Sistem keamanan infosmasi berbasis web

Jimy sabilal rosyad

19550011
Email : jimysabilalrosyad@unisri.ac.id

ABSTRAK
Pada saat ini website menjadi salah satu media informasi modern yang
berkembang sangat cepat. Dalam pembuatan website tidak hanya sisi desain dan
informasi yang dipentingkan tetapi aspek keamanan dari sebuah website itu sendiri
mempunyai peranan yang sangat penting dalam sebuah website. Kebutuhan keamanan
sebuah website timbul dari kebutuhan untuk melindungi data. Pertama, dari kehilangan
dan kerusakan data. Kedua, adanya pihak yang tidak hendak mengakses dan merubah
data. Permasalahan lainnya mencakup perlindungan data dari delay yang berlebih pada
saat mengakses atau menggunakan data, atau mengatasi gangguan Denial of Service.
Metode yang dilakukan pada pengujian ini akan menggunakan tool berupa
perangkat lunak dan cara-cara tertentu yang digunakan untuk menguji keamanan sebuah
website. Untuk melakukan analisis keamanan website, software yang digunakan adalah
Acunetix website vulnerability scanner.
Hasil dari pengujian adalah ditemukannya berbagai level kerentanan dari level
kerentanan Low pada domain ums.ac.id sampai level kerentanan High pada sub domain
lainnya yang berupa sub domain fakultas. Dari hasil analisis yang diperoleh dapat dilihat
berbagai web alerts yang terdapat pada sebuah website. Adapun berbagai web alerts yang
berhasil ditemukan berupa SQL Injection, Cross Site Scripting dan berbagai web alerts
lainnya.
Kata kunci : website, keamanan website, Acunetix, web alert, SQL Injection,
Cross Site Scripting.
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Keamanan web, sangat erat kaitannya dengan jaringan, karena untuk mengakses sebuah
website pasti dibutuhkan koneksi jaringan. Saat ini sangat pesat sekali perkembangan
teknologi website, jaringan dan bermacam ancaman keamanan yang dihadapi, seperti
ancaman terhadap kerahasiaan yang sering dihadapi adalah hacker, Masquerader,virus
virus dari internet maupun dari media transfer data seperti flasdisk, hardisk eksternal,
melalui jaringan LAN, download file tanpa proteksi, Trojan horse, Aktifitas user yang
tidak terotorisasi dan masih banyak lagi ancaman keamanan yang kadang tidak kita
sadari.

Keamanan suatu website atau web security system merupakan salah satu prioritas yang
sangat utama bagi seorang webmaster. Tetapi kebanyakan para webmaster hanya
mengutamakan design dan topik apa yang harus disediakan supaya menarik pengunjung
sebanyak-banyaknya. Padahal jika seorang webmaster mengabaikan keamanan suatu
website, maka yang dirugikan adalah webmaster itu sendiri karena seorang hacker dapat
mengambil data-data penting pada suatu website dan bahkan pula dapat mengacak-
acak tampilan website(deface) tersebut.

1.2 Rumusan masalah

Rumusan masalah pada makalah ini adalah
Apa yang dimaksud dengan sebuah keamanan website dan beberapa ancaman dan
cara menanganinya.

1.3 Batasan Masalah

Batasan masalah dari makalah ini adalah
pembahasan tentang leamanan website dan cara menanganinya.

1.4 Tujuan
1. Mengetahui apa yang dimaksud dengan web, web browser dan web server
2. Mengetahui keamanan pada website
3. Mengetahui cara menangani ancaman pada website.
 BAB II
PEMBAHASA
N

2.1 Pengertian Website

Website adalah sebutan bagi sekelompok halaman web (webpage) yang umumnya
merupakan bagian dari suatu nama domain atau subdomain di WWW di internet.
Website juga dapat diartikan sebagai kumpulan halaman yang menampilkan
informasi data teks, data gambar diam atau gerak, data animasi, suara atau video
atau gabungan dari semuanya. Baik yang bersifat statis maupun dinamis yang
membentuk 1 rangkaian bangunan yang saling terkait, dimana masing-masing
dihubungkan dengan jaringan (hyperlink).
Bersifat statis apabila isi informasi tetap, jarang berubah dan informasinya searah
hanya dari pemilik website. Bersifat dinamis apabila isi informasi website selalu
berubah-ubah.

Pengertian Web browser

Webrowser adalah suatu program yang digunakan untuk menjelajahi dunia internet
atau untu mencari informasi tentang suatu halaman web yang tersimpan di komputer.
Awalnya, web browser hanya berorientasi pada teks dan belum dapat menampilkan
gambar. Namun web browser sekarang tidak hanya menampilkan gambar dan teks dan
belum dapat menampilkan gambar dan teks saja, tetapi sudah memutar tes multimedia.
Browser juga dapat mengirim dan menerima email, mengolah bahasa HTML sebagai
input dan menjadikan halaman web sebagai output yang informatif. Contoh Web
browser antara lain:

a. Internet explorer
b. Mozila Firefox
c. Opera
d. Netscape, dll.
Pengertian WebServer
Web Server adalah software yang menjadi tulang belakang dari WWW (World Wide
Web). Web server menunggu permintaan dari client yang menggunakan browser,
seperti Microsoft Internet Explorer, Mozilla Firefox, dan browser lainnya. Jika ada
permintaan
dari browser, maka web server akan memproses permintaan itu kemudian memberikan
hasil prosesnya berupa data yang diinginkan kembali ke browser.

Data ini mempunyai format yang standar, disebut dengan format SGML (Standar
General Markup Language). Data yang berupa format ini kemudian akan ditampilkan
oleh browser sesuai dengan kemampuan browser tersebut. Contohnya, bila data yang
dikirim berupa gambar, browser yang hanya mampu menampilkan teks (misalnya lynx)
tidak akan mampu menampilkan gambar tersebut, dan jika ada akan menampilkan
alternatifnya saja.

Web server, untuk berkomunikasi dengan client-nya (web browser) mempunyai

protokol sendiri, yaitu HTTP (HyperText Transfer Protocol). Dengan protokol ini,
komunikasi antar web server dengan client-nya dapat saling dimengerti dan lebih
mudah. Seperti telah dijelaskan diatas, format data pada world wide web adalah SGML.
Tapi para pengguna internet saat ini lebih banyak menggunakan format HTML
(HyperText Markup Language) karena penggunaannya lebih sederhana dan mudah
dipelajari.

Serangan Terhadap Web

Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk
menyerang suatu website:

a. Remote File Inklusi (RFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan RFI
seorang attacker dapat menginclude kan file yang berada di luar server yang
bersangkutan.

Salah satu tehnik paling aman bagi seorang administrator adalah selalu memperhatikan
usaha-usaha infiltrasi dan usaha eksploitasi lokal. Gunakan firewall guna mencegah
penyusupan orang-orang yang tidak bertanggung jawab dan memperhatikan port-port
server yang sedang terbuka.

b. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna.

Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server
yang bersangkutan.

c. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang
terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan
pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam
dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian
tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari
kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script
yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan
penyisipan SQL.

d. Cross Site Scripting (XSS)

Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya
ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik
script sisi klien ke dalam halaman web dilihat oleh pengguna lain.

lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan

penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada
konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam
halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman
sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas
nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi kode.

XSS data diatasi dengan menggunakan Open Source Libraries mengenai pencegahan
XSS attack seperti PHP AntiXSS, HTML Purifier , xssprotect , XSS HTML Filter

Paket Keamanan Web

a. SSL (Secure Sockets Layer)

Sebuah protokol yang dikembangkan oleh Netscape untuk komunikasi dokumen yang
membutuhkan privasi melalui Internet. SSL menggunakan suatu sistem enkripsi yang
menggunakan dua kunci untuk melakukan enkripsi data.

SSL terdiri dari 4 jenis, yaitu:

· SSL web server certificate with EV
SSL jenis ini digunakan bila pengunjung harus input data sensitif seperti credit cards, PIN
number, dst yang membutuhkan keamanan ekstra. Bila menggunakan SSL jenis ini,
address bar pada browser akan berwarna hijau dan menunjukan nama ogranisasi
bersangkutang yang telah diverifikasi.

· SSL web server certificates

SSL jenis ini digunakan bila pengunjung harus log in atau sign in. SSL jenis ini
menggunakan enkripsi sekuat SSL web server certificate with EV namun tidak adanya
warna hijau pada address bar browser.

· SGC SuperCerts
SSL ini digunakan untuk kompatibilitas browser lama. Jika pengunjung menggunakan
browser lama, atau cara lain untuk mengunjungi suatu website, maka SSL jenis ini cocok
untuk diterapkan di browser tersebut, karena SSL jenis ini memungkinkan kompatibilitas
browser lama untuk enkripsi 128 atau 256 bit.

· SSL 123 Certificate

SSL ini digunakan untuk komunikasi internal dan intranet private. SSL ini melakukan
enkripsi unutk pegawai dan user di dalamnya. Hanya nama domain yg diverifikasi.

b. IDS (Intrusion Detection System)

Intrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan
dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak
diinginkan yang mengganggu konfidensialitas, integritas dan atau ketersediaan dari
informasi yang terdapat di sebuah sistem. IDS akan memonitor lalu lintas data pada
sebuah jaringan atau mengambil data dari berkas log. IDS akan menganalisa dan dengan
algoritma tertentu akan memutuskan untuk memberi peringatan kepada seorang
administrator jaringan atau tidak

c. IPS (Intrusion Prevention System)

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring
traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan
dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak
seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan
sebagainya.

Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak
(software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention
System (HIPS) dan Network-based Intrusion Prevention System (NIPS).

2. Macam Serangan Penanggulangan Web

Web Service memberikan paradigma baru dalam mengimplementasikan sistem
terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL
dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem
terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan
proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang
bersifat terbuka (non-propriertary) berbasis Web. Penerapan Web Service akan
memudahkan proses integrasi dan kolaborasi antar aplikasi pada lingkungan
platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan
biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun
demikian, masih banyak yang ragu untuk segera menerapkan Web Service,
khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet
(global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan
kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara
itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi
berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi
Web Service. Pada makalah ini dibahas berbagai arsitektur keamanan dan
spesifikasi standard keamananan untuk Web Service.
Walaupun Web Service menjanjikan solusi untuk mengatasi kelemahan teknologi
berbasis Web pada umumnya, namun demikian masih banyak yang merasa ragu
untuk segera menerapkan Web Service, khususnya pada lingkungan Internet
(publik), misalnya untuk mendukung transaksi e-business. Keraguan ini
disebabkan oleh faktor jaminan keamanan dari teknologi Web Service. Survey
menunjukkan bahwa faktor keamanan merupakan masalah utama yang menjadi
perhatian dalam mengimplementasikan Web Service.
Teknologi keamanan yang biasa digunakan untuk mengatasi aspek keamanan
pada sistem berbasis Web pada umumnya, seperti Secure socket Layer (SSL)/
Transport Secure Layer (TSL), tidak cukup memadai jika diterapkan pada system
berbasis Web Service. Hal ini dikarenakan SSL/TLS menyediakan solusi
kemanan dengan konteks point-to-point pada level transport layer. Sementara
karakteristik transaksi Web Service, membutuhkan pengamanan dalam konteks
end-to-end pada level application layer. Teknologi Firewall yang menyediakan
pengamanan pada level Network Layer juga tidak cukup memadai, karena
karakteristik transaksi Web Service yang menggunakan standard internet (HTTP,
SMTP, FTP) akan dilewatkan oleh Firewall karena dianggap Sebagai trafik
Internet pada umumnya (firewall friendly).
Walaupun teknologi keamanan yang ada saat ini masih memegang peranan
penting, namun demikian masih diperlukan suatu mekanisme keamanan pada
level appplication layer yang dapat diterima luas oleh berbagai pihak yang terlibat
dalam implementasi Web Service, dan mendukung aspek interoperabilitas dalam
mengimplementasikan Web Service. Keberadaan standard kemananan Web
Service tersebut akan sangat mempengaruhi prospek penerapan Web Service
secara luas.
STANDAR PENGAMANAN WEB
XML signatures merupakan dokumen XML yang berisi informasi mengenai tanda
tangan digital. Tanda tangan digital dapat dilakukan terhadap dokumen dengan
tipe apapun, termasuk dokumen XML. XML signatures dapat ditambahkan pada
dokumen XML yang ditandatangani ataupun dapat berupa sebuah dokumen XML
tersendiri.
Secara garis besar, struktur XML signatures adalah sebagaimana (dimana “?”
menandakan nol atau satu kemunculan, “+” menandakan satu atau lebih
kemunculan, dan “*” menandakan nol atau lebih kemunculan) ditampilkan pada
Kode XML
Salah satu keuntungan penggunaan standar XML signature adalah dapat
dilakukannya penandatanganan sebuah dokumen XML oleh lebih dari satu pihak.
Pihak tertentu hanya akan menandatangani elemen XML yang menjadi tanggung
jawabnya.
XML Encryption

Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan

yang muncul pada proses pertukaran data. W3C telah merekomendasikan Enkripsi
XML sebagai metode alternatif untuk pengamanan data dengan menggunakan
format XML. Namun demikian, Enkripsi XML dirancang untuk dapat diterapkan
baik pada data XML maupun data non XML. Implementasi Enkripsi XML
memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak
dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi
maupun dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan
saja.
Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada
level parser. Pada level aplikasi, implementasi Enkripsi XML paling banyak
dibuat dengan menggunakan DOM, Document Object Model.
Sementara pada level parser, implementasi Enkripsi XML di antaranya dibuat
dengan menggunakan parser Xerces. Enkripsi XML secara umum dapat dianggap
sebagai proses transformasi dokumen XML yang belum terenkripsi ke dokumen
XML yang sudah terenkripsi. W3C telah merekomendasikan XSLT, Extensible
Stylesheet Language Transformations, sebagai bahasa transformasi untuk
dokumen XML. Dengan demikian, maka XSLT sebagai bahasa transformasi
untuk XML dapat digunakan untuk mengimplementasikan Enkripsi XML.
Xml Key Management Specification

XML key management specification (XMKS) merupakan sebuah spesifikasi

infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada
web services digunakan format komunikasi data berbasis XML dan untuk
keamanan data-data tersebut digunakan teknik kriptografi kunci-publik.
Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key
infrastructure (PKI).
XKMS merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini
(PKIX) dan juga melakukan perubahan standar PKI sebagai salah satu bentuk web
services. Dengan demikian XKMS dapat melakukan proses registrasi pasangan
kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci-
publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan
(recover) kuncipublik. Oleh karena itu, keseluruhan struktur PKI akan
dikembangkan ke dalam lingkungan berbasis XML. XML Key Management
Specification yang diterapkan sebagai web service akan mengurangi bentuk
“ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi.
Sebelumnya penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang
diterapkan pada produk aplikasi yang akan digunakan sedangkan dengan adanya
XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibuat
fungsi untuk menentukan pengguna (client) yang mengakses fungsi/layanan yang
disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi:
v Registration (registrasi). Layanan pada XKMS dapat digunakan untuk
mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”.
Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun
layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan
melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang
dibangkitkan oleh server ataupun client.
v Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan
kembali kunci-publik yang terdaftar.
v Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa
kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak
kadaluarsa ataupun telah dicabut.
Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses
enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server.
Dengan demikian pihak client hanya perlu mengetahui cara mengakses antarmuka
yang disediakan. Sebagai pengembangan lebih lanjut dari PKI yang ada saat ini,
XKMS memiliki karakteristik kompatibel (selaras) dengan infrastruktur kunci-
publik yang menggunakan X.509 (PKIX); dapat mendukung perubahan struktur
dasar kebijakan yang akan digunakan pada PKI, contohnya Federal Bridge CA,
ataupun perpaduan X.509 dengan non-509; proses pembangkitan dengan
menggunakan XML signature dan encryption; dapatdikembangluaskan. Untuk
produk aplikasi yang akan menggunakan spesifikasi XKMS haruslah melakukan
implementasi operasi penandaan ataupun verifikasi paling dasar (basic) dan juga
dapat mengelola kunci-privat yang dimiliki oleh client kemudian dapat melakukan
pembangkitan dan pemrosesan terhadap transaksi-transaksi berbasis XML.
Selain itu, berbeda dengan produk aplikasi pada PKIX, produk aplikasi yang akan
menerapkan XKMS tidak perlu melakukan pemrosesan terhadap protokol ASN.1
ataupun sertifikasi X.509. Dengan bentuk penggunaan XKMS sebagai web
service, maka produk aplikasi “terbebaskan” dari kebutuhan untuk memahami dan
menerapkan PKI tradisional (PKIX) – cukup dengan memanggil dan
menggunakan layanan yang disediakan oleh web service XKMS.
WEB SCIENCE SECURITY
WS-Security atau juga dikenal sebagai Web Service Security Core Language
(WSS-Core) merupakan spesifikasi keamanan Web Service yang mendefinisikan
mekanisme pengamanan pada level pesan SOAP untuk menjamin message
integrity & confidentiality. Standard WS-Security saat ini dikembangkan secara
resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM,
dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service
Security Technical Committee (WSS) melanjutkan pengembangan WS-Security
dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core
Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile.
Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message
Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini
adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token
Profile.
Disamping 2 organisasi tersebut, ada organisasi lain yang juga aktif
mengembangkan standard keamanan Web Service yang disponsori oleh Sun
Microsystem yaitu Liberty Alliance Technology Group. Namun pada akhirnya
lembaga ini juga mengumumkan untuk memfokuskan diri pada pengembangan
spesifikasi WS-Security dan berkerjasama dengan OASIS untuk maksud tersebut.
Dengan demikian, WS-Security akan menjadi standard de-facto untuk
pengamanan Web Service.
Secara umum standard WS-Security (versi orisinal) mendefinisikan suatu
spesifikasi mengenai bagaimana mengamankan pesan SOAP secara end-to-end,
dengan cara menyertakan (attach) digital signature, enkripsi dan security token
pada bagian Header dari pesan SOAP. Spesifikasi WSS-Core versi terbaru
menyediakan 3 mekanisme untuk memproteksi pesan dari ancaman terhadap
upaya gangguan keamanan pesan SOAP, yaitu (1)Kemampuan untuk mengirim
security token sebagai bagian dari pesan SOAP, (2) Message integrity dan (3)
Message confidentiality. Namun demikian, mekanisme tersebut tidak memberikan
solusi keamanan yang lengkap untuk Web Service. Spesifikasi ini merupakan
building block yang digunakan untuk mengakomoda- sikan berbagai variasi
model keamanan dan teknologi kemanan.
Dengan kata lain, WS-Security tidak menspesifikasikan suatu mekanisme
keamanan baru, tetapi menyediakan fleksibilitas untuk menggunaan teknologi
keamanan yang sudah ada (X.509, Karberos, XML Encryption), sehingga dapat
mengakomodasi berbagai pendekatan keamanan secara umum. Hal baru yang
ditambahkan oleh WS-Security adalah suatu spesifikasi untuk
3. Paket Pemgamanan Web
1. Remote File Inklusi (RFI)
Remote File Inklusi (RFI) adalah jenis kerentanan paling sering ditemukan
di situs Web, memungkinkan penyerang untuk menyertakan file jarak jauh yang
biasanya melalui sebuah script di server web. Kerentanan terjadi karena
penggunaan input yang diberikan pengguna tanpa validasi yang tepat. Hal ini
dapat mengakibatkan sesuatu yang minimal keluaran isi file, tetapi tergantung
pada beratnya, untuk daftar beberapa itu bisa mengarah pada:
* Kode eksekusi pada server web
* Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan
serangan lain seperti situs cross scripting (XSS).
* Denial of Service (DoS)
* Pencurian Data / Manipulasi
Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel
eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem, yang
paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian besar
kerentanan dapat dikaitkan dengan programmer pemula tidak akrab dengan semua
kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki direktif
allow_url_fopen dan jika diaktifkan memungkinkan fungsi filesystem untuk
menggunakan URL yang memungkinkan mereka untuk mengambil data dari
lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke
salah satu fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya
dari sumber daya remote. Untuk mengatasi ini, semua input pengguna harus
divalidasi sebelum digunakan.
2. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(),

require(), require_once() yang variabel nya tidak dideklarasikan dengan
sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada
di dalam server yang bersangkutan.
3. SQL injection

SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan

keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika
masukan pengguna tidak benar baik disaring untuk menghindari karakter string
literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik
dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas
yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa
pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL
juga dikenal sebagai serangan penyisipan SQL.
4. Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya
ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik
script sisi klien ke dalam halaman web dilihat oleh pengguna lain. Sebuah kerentanan
dieksploitasi scripting lintas situs dapat digunakan oleh penyerang untuk mem-bypass
akses kontrol seperti kebijakan asal-usul yang sama. Cross-site scripting dilakukan di
situs Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan oleh
Symantec pada 2007. Dampak beragam, mulai dari gangguan kecil dengan risiko
keamanan yang signifikan, tergantung pada kepekaan data ditangani oleh situs rentan,
dan sifat dari setiap mitigasi keamanan dilaksanakan oleh pemilik situs.
Lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan
penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan
pada konten web oleh browser modern. Dengan mencari cara suntik script jahat ke
dalam halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten
halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh
browser atas nama pengguna. serangan Cross-site scripting Oleh karena itu kasus
khusus injeksi kode.
Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan loading aplikasi,
web diserang pihak ketiga dari sebuah situs serangan yang tidak berhubungan, dengan
cara yang mengeksekusi sebuah fragmen JavaScript disusun oleh penyerang dalam
konteks keamanan dari domain yang ditargetkan (a dipantulkan atau non-persistent
kerentanan XSS). Definisi ini secara bertahap diperluas untuk mencakup modus lain
injeksi kode, termasuk vektor persisten dan non-JavaScript (termasuk Jawa, ActiveX,
VBScript, Flash, HTML atau bahkan murni), menyebabkan kebingungan untuk
pendatang baru dalam bidang keamanan informasi.
KESIMPULAN
Keamanan informasi ini yang berbasis web sangat lah penting bagi kita bahkan
dengan adanya internet yang memungkinkan untuk semua orang menggunakan website
dengan secara bebas, dengan adanya makalah ini diharapkan agar para pengguna
website bisa lebih berhati-hati dalam menggunakannya agar informasi pribadi yang
kita miliki tidak gampang tersebar yang bahkan dapat di salah gunakan oleh pihak
yang tidak bertanggung jawab.

DAFTAR PUSTAKA
Susanty, Yiyin, Widya & Ayu. 2012, Pengujian Keamanan Sistem Web Server
yang dikelola oleh PT. Web Architect Tecnology, skripsi internship,
Universitas Bina Nusantara, Jakarta.
Sutanta, Edhy 2008, Analisis Keamanan Sistem Aplikasi (Study Kasus Aplikasi
Elearning di IST AKPRIND Yogyakarta), skripsi, Institut Sains &
Teknologi AKPRIND, Yogyakarta.
Vacca, JR 2009. Computer and Information Securty Handbook, Elsevier, Inc,
Wachington D.C.