Pengenalan Website Application Firewall: Solusi Efektif

dalam Melawan Ancaman Cyber pada Website

Disusun oleh Muhammad Ammar Murtaqib (18220072)

Sistem dan Teknologi Informasi, Sekolah Teknik Elektro dan Informatika, Institut
Teknologi Bandung
E-mail: 18220072@std.stei.itb.ac.id

Abstrak
Keamanan website menjadi perhatian utama dalam menghadapi ancaman cyber yang terus
berkembang. Website Application Firewall (WAF) telah digunakan sebagai solusi yang efektif
dalam melindungi website dari berbagai serangan dan ancaman keamanan. Makalah ini
memberikan pengenalan tentang Website Application Firewall beserta keamanan website secara
umum. Selain itu, makalah ini membahas konsep dasar WAF, menjelaskan prinsip kerjanya, dan
manfaat penggunaannya. Risiko dan kebutuhan penggunaan WAF juga dipaparkan dengan rinci
dalam makalah ini. Dengan pemahaman yang lebih mendalam tentang WAF, diharapkan
pembaca dapat mengenal manfaat WAF dalam melindungi aplikasi website dari ancaman
keamanan yang terus berkembang.

Kata kunci: keamanan website, Web Application Firewall

I. PENDAHULUAN
1.1. Latar Belakang
Dalam era digital yang terus berkembang, website telah menjadi salah satu aspek penting
dalam berbagai aktivitas online, termasuk bisnis, layanan publik, komunikasi, dan
hiburan. Namun, semakin kompleksnya ekosistem digital juga membawa risiko
keamanan yang serius bagi website. Ancaman cyber seperti serangan hacking, serangan
DDoS, peretasan data, dan penyalahgunaan informasi pribadi semakin meningkat dalam
tingkat kecanggihan dan kerusakan yang ditimbulkan.

Mengingat pentingnya keamanan website, organisasi dan individu harus melindungi

infrastruktur dan data mereka dengan solusi yang efektif. Salah satu solusi yang semakin
populer adalah Website Application Firewall (WAF). WAF adalah lapisan keamanan
tambahan yang ditempatkan di antara pengguna internet dan server website, yang
berfungsi untuk mengidentifikasi, memonitor, dan melindungi website dari berbagai
serangan yang ditujukan pada aplikasi website.

Namun, meskipun WAF memiliki potensi untuk memberikan perlindungan yang kuat
terhadap serangan cyber, pemahaman yang komprehensif tentang konsep, cara kerja, dan
 manfaatnya penting untuk memastikan penerapan dan penggunaan yang efektif. Oleh
karena itu, makalah ini bertujuan untuk memberikan pengenalan yang jelas dan
mendalam tentang Website Application Firewall (WAF) sebagai solusi efektif dalam
melawan ancaman cyber pada website. Dengan memahami konsep dan fungsi WAF,
pengguna dapat mengambil langkah-langkah yang tepat untuk meningkatkan keamanan
website.

1.2. Tujuan Penulisan Makalah

Tujuan utama penulisan makalah ini dijabarkan dalam poin-poin di bawah ini, yaitu:
1. Memberikan pemahaman dasar tentang konsep Website Application Firewall
(WAF) sebagai solusi efektif dalam melawan ancaman cyber pada website.
2. Menggambarkan peran dan manfaat WAF dalam meningkatkan keamanan dan
melindungi aplikasi website dari berbagai serangan yang ditujukan pada
infrastruktur website.
3. Memaparkan risiko dan kebutuhan yang perlu diperhatikan saat akan
menggunakan WAF

II. PENGANTAR KEAMANAN WEBSITE

2.1. Pengertian Keamanan Website
Dalam makalah ini, pengertian dari keamanan website adalah upaya yang dilakukan
untuk melindungi website dari serangan dan ancaman cyber yang berpotensi merusak
atau mengakibatkan kerugian pada sistem, data, dan informasi yang ada di dalamnya.
Tujuan utama keamanan website adalah memastikan kerahasiaan, integritas, dan
ketersediaan data yang ada di dalamnya.

Keamanan website melibatkan berbagai langkah dan strategi untuk mencegah,

mendeteksi, dan merespons serangan yang mungkin terjadi. Adapun aspek-aspek
keamanan website seperti autentikasi pengguna, otorisasi tingkat akses, enkripsi data,
proteksi terhadap serangan, pemantauan dan deteksi serangan, serta pemulihan setelah
serangan.

2.2. Ancaman terhadap Keamanan Website

WAF dapat mencegah serangan di lapisan aplikasi yang biasanya memotong firewall
jaringan, diantaranya :
1. Serangan Cross-site scripting (XSS), memungkinkan penyerang menyuntikkan
dan mengeksekusi skrip berbahaya di browser pengguna lain.
2. Serangan Structured Query Language (SQL) Injection, Penyerang mengakses dan
mengubah datadata sensitif di aplikasi yang menggunakan database SQL.
 3. Web Session Hacking, memungkinkan penyerang membajak ID dan menyamar
sebagai pengguna yang berwenang. ID sesi biasanya disimpan dalam cookie atau
Uniform Resource Locator (URL).
4. Serangan Distributed Denial of Service (DDoS), Membanjiri lalu-lintas jaringan
sehingga server lumpuh dan tidak dapat melayani.
5. Serangan DoS Layer 7, membanjiri server website dengan aktivitas aplikasi
rekursif
6. Buffer Overflow, input pengguna yang menimpa kode dalam memori.
7. Cookie Poisoning, mengubah nilai parameter yang disimpan dalam cookie untuk
merusak data yang dikirimkan di antara halaman website.[3]

Salah satu ancaman yang umum terhadap keamanan website adalah serangan hacking.
Penyerang dapat mencoba untuk mendapatkan akses tidak sah ke sistem website dengan
mencari celah keamanan, menggunakan serangan brute force, atau memanfaatkan
kerentanan perangkat lunak. Serangan hacking dapat merusak data, mengubah konten
website, atau mencuri informasi sensitif.

Serangan DDoS juga merupakan ancaman yang sering dihadapi oleh website. Dalam
serangan DDoS, penyerang mengirimkan lalu lintas data yang sangat tinggi ke server
website dengan tujuan mengganggu ketersediaannya. Hal ini dapat menyebabkan website
menjadi tidak responsif atau bahkan mati sementara waktu, mengganggu pengalaman
pengguna dan berpotensi merugikan reputasi bisnis.

Ancaman lainnya adalah serangan malware, di mana perangkat lunak berbahaya

ditanamkan ke dalam sistem website. Malware dapat mencuri data, merusak sistem, atau
memberikan akses tidak sah ke website. Serangan injeksi juga termasuk dalam ancaman
ini, di mana kode berbahaya disisipkan ke dalam input yang diterima oleh aplikasi web.

Aplikasi website terdiri dari beberapa komponen yang menjadi satu kesatuan fungsi. Hal
ini yang menyebabkan aplikasi website memiliki kerentanan yang mungkin menimbulkan
masalah keamanan. Secara umum, ada tiga jenis kerentanan keamanan dalam aplikasi
web pada tingkat yang berbeda: pertama kerentanan pada validasi input (tingkat request
ke sistem), kerentanan manajemen sesi komunikasi (tingkat session), dan kerentanan
pada tingkat aplikasi [5].

2.3. Peran Website Application Firewall dalam Keamanan Website

Manfaat utama WAF adalah perlindungan aplikasi website yang lengkap dan produktif
pada tingkat aplikasi tanpa harus mengubah aplikasi itu sendiri. WAF juga menyediakan
mekanisme keamanan proaktif seperti enkripsi URL atau site usage enforcement, untuk
 meminimalkan area serangan dengan upaya sesedikit mungkin. Selain itu, penggunaan
WAF meningkatkan keamanan aplikasi website terhadap serangan eksternal [1].

Website Application Firewall (WAF) memainkan peran yang sangat penting dalam
meningkatkan keamanan website. WAF berfungsi sebagai penghalang perlindungan
antara pengguna dan server website, menjaga website dari ancaman cyber. Berikut adalah
beberapa peran penting yang dimainkan oleh WAF dalam keamanan website:

Pertama, WAF memberikan perlindungan terhadap serangan berbasis website. WAF

dirancang khusus untuk mengidentifikasi dan memblokir serangan website umum seperti
SQL injection, Cross-Site Scripting (XSS), dan serangan injeksi lainnya. Dengan
menerapkan aturan dan filter yang cerdas, WAF dapat mendeteksi pola serangan yang
mencurigakan dan mencegahnya agar tidak mencapai server website.

Kedua, WAF membantu melindungi website dari kerentanan perangkat lunak dengan
melakukan filterisasi terhadap input yang masuk. Dengan memeriksa dan membersihkan
input yang berpotensi berbahaya, seperti skrip atau kode berbahaya, WAF dapat
mencegah serangan yang dapat dieksploitasi melalui celah keamanan pada perangkat
lunak website.

Ketiga, WAF juga memungkinkan pengendalian akses. WAF memantau dan mengatur
akses pengguna ke website dengan memvalidasi setiap permintaan yang masuk. Dengan
menerapkan kebijakan akses yang ketat, WAF memastikan bahwa hanya pengguna yang
sah dan memiliki hak akses yang sesuai yang dapat mengakses bagian-bagian tertentu
dari website. Hal ini membantu mencegah serangan dan melindungi data sensitif dari
akses yang tidak sah.

Dengan berperan sebagai lapisan pertahanan tambahan, WAF membantu melindungi

website dari berbagai serangan dan ancaman cyber. Dengan kemampuan yang
dimilikinya, WAF meningkatkan tingkat keamanan website, mengurangi risiko, dan
melindungi data website.

III. KONSEP DASAR WEBSITE APPLICATION FIREWALL

3.1. Definisi Website Application Firewall
Dalam makalah ini, definisi dari Website Application Firewall (WAF) adalah sebuah
solusi keamanan yang dirancang untuk melindungi aplikasi website dari serangan yang
dilakukan melalui internet.

Web Application Firewall (WAF) digunakan untuk menyaring, memantau, dan

memblokir lalu lintas HTTP ke dan dari aplikasi website. WAF dibedakan dari firewall
 biasa karena WAF mampu menyaring konten aplikasi website tertentu sementara firewall
biasa berfungsi sebagai gerbang pengaman antar server. Dengan memeriksa lalu lintas
HTTP, ini dapat mencegah serangan yang berasal dari kelemahan keamanan aplikasi
website, seperti SQL Injection, cross-site scripting (XSS), file inclusion, dan kesalahan
konfigurasi keamanan[3].

3.2. Prinsip Kerja Website Application Firewall

Konsep di balik Web Application Firewall (WAF) sangat mirip dengan bagaimana
firewall tradisional bekerja. Firewall bekerja berdasarkan suatu set aturan yang
dikonfigurasi pada firewall atau yang disebut dengan rule. Aturan ini yang selektif
mengizinkan atau menolak lalu lintas jaringan. Aturan pada WAF secara khusus
dirancang untuk menyaring lalu lintas jaringan dengan menggunakan protokol HTTP.
Aturan ini juga mampu mendeteksi serangan umum, seperti probe (upaya mendapatkan
informasi awal sebelum melakukan serangan) dari serangan SQL injection dan upaya
XSS[4]. Cara kerja WAF dapat dilihat pada gambar di bawah ini.

Gambar 1. Skema Web Server dengan WAF [4]

Secara umum, WAF bertugas untuk memantau lalu lintas HTTP/HTTPS yang masuk dan
keluar dari aplikasi web. Hal ini dilakukan dengan menggunakan berbagai teknik seperti
inspeksi permintaan (request) dan respon (response), analisis protokol, serta penerapan
aturan keamanan yang telah ditentukan. Dengan melakukan pemeriksaan ini, WAF dapat
mengidentifikasi dan memblokir serangan berbasis website.
 WAF bekerja dengan cara memeriksa setiap permintaan yang masuk ke aplikasi website
dan membandingkannya dengan serangkaian aturan keamanan yang telah ditetapkan.
Aturan ini mencakup pola serangan yang umum, tanda-tanda serangan yang
mencurigakan, atau peraturan akses yang ketat. Jika permintaan yang masuk melanggar
aturan-aturan tersebut, WAF akan mengambil tindakan yang sesuai, seperti memblokir
permintaan tersebut atau memberikan tanggapan palsu.

3.3. Manfaat Pemahaman tentang Website Application Firewall

Web Application Firewall punya tugas untuk melindungi adanya paparan data yang tidak
memiliki otoritas di situs website atau aplikasi. Oleh karena itu, penggunaan Web
Application Firewall akan sangat bermanfaat bagi bisnis online dalam bentuk apa pun,
khususnya e-commerce yang notabene membutuhkan keamanan sempurna agar data
pribadi penggunanya bisa terlindungi dengan aman. Hal ini disebabkan informasi
pelanggan sangat rentan terhadap serangan para peretas. Apabila sebuah perusahaan
mengalami serangan siber berskala besar, ini bisa merugikan perusahaan tidak hanya
pada sisi bisnis, tapi juga kepercayaan pelanggan yang akan menjadi taruhannya[2].

Web Application Firewall akan membantu perusahaan Anda terhindar dari kerugian
besar-besaran. Web Application Firewall akan melindungi semua traffic yang masuk dan
keluar dari website perusahaan Anda. Penggunaan Web Application Firewall bisa
menyaring traffic website yang berbahaya, dan ini jelas memungkinkan Anda secara
manual bisa memilih siapa yang harus diblokir atau tidak[2].

Pemahaman yang baik tentang Website Application Firewall (WAF) memiliki sejumlah
manfaat yang signifikan dalam melindungi website dari ancaman cyber. Pertama-tama,
pemahaman yang mendalam tentang cara kerja dan fitur-fitur perlindungannya
memungkinkan organisasi untuk membangun lapisan pertahanan yang kuat dan efektif.
Dengan pemahaman ini, organisasi dapat mengidentifikasi serangan yang ditujukan pada
aplikasi website dan mengambil langkah-langkah yang diperlukan untuk mencegahnya.
WAF memungkinkan deteksi dan penanganan serangan dengan lebih efisien, mengurangi
potensi kerusakan dan dampak yang ditimbulkan.

Selanjutnya, pemahaman tentang WAF juga memberikan manfaat dalam bentuk

perlindungan terhadap data dan informasi yang disimpan di dalam website. Dengan
menggunakan WAF, organisasi dapat mengidentifikasi serangan yang berpotensi mencuri
atau merusak data sensitif. WAF juga dapat mencegah akses yang tidak sah ke informasi
penting, melindungi privasi pengguna dan mematuhi kebijakan keamanan data yang
berlaku.
 Manfaat lain dari pemahaman tentang WAF adalah dalam mencegah kerugian finansial.
Serangan cyber pada website dapat menyebabkan kerugian finansial yang signifikan
melalui pencurian data, penipuan, atau gangguan layanan. Dengan pemahaman yang baik
tentang WAF, organisasi dapat menerapkan langkah-langkah perlindungan yang tepat,
mengurangi risiko keuangan, dan menjaga kestabilan operasional bisnis.

Selain manfaat finansial, pemahaman tentang WAF juga berdampak pada reputasi dan
kepercayaan pelanggan. Dengan memiliki website yang aman dan bebas dari serangan,
organisasi dapat meningkatkan reputasi mereka dan membangun kepercayaan pelanggan.
Pelanggan akan merasa lebih nyaman dan percaya untuk berinteraksi dengan website
yang terlindungi dengan baik, meningkatkan loyalitas dan kepuasan pelanggan.

Terakhir, pemahaman tentang WAF juga berdampak pada kepatuhan terhadap regulasi
keamanan data dan privasi yang berlaku. Dalam banyak kasus, implementasi WAF
menjadi salah satu langkah yang diperlukan untuk memenuhi persyaratan kepatuhan.
Dengan memahami persyaratan dan regulasi yang berlaku, organisasi dapat
mengkonfigurasi WAF sesuai dengan kebutuhan kepatuhan, menjaga keamanan dan
integritas data.

3.4. Risiko dan Kebutuhan Penggunaan Website Application Firewall

Beberapa risiko dan kebutuhan yang perlu diperhatikan saat akan menggunakan WAF,
yaitu:
1. Meningkatnya kompleksitas infrastruktur TI
2. Perlu diadakannya Pelatihan WAF dan penyesuaian dengan organisasi.
3. Perlu melakukan pengujian WAF pada aplikasi website.
4. Kemungkinan terjadinya troubleshooting yang lebih kompleks[1].

Penggunaan Website Application Firewall (WAF) tidaklah tanpa risiko dan kebutuhan
yang perlu dipertimbangkan dengan baik. Salah satu risiko yang perlu diperhatikan
adalah meningkatnya kompleksitas infrastruktur TI. Dengan mengimplementasikan WAF,
akan ada tambahan komponen yang harus dikelola, sehingga infrastruktur IT menjadi
lebih kompleks. Selain itu, diperlukan pelatihan khusus bagi tim yang akan
mengoperasikan WAF dan penyesuaian dengan kebutuhan organisasi. Pelatihan ini
penting agar tim dapat mengoptimalkan penggunaan WAF dan memahami prosedur
pengaturan serta pemeliharaannya.

Selanjutnya, pengujian WAF pada aplikasi website juga menjadi kebutuhan yang harus
dipertimbangkan. Pengujian ini bertujuan untuk memastikan bahwa WAF dapat
memenuhi kebutuhan keamanan dan tidak menyebabkan gangguan pada aplikasi website
yang sedang berjalan. Jika terdapat masalah atau kesalahan dalam kinerja WAF, proses
 troubleshooting akan melibatkan lapisan tambahan dalam infrastruktur TI. Oleh karena
itu, diperlukan pemahaman yang mendalam tentang operasi dan konfigurasi WAF untuk
dapat mengatasi masalah dengan efisien dan efektif.

IV. KESIMPULAN
6.1. Ringkasan tentang Website Application Firewall
Website Application Firewall (WAF) sebagai solusi keamanan yang dirancang khusus
untuk melindungi aplikasi website dari serangan melalui internet. WAF memiliki
kemampuan untuk menyaring, memantau, dan memblokir lalu lintas HTTP ke dan dari
aplikasi website. Dalam menjalankan tugasnya, WAF memeriksa setiap permintaan yang
masuk dan membandingkannya dengan aturan keamanan yang telah ditetapkan. Hal ini
memungkinkan WAF untuk mendeteksi serangan dan mengambil tindakan yang sesuai.

Pemahaman yang baik tentang konsep WAF memungkinkan organisasi untuk

membangun lapisan pertahanan website yang kuat dan efektif. Dengan pemahaman ini,
organisasi dapat mengidentifikasi serangan yang ditujukan pada aplikasi website dan
mengambil langkah-langkah yang diperlukan untuk mencegahnya. WAF juga melindungi
data dan informasi sensitif, mencegah kerugian finansial, dan membangun reputasi dan
kepercayaan pelanggan.

Namun, penggunaan WAF juga memiliki risiko dan kebutuhan yang perlu
dipertimbangkan. Salah satu risiko adalah meningkatnya kompleksitas infrastruktur TI
karena adanya tambahan komponen yang harus dikelola. Pelatihan khusus dan
penyesuaian dengan kebutuhan organisasi juga diperlukan. Selain itu, pengujian WAF
pada aplikasi web menjadi kebutuhan penting untuk memastikan kinerjanya dan
mencegah masalah atau kesalahan. Troubleshooting yang lebih kompleks juga dapat
terjadi jika terdapat masalah dengan WAF.

V. DAFTAR PUSTAKA
[1] OWASP German Chapter, et al., “Best Practices: Use of Web Application Firewalls.”
OWASP Papers Program, 2008, 1(5). 1-23.
[2] Pusat Jurnal Ilmiah Universitas Medan Area. “Manfaat dari Web Application Firewall.”
uma.ac.id, 2022,
https://pji.uma.ac.id/index.php/2022/03/17/manfaat-dari-web-application-firewall/.
Diakses pada tanggal 18 Mei 2023.
[3] Aryaprananta, A.,”Web Application Firewall pada Situs Web Institut Bisnis Nusantara
www.ibn.ac.id”, Jurnal Esensi Infokom, 2020, 4(1), 55-59.
[4] Suartana, I M., Wahanani, H. E., Sandy, A. N., “Sistem Pengamanan Web Server dengan
Web Application Firewall.”2015, 10(1), 39-44.
[5] Xiaowei Li., Yuan Xue., “A Survey on Server-side Approaches to Securing Web
Applications”, ACM Transactions on Computing Surveys, 2013, V(N), 1-30.