net/publication/347436736
CITATIONS READS
0 308
5 authors, including:
Rifky Ramandika
Siliwangi University
4 PUBLICATIONS 0 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Aji Fauzi Pangestu on 17 December 2020.
I. PENDAHULUAN D. Nginx
Sekarang para pengguna internet sudak banyak, dari mulai Nginx adalah server HTTP yang bersifat open-source dan
anak kecil sampai dengan orang tua sudah banyak reverse proxy, serta IMAP/POP3 server proxy. Nginx dikenal
menggunakan internet dalam kehidupan nya. Baik untuk dengan kinerja tinggi, stabilitas, set fitur yang banyak,
media sosial ataupun pendidikan. Oleh karena itu terdapat konfigurasi yang sederhana, dan konsumsi sumber daya yang
peningkatan juga terhadap layanan web, dikarenakan banyak rendah. [3]
juga yang mencari informasi pada suatu halaman web. Maka
dari itu, suatu layanan web perlu dan harus melakukan E. SQL Injection
pengamanan terhadap web nya tersebut untuk menjaga privasi SQL Injection adalah teknik code injection yang
pengguna ataupun penyedia layanan tersebut. Dengan salah digunakan untuk menyerang aplikasi web tanpa penyaringan
satu cara nya adalah menggunakan WAF, jadi pada akhir nya atau metode perlindungan lainnya. Jenis serangan ini
jika ada suatu ancaman terhadap web, WAF bertindak memungkinkan penggunaan informasi database di server.
layaknya tembok yang menjadi penghalang jika ada user Efek yang ditimbulkan dari SQL Injection sangat
illegal yang mau bertindak jahat terhadap suatu website. Pada beragam, berikut adalah beberapa point bahaya dari serangan
WAF ini kita akan di block jika terdapat proses yang tidak tersebut:
layan untuk digunakan, seperti halnya penggunaan script pada a. SQL Injection memungkinkan seseorang dapat login
form yang seharusnya di isi dengan biodata. Inti nya WAF ini (masuk) kedalam sebuah sistem tanpa harus memiliki
mengatasi berbagai serangan yang menuju server. account. Hal ini berlaku baik user biasa maupun admin.
II. LANDASAN TEORI b. Dengan SQL Injection pula seseorang bisa menyusup
kedalam sebuah basis data sehingga dia dapat merubah,
A. Web Application Firewall (WAF) menghapus, atau bahkan menambah data yang terdapat
Web Application Firewall adalah suatu proses untuk dalam basis data tersebut.
mengamankan suatu web. Proses ini berupa suatu mekanisme c. Bahkan yang lebih dari sekedar mengubah basis data,
yang bekerja untuk mencegah akses dan modifikasi oleh user sang pelaku bisa menanamkan akun yang tidak
yang tidak dikenal, terhadap data-data dari web yang diketahui. Sehingga apabila sistemnya telah diperbaiki
tersimpan secara online.[1] tapi sang pelaku masih memiliki cadangan akun untuk
B. ModSecurity login tanpa harus melakukan SQL Injection lagi.
d. Selain itu, pelaku juga bisa menjual data-data pribadi
ModSecurity adalah modul Web Application Firewall yang dimiliki oleh customer pada website e-commerce
(WAF) yang bersifat opensource dan cross-platform. Mod
seperti nomer rekening dan lain-lain. [4]
Security dapat menyaring data yang masuk dan keluar untuk
menghentikan lalu lintas yang berbahaya. Selain itu juga, F. Cross-Site Scripting (XSS)
ModSecurity dapat menganalisis dan mendeteksi lalu lintas XSS attack adalah jenis kerentanan yang ditemukan di
yang berbahaya. Semua rincian lalu lintas berbahaya dicatat aplikasi web. Serangan XSS beroperasi pada application
dalam file log dan pesan peringatan yang dikirimkan ke
layer. Serangan XSS sangat umum terjadi, penyerang dapat
administrator. ModSecurity mendefinisikan aturan mengenai
data HTTP yang di mana aturan tersebut akan memiliki akses dengan mudah mengetahui aplikasi web yang rentan.
ke informasi HTTP header secara penuh. [1] Serangan Cross-Site Scripting adalah serangan yang
dilakukan oleh hacker untuk menyuntikkan script berbahaya
C. Web Server biasanya pada script sisi klien dari luar lingkungan aplikasi
Web server adalah sebuah software yang memberikan web. [1]
layanan berbasis data dan berfungsi menerima permintaan G. Exploiting Unrestricted File Upload
dari HTTP atau HTTPS pada klien untuk mengirimkan
kembali yang hasilnya dalam bentuk beberapa halaman web Merupakan salah satu masalah utama dalam aplikasi
dan pada umumnya akan berbentuk dokumen HTML. [2] berbasis web. Di banyak server web, kerentanan ini
bergantung sepenuhnya pada tujuan, yang memungkinkan
penyerang mengunggah file dengan kode berbahaya di
dalamnya, sehingga dapat dieksekusi di server. [5]
H. HTTP Flooding make
[Install]
WantedBy=multi-user.target
Session Hijacking :
Session Hijacking :
REFERENSI
[1] R. Nurachmad Syaefuddin, “Implementasi Web
Application Firewall pada Web Mytra Dashboard
dengan Menggunakan Modul ModSecurity,” Tek.
Inform. dan Komput. Politek. Negeri Jakarta, no.
Gambar 23. Pengguna gagal mengakses halaman web April, 2018, doi: 10.13140/RG.2.2.15824.00006.
[2] A. Rahmatulloh and F. MSN, “Implementasi Load
Balancing Web Server menggunakan Haproxy dan
2) Kondisi WAF sudah terpasang Sinkronisasi File pada Sistem Informasi Akademik
Pengguna bisa mengakses halaman web. Universitas Siliwangi,” J. Nas. Teknol. dan Sist. Inf.,
vol. 3, no. 2, pp. 241–248, 2017, doi:
10.25077/teknosi.v3i2.2017.241-248.
[3] A. F. Pangestu and N. Fajar, “Implementasi Load
Balancing dengan Algoritma Weighted Round Robin
menggunakan NGINX,” no. December, 2020.
[4] A. Rahmatulloh, Keamanan Source Code PHP
Menggunakan Teknik Obfuscation. 2020.
[5] J. Huang, Y. Li, J. Zhang, and R. Dai, “UChecker:
Automatically detecting php-based unrestricted file
upload vulnerabilities,” in 2019 49th Annual
IEEE/IFIP International Conference on Dependable
Systems and Networks (DSN), 2019, pp. 581–592.