 2. Amankan SAM (server yang berdiri sendiri saja). 3. Pastikan bahwa pengaturan terkait keamanan dikonfigurasi dengan tepat dan akses ke file metabase dibatasi dengan izin NTFS yang diperkeras. 4. Hapus filter Internet Server Application Programming Interface (ISAPI) yang tidak perlu dari server web. 5. Hapus semua pembagian file yang tidak perlu termasuk pembagian administrasi default, jika tidak diperlukan. 6. Amankan share dengan izin NTFS terbatas. 7. Pindahkan situs dan direktori virtual ke partisi non-sistem dan gunakan izin web IIS untuk membatasi akses. 8. Hapus semua pemetaan skrip IIS yang tidak perlu untuk ekstensi file opsional untuk menghindari eksploitasi bug apa pun di ekstensi ISAPI yang menangani jenis file ini.