BAB I

PENDAHULUAN
A. Latar Belakang

Perkembangan teknologi informasi bukanlah hal yang baru di Indonesia.

Teknologi informasi sudah menjadi kebutuhan sehari-hari yang sangat vital.
Teknologi ini dapat berupa media cetak atau media elektronik. Media cetak seperti Koran,
buku, tabloid,majalah dan lain-lain. Sedangkan media elektronik dapat berupa radio,
handphone, televisi, dan internet. Saat ini media informasi yang sangat digemari oleh
masyarakat adalah media internet. Karena media ini memiliki karakteristik tersendiri,
dimana masyarakat dapat mencari info sesuai dengan apa yang dibutuhkannya.
Berbeda dengan media lain yang memberikan suatu informasi secara sepihak.

Dalam memanfaatkan informasi melalui media internet, sebagian besar

masyarakat kita berperan sebagai konsumen saja. Artinya, kita dalam mengenal
internet hanyalah sebatas mencari informasi, mendownload, dan mengambil sesuatu dari
internet itu sendiri. Kalaupun ada, mungkin hanyalah sebatas chatting dengan teman,
mengirim tugas melalui email. Yang paling gencar adalah situs pertemanan seperti
friendster, facebook dan twitter. Bahkan data terbaru menyebutkan jumlah pengguna
facebook di Indonesia adalah sebanyak 3.154.840 orang. Banyak masyarakat yang
belum berfikir bagaimana cara agar kita lah yang memberikan informasi tersebut, bukan
hanya menikmatinya.

Teknologi informasi sangat berhubungan dengan dunia tulis menulis. Terutama

sekali berbagai tuilisan berupa pengetahuan yang disajikan dalam bentuk artikel atau esay.
Saat inipun banyak penulis pemula yang telah banyak menghasilkan karya tulis yang
berkualitas. Namun banyak dari mereka yang kebingungan untuk mempublikasikan atau
menyebarkan hasil-hasil karya mereka. Karena kemungkinannya sangat kecil sekali
untuk membukukan karya mereka tersebut. Selain pertimbangan biaya, juga factor
efisiensi terhadap publikasi buku tersebut
 BAB II
PEMBAHASAN

A. Keamanan Pada Basis Data

Pengertian Keamanan Database

Keamanan database adalah suatu cara untuk melindungi database dariancaman, baik dalam
bentuk kesengajaan atau pun bukan. Ancaman adalah segala situasi atau kejadian baik secara
sengaja maupun tidak yang bersifat merugikan dan mempengaruhi sistem, dan memiliki
konsekuensi terhadap perusahaan/organisasi yang memiliki sistem database.
Keamanan database tidak hanya berkenaan dengan data yang ada pada database saja, tetapi
juga meliputi bagian lain dari sistem database, yang tentunya dapat mempengaruhi database
tersebut. Hal ini berarti keamanan database mencakup perangkat keras, perangkat lunak,
orang dan data.
Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol yang tepat. Seseorang yang
mempunyai hak untuk mengontrol dan mengatur database biasanya disebut Administrator
database. Seorang administratorlah yang memegang peranan penting pada suatu system
database, oleh karena itu administrator harus mempunyai kemampuan dan pengetahuan yang
cukup agar dapat mengatur suatu sistem
database.
Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh
pengguna yang tidak berhak. Sistem keamanan database adalah sistem, proses, dan prosedur
yang melindungi database dari aktivitas yang sengaja maupun tidak disengaja. Sistem yang
aman memastikan kerahasian data yang terdapat didalamnya.

Beberapa aspek keamanan yaitu :

 Membatasi akses ke data dan layanan

 Melakuakan autentifikasi pada user

 Memonitor aktifitas-aktifitas yang mencurigakan

Keamanan database dapat dikelompokan sebagai berikut :

 Pencurian dan penipuan

Pencurian dan penipuan database tidak hanya mempengaruhi lingkungan database tetapi juga
seluruh perusahaan/organisasi. Keadaan ini dilakukan oleh orang, dimana seseorang ingin
melakukan pencurian data atau manipulasi data, seperti saldo rekening, transaksi, transfer dan
lain-lain. Untuk itu fokus harus dilakukan pada kekuatan sistem agar menghindari akses oleh
orang yang tidak memiliki kewenangan.

 Hilangnya kerahasiaan dan privasi

Suatu data dapat memiliki nilai kerahasiaan, karena data tersebut merupakan sumber daya
yang strategis pada perusahaan, maka pada kasus ini data tersebut harus diamankan dengan
memberikan hak akses pada orang tertentu saja.
 Hilangnya integritas
Integritas ini berkaitan dengan akurasi dan kebenaran data dalam database, seperti data korup.
Hal ini akan secara serius mempengaruhi proses bisnis perusahaan/organisasi.

 Hilangnya ketersediaan
Hilangnya ketersediaan berarti data, sistem, keduanya tidak dapat diakses, layanan mati, yang
tentunya secara serius sangat mempengaruhi perusahaan/organisasi. Saat ini banyak
perusahaan yang membutuhkan kemampuan sistem yang aktif 7 x 24 , 7 hari 1 minggu.
Berdasarkan pengelompokan tersebut, tentunya banyak aspek yang harus kita perhatikan
demi terciptanya keamanan database. Bisa saja seseorang mencuri komputer kita yang berisi
data penting, mungkin juga karyawan yang diberi hak untuk mengakses data melakukan
kejahatan
dengan menjual informasi tersebut pada pihak lain demi kepentingan pribadi. Hal- hal
tersebut memang termasuk kendala keamanan database yang harus mendapat perhatian, tetapi
seorang administrator tidak dapat mengawasi kelemahan tersebut. Seorang administrator
hanya fokus pada sistem database itu sendiri, dan hal inilah yang seharusnya menjadi
perhatian juga dalam organisasi.
Tentunya perkembangan teknologi mengharuskan suatu perusahaan untuk
mengimplementasikan sistem database yang bukan hanya aman tetapi juga mudah diakses
dan handal, menyala 7x24 jam, 7 hari 1 minggu tanpa off.
Penyebaran informasi secara global sangat menguntungkan semua pihak. Dengan adanya
Internet, komunikasi antar cabang, perusahaan, konsumen dan sebagainya semakin mudah.
Pemberian informasi mengenai perusahaan kepada masyarakat melalui internet merupakan
salah satu strategi komunikasi, marketing, public relation perusahaan tersebut, adanya
transaksi on line yang meningkatkan gaya hidup
masyarakat dan lain-lain. Semua itu tidak terlepas dari suatu perkembangan sistem database
dan tentunya membuat keamanan menjadi rentan.
Sangatlah mudah dalam suatu lingkungan database diciptakan suasana yang menakutkan,
tanpa kepastian dan keraguan. Sebagai seorang administrator sangat perlu memperhatikan
kondisi tersebut. Tentukan resiko yang sebenarnya dan selidiki apa yang dapat dilakukan
terhadap kondisi itu. Sebenarnya kebanyakan database terkonfigurasi dalam keadaan yang
mudah ditembus, akan tetapi hal ini bukan berarti database tidak dapat dibuat aman
sebagaimana mestinya.

Kategori Keamanan Database

1. Keamanan Server
Perlindungan Server adalah suatu proses pembatasan akses yang sebenarnya pada database
dalam server itu sendiri. Server sebagai tempat database harus benar-benar dijamin
keamanannya.
2. Trusted Ip Access
Setiap server harus dapat mengkonfigurasikan alamat ip yang diperbolehkan mengakses
dirinya. Sistem harus tidak mengijinkan semua orang untuk dapat mengakses server,
sebagaimana tidak mengijinkan seseorang memasuki rumah tanpa ijin. Jika server melayani
suatu web server maka hanya alamat web server itu saja yang dapat mengakses server
database tersebut. Jika server database melayani jaringan internal maka hanya alamat
jaringanlah yang boleh menghubungi server. Sangat dianjurkan untuk tidak menggabungkan
server web dengan server database informasi internal perusahaan, ini adalah suatu cara yang
buruk untuk seorang admin. Trusted Ip Acces merupakan server database terbatas yang hanya
akan member respon pada alamat ip yang dikenali saja.

3. Koneksi Database
Saat ini semakin banyaknya aplikasi dinamis menjadi sangat menggoda untuk melakukan
akses yang cepat bahkan update yang langsung tanpa authentifikasi. Jika ingin mengijinkan
pemakai dapat mengubah database melalui web page, pastikan untuk memvalidasi semua
masukan untuk memastikan bahwa inputan benar, terjamin dan aman. Sebagai contoh,
pastikan untuk menghilangkan semua code SQL agar tidak dapat dimasukan oleh user. Jika
seorang admin membutuhkan koneksi ODBC, pastikan koneksi yang digunakan unik.

4. Kontrol Akses Tabel

Kontrol akses tabel ini adalah salah satu bentuk keamanan database yang sering diabaikan,
karena cukup sulit penerapannya. Penggunaan control akses table yang benar membutuhkan
kolaborasi antara sistem administrator dengan pengembang database. Hal inilah yang sulit
dilakukan. Pemberian ijin user untuk mengakses informasi dapat membuat informasi terbuka
kepada publik.

Teknik Pengamanan Basis Data (Database)

Melihat banyaknya ancaman yang bisa menggangu bahkan merusak sistem komputer maka
perlu diadakan tindakan-tindakan pengaman data agar bisa menghindari atau paling tidak
mengurangi risiko yang mungkin timbul. Beberapa tindakan pengamaan sistem data pada
komputer diuraikan berikut ini.

 Administrative Security
Pengamanan data secara administratif (administrative security) perlu dilakukan untuk
menjaga kemungkinan gangguan keamanan data yang datangnya dari “orang dalam” atau
kerja sama orang dalam dengan orang luar.

 Anti Virus
Anti virus diciptakan untuk mencegah meluasnya infeksi virus dan untuk memperbaiki file-
file yang telah ter-infeksi. Satu hal yang perlu diperhatikan adalah anti virus dibuat hanya
untuk mendeteksi dan mencegah jenis atau kategori virus yang pernah ada, dan tidak bisa
mendeteksi jenis atau kategori virus baru. Anti virus harus selalu di-update secara reguler
agar bisa mendeteksi virus-virus baru.

 Firewall
Firewall berarti dinding api, biasanya dibuat pada bangunan besar untuk mencegah
menjalarnya api dari satu bagian gedung ke bagian lainnya. Firewall pada jaringan komputer
adalah perangkat lunak yang dipasang pada komputer server sehingga dapat melindungi
jaringan dari serangan yang datangnya dari luar

 Proxy Server
Proxy server pada dasarnya berfungsi seperti firewall jenis application level gateway, suatu
server yang berada antara server jaringan dan internet. Proxy server melaksanakan beberapa
proses aplikasi yang telah ditetapkan lebih dulu, misalnya melayani akses dari terminal ke
suatu situs web, atau berfungsi sebagai “transfer agent” terhadap berbagai aplikasi yang
memiliki akses keluar atau akses dari luar ke dalam jaringan.

 Enkripsi-Dekripsi
Data yang dikirim melalui jaringan tidak jarang disadap oleh orang lain untuk kepentingan
tertentu, sehingga timbul usaha untuk melakukan pengkodean terhadap data sebelum dikirim
melalui jaringan agar tidak bisa dibaca oleh penyadap. Pengubahan data asli menjadi kode
rahasia disebut proses data encryption atau enkripsi data. Setelah data rahasia sampai ke
tujuan maka data ini dikembalikan ke bentuk aslinya, proses ini disebut data decryption. Ilmu
matematik yang mendasari teknik enkripsi dan dekripsi disebut kriptologisedangkan teknik
dan sains dari proses enkripsi-dekripsi disebut kriptografi. Naskah asli disebut sebagai
plaintext dan naskah rahasia (yang telah di-enkrip) disebut ciphertext.

Terdapat tiga level enkripsi basis data yang meliputi :

o Enkripsi pada level penyimpanan (storage)

Enkripsi data dilakukan pada subsistem storage (penyimpanan), baik pada level file
maupun pada level blok. Enkripsi level ini cocok untuk mengenkripsi file, folder, media
storage dan media tape.

o Enkripsi pada level basis data

Enkripsi dilakukan pada saat data ditulis dan dibaca dari basis data. Enkripsi jenis ini
dilakukan pada level kolom pada tabel basis data. Level ini melindungi data pada
Database Management System (DBMS) dari berbagai macam serangan

o Enkripsi pada level aplikasi

Aplikasi menangani proses enkripsi data. Kelebihannya adalah tidak terjadi penurunan
performansi pada basis data, karena DBMS tidak menangani enkripsi data. Akan tetapi,
 ketika terjadi perubahan strategi enkripsi atau perubahan data yang dienkripsi, akan
banyak terjadi modifikasi pada level aplikasi

 Autentikasi
Authentikasi adalah salah satu bentuk identifikasi untuk meyakinkan bahwa orang yang
sedang berkomunikasi dengan kita adalah benar adanya, bukan pemalsuan identitas. Salah
satu bentuk autentikasi yang paling sering dijumpai adalah: UserID disertai dengan Password,
bahwa UserID adalah pernyataan tentang siapa yang sedang akses sistem atau sedang
berkomunikasi, dan Password membuktikan bahwa orang tersebut benar adanya. Hanya saja
sistem UserID dan Password ini ada kelemahannya, karena ada saja cara untuk mencari tahu
password seseorang sehingga bisa terjadi pemalsuan identitas.
Salah satu sistem untuk mengurangi effek pemalsuan identitas atau pencurian password
adalah dengan menerapkan OTP (One Time Password), dimana satu password hanya
digunakan untuk satu kali akses, akses berikutnya harus menggunakan password yang
berbeda. Sistem lain yang mengamankan autentikasi adalah Passport dan Kerberos.

Selain menggunakan UserID dan Password, teknik autentikasi bisa diperluas dengan
kombinasi biometric, misalnya UserID ditambah dengan sidikjari, atau UserID ditambah
dengan mata-retina, dan sebagainya.

B. KEMANAN PADA WEBSITE

Serangan Terhadap Web

Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk menyerang suatu
website:
a. Remote File Inklusi (RFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan RFI seorang
attacker dapat menginclude kan file yang berada di luar server yang bersangkutan.
Salah satu tehnik paling aman bagi seorang administrator adalah selalu memperhatikan usaha-usaha
infiltrasi dan usaha eksploitasi lokal. Gunakan firewall guna mencegah penyusupan orang-orang yang
tidak bertanggung jawab dan memperhatikan port-port server yang sedang terbuka.

b. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),
require_once() yang variabel nya tidak dideklarasikan dengan sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang
bersangkutan.

c. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada
lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring
untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna
tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas
yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau
script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan
penyisipan SQL.

d. Cross Site Scripting (XSS)

Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di
aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke dalam
halaman web dilihat oleh pengguna lain.
lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang untuk
mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web oleh browser
modern. Dengan mencari cara suntik script jahat ke dalam halaman web, penyerang bisa mendapatkan
hak akses diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang
dikelola oleh browser atas nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus
injeksi kode.

XSS data diatasi dengan menggunakan Open Source Libraries mengenai pencegahan XSS attack
seperti PHP AntiXSS, HTML Purifier , xssprotect , XSS HTML Filter

Paket Keamanan Web

a. SSL (Secure Sockets Layer)
Sebuah protokol yang dikembangkan oleh Netscape untuk komunikasi dokumen yang membutuhkan
privasi melalui Internet. SSL menggunakan suatu sistem enkripsi yang menggunakan dua kunci untuk
melakukan enkripsi data.
SSL terdiri dari 4 jenis, yaitu:
· SSL web server certificate with EV
SSL jenis ini digunakan bila pengunjung harus input data sensitif seperti credit cards, PIN number, dst
yang membutuhkan keamanan ekstra. Bila menggunakan SSL jenis ini, address bar pada browser
akan berwarna hijau dan menunjukan nama ogranisasi bersangkutang yang telah diverifikasi.
· SSL web server certificates
SSL jenis ini digunakan bila pengunjung harus log in atau sign in. SSL jenis ini menggunakan
enkripsi sekuat SSL web server certificate with EV namun tidak adanya warna hijau pada address bar
browser.
· SGC SuperCerts
SSL ini digunakan untuk kompatibilitas browser lama. Jika pengunjung menggunakan browser lama,
atau cara lain untuk mengunjungi suatu website, maka SSL jenis ini cocok untuk diterapkan di
browser tersebut, karena SSL jenis ini memungkinkan kompatibilitas browser lama untuk enkripsi
128 atau 256 bit.
· SSL 123 Certificate
SSL ini digunakan untuk komunikasi internal dan intranet private. SSL ini melakukan enkripsi unutk
pegawai dan user di dalamnya. Hanya nama domain yg diverifikasi.

b. IDS (Intrusion Detection System)

Intrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah
sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak diinginkan yang mengganggu
konfidensialitas, integritas dan atau ketersediaan dari informasi yang terdapat di sebuah sistem. IDS
akan memonitor lalu lintas data pada sebuah jaringan atau mengambil data dari berkas log. IDS akan
menganalisa dan dengan algoritma tertentu akan memutuskan untuk memberi peringatan kepada
seorang administrator jaringan atau tidak
c. IPS (Intrusion Prevention System)
Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic
jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi
atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya.
Bisa jadi karena adanya serangan dari luar, dan sebagainya.
Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).Secara
umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based
Intrusion Prevention System (NIPS).

2. Macam Serangan Penanggulangan Web

Web Service memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi
melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang
berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya
digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat
diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Penerapan
Web Service akan memudahkan proses integrasi dan kolaborasi antar aplikasi pada
lingkungan platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan
biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun demikian, masih
banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk
mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian
adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi
Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan
aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi
Web Service. Pada makalah ini dibahas berbagai arsitektur keamanan dan spesifikasi
standard keamananan untuk Web Service.

Walaupun Web Service menjanjikan solusi untuk mengatasi kelemahan teknologi berbasis
Web pada umumnya, namun demikian masih banyak yang merasa ragu untuk segera
menerapkan Web Service, khususnya pada lingkungan Internet (publik), misalnya untuk
mendukung transaksi e-business. Keraguan ini disebabkan oleh faktor jaminan keamanan dari
teknologi Web Service. Survey menunjukkan bahwa faktor keamanan merupakan masalah
utama yang menjadi perhatian dalam mengimplementasikan Web Service.

Teknologi keamanan yang biasa digunakan untuk mengatasi aspek keamanan pada sistem
berbasis Web pada umumnya, seperti Secure socket Layer (SSL)/ Transport Secure Layer
(TSL), tidak cukup memadai jika diterapkan pada system berbasis Web Service. Hal ini
dikarenakan SSL/TLS menyediakan solusi kemanan dengan konteks point-to-point pada level
transport layer. Sementara karakteristik transaksi Web Service, membutuhkan pengamanan
dalam konteks end-to-end pada level application layer. Teknologi Firewall yang
menyediakan pengamanan pada level Network Layer juga tidak cukup memadai, karena
karakteristik transaksi Web Service yang menggunakan standard internet (HTTP, SMTP,
FTP) akan dilewatkan oleh Firewall karena dianggap Sebagai trafik Internet pada umumnya
(firewall friendly).
Walaupun teknologi keamanan yang ada saat ini masih memegang peranan penting, namun
demikian masih diperlukan suatu mekanisme keamanan pada level appplication layer yang
dapat diterima luas oleh berbagai pihak yang terlibat dalam implementasi Web Service, dan
mendukung aspek interoperabilitas dalam mengimplementasikan Web Service. Keberadaan
standard kemananan Web Service tersebut akan sangat mempengaruhi prospek penerapan
Web Service secara luas.

STANDAR PENGAMANAN WEB

XML signatures merupakan dokumen XML yang berisi informasi mengenai tanda tangan
digital. Tanda tangan digital dapat dilakukan terhadap dokumen dengan tipe apapun,
termasuk dokumen XML. XML signatures dapat ditambahkan pada dokumen XML yang
ditandatangani ataupun dapat berupa sebuah dokumen XML tersendiri.
Secara garis besar, struktur XML signatures adalah sebagaimana (dimana “?” menandakan
nol atau satu kemunculan, “+” menandakan satu atau lebih kemunculan, dan “*” menandakan
nol atau lebih kemunculan) ditampilkan pada

Kode XML

Salah satu keuntungan penggunaan standar XML signature adalah dapat dilakukannya
penandatanganan sebuah dokumen XML oleh lebih dari satu pihak. Pihak tertentu hanya
akan menandatangani elemen XML yang menjadi tanggung jawabnya.

XML Encryption

Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan yang muncul
pada proses pertukaran data. W3C telah merekomendasikan Enkripsi XML sebagai metode
alternatif untuk pengamanan data dengan menggunakan format XML. Namun demikian,
Enkripsi XML dirancang untuk dapat diterapkan baik pada data XML maupun data non
XML. Implementasi Enkripsi XML memungkinkan penggabungan data yang telah dienkripsi
dengan data yang tidak dienkripsi di dalam satu dokumen XML. Dengan demikian, proses
enkripsi maupun dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan
saja.

Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada level parser.
Pada level aplikasi, implementasi Enkripsi XML paling banyak dibuat dengan menggunakan
DOM, Document Object Model.

Sementara pada level parser, implementasi Enkripsi XML di antaranya dibuat dengan
menggunakan parser Xerces. Enkripsi XML secara umum dapat dianggap sebagai proses
transformasi dokumen XML yang belum terenkripsi ke dokumen XML yang sudah
terenkripsi. W3C telah merekomendasikan XSLT, Extensible Stylesheet Language
Transformations, sebagai bahasa transformasi untuk dokumen XML. Dengan demikian, maka
XSLT sebagai bahasa transformasi untuk XML dapat digunakan untuk
mengimplementasikan Enkripsi XML.
Xml Key Management Specification

XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur

yang digunakan untuk pengamanan transaksi berbasis XML. Pada web services digunakan
format komunikasi data berbasis XML dan untuk keamanan data-data tersebut digunakan
teknik kriptografi kunci-publik. Pengelolaan terhadap kunci-publik ditentukan dengan adanya
public-key infrastructure (PKI).

XKMS merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini (PKIX) dan
juga melakukan perubahan standar PKI sebagai salah satu bentuk web services. Dengan
demikian XKMS dapat melakukan proses registrasi pasangan kunci-publik (private-key dan
public-key), penentuan lokasi penyimpanan kunci-publik, validasi kunci-publik, pencabutan
(revoke) kuncipublik, dan pemulihan (recover) kuncipublik. Oleh karena itu, keseluruhan
struktur PKI akan dikembangkan ke dalam lingkungan berbasis XML. XML Key
Management Specification yang diterapkan sebagai web service akan mengurangi bentuk
“ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi. Sebelumnya
penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang diterapkan pada produk
aplikasi yang akan digunakan sedangkan dengan adanya XKMS sebagai web service, pada
pengembangan produk aplikasi cukup dibuat fungsi untuk menentukan pengguna (client)
yang mengakses fungsi/layanan yang disediakan oleh XKMS. Fungsi-fungsi pada XMKS
meliputi:
v Registration (registrasi). Layanan pada XKMS dapat digunakan untuk mendaftarkan
(registrasi) pasangan kunci dengan menggunakan fungsi “register”. Pembangkitan pasangan
kunci-publik dapat dilakukan oleh client ataupun layanan. Pada saat kunci-kunci telah
terdaftarkan, layanan XKMS akan melakukan pengelolaan pencabutan ataupun pemulihan
kunci-kunci, yang dibangkitkan oleh server ataupun client.
v Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan kembali kunci-
publik yang terdaftar.
v Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa kunci-publik
yang telah didaftarkan dengan layanan XKMS valid dan tidak kadaluarsa ataupun telah
dicabut.

Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses
enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server. Dengan
demikian pihak client hanya perlu mengetahui cara mengakses antarmuka yang disediakan.
Sebagai pengembangan lebih lanjut dari PKI yang ada saat ini, XKMS memiliki karakteristik
kompatibel (selaras) dengan infrastruktur kunci-publik yang menggunakan X.509 (PKIX);
dapat mendukung perubahan struktur dasar kebijakan yang akan digunakan pada PKI,
contohnya Federal Bridge CA, ataupun perpaduan X.509 dengan non-509; proses
pembangkitan dengan menggunakan XML signature dan encryption;
dapatdikembangluaskan. Untuk produk aplikasi yang akan menggunakan spesifikasi XKMS
haruslah melakukan implementasi operasi penandaan ataupun verifikasi paling dasar (basic)
dan juga dapat mengelola kunci-privat yang dimiliki oleh client kemudian dapat melakukan
pembangkitan dan pemrosesan terhadap transaksi-transaksi berbasis XML.
Selain itu, berbeda dengan produk aplikasi pada PKIX, produk aplikasi yang akan
menerapkan XKMS tidak perlu melakukan pemrosesan terhadap protokol ASN.1 ataupun
sertifikasi X.509. Dengan bentuk penggunaan XKMS sebagai web service, maka produk
aplikasi “terbebaskan” dari kebutuhan untuk memahami dan menerapkan PKI tradisional
(PKIX) – cukup dengan memanggil dan menggunakan layanan yang disediakan oleh web
service XKMS.

WEB SCIENCE SECURITY

WS-Security atau juga dikenal sebagai Web Service Security Core Language (WSS-Core)
merupakan spesifikasi keamanan Web Service yang mendefinisikan mekanisme pengamanan
pada level pesan SOAP untuk menjamin message integrity & confidentiality. Standard WS-
Security saat ini dikembangkan secara resmi oleh OASIS berdasarkan spesifikasi yang
diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS
melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-
Security dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core Specification,
SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile. Produk WSS untuk Core
Specification (WSS-Core) adalah WSS: Soap Message Security. Spesifikasi lain yang
merupakan bagian dari Core Specification ini adalah WSS: User Name Token Profile dan
WSS: X.509 Certificate Token Profile.

Disamping 2 organisasi tersebut, ada organisasi lain yang juga aktif mengembangkan
standard keamanan Web Service yang disponsori oleh Sun Microsystem yaitu Liberty
Alliance Technology Group. Namun pada akhirnya lembaga ini juga mengumumkan untuk
memfokuskan diri pada pengembangan spesifikasi WS-Security dan berkerjasama dengan
OASIS untuk maksud tersebut. Dengan demikian, WS-Security akan menjadi standard de-
facto untuk pengamanan Web Service.

Secara umum standard WS-Security (versi orisinal) mendefinisikan suatu spesifikasi

mengenai bagaimana mengamankan pesan SOAP secara end-to-end, dengan cara
menyertakan (attach) digital signature, enkripsi dan security token pada bagian Header dari
pesan SOAP. Spesifikasi WSS-Core versi terbaru menyediakan 3 mekanisme untuk
memproteksi pesan dari ancaman terhadap upaya gangguan keamanan pesan SOAP, yaitu
(1)Kemampuan untuk mengirim security token sebagai bagian dari pesan SOAP, (2) Message
integrity dan (3) Message confidentiality. Namun demikian, mekanisme tersebut tidak
memberikan solusi keamanan yang lengkap untuk Web Service. Spesifikasi ini merupakan
building block yang digunakan untuk mengakomoda- sikan berbagai variasi model keamanan
dan teknologi kemanan.

Dengan kata lain, WS-Security tidak menspesifikasikan suatu mekanisme keamanan baru,
tetapi menyediakan fleksibilitas untuk menggunaan teknologi keamanan yang sudah ada
(X.509, Karberos, XML Encryption), sehingga dapat mengakomodasi berbagai pendekatan
keamanan secara umum. Hal baru yang ditambahkan oleh WS-Security adalah suatu
spesifikasi untuk
3. Paket Pemgamanan Web
1. Remote File Inklusi (RFI)
Remote File Inklusi (RFI) adalah jenis kerentanan paling sering ditemukan di situs
Web, memungkinkan penyerang untuk menyertakan file jarak jauh yang biasanya melalui
sebuah script di server web. Kerentanan terjadi karena penggunaan input yang diberikan
pengguna tanpa validasi yang tepat. Hal ini dapat mengakibatkan sesuatu yang minimal
keluaran isi file, tetapi tergantung pada beratnya, untuk daftar beberapa itu bisa mengarah
pada:
* Kode eksekusi pada server web
* Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti
situs cross scripting (XSS).
* Denial of Service (DoS)
* Pencurian Data / Manipulasi

Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel eksternal seperti
$ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem, yang paling menonjol adalah
meliputi dan membutuhkan laporan. Sebagian besar kerentanan dapat dikaitkan dengan
programmer pemula tidak akrab dengan semua kemampuan bahasa pemrograman PHP.
Bahasa PHP memiliki direktif allow_url_fopen dan jika diaktifkan memungkinkan fungsi
filesystem untuk menggunakan URL yang memungkinkan mereka untuk mengambil data dari
lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke salah satu
fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya dari sumber daya
remote. Untuk mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.

2. Local File Inclusion (LFI)

Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(),

require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan LFI seorang
attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.

3. SQL injection

SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang
terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak
benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL
atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini
adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan
pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan
injeksi SQL juga dikenal sebagai serangan penyisipan SQL.
4. Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan
di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien
ke dalam halaman web dilihat oleh pengguna lain. Sebuah kerentanan dieksploitasi scripting
lintas situs dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti
kebijakan asal-usul yang sama. Cross-site scripting dilakukan di situs Web adalah sekitar
80% dari semua kerentanan keamanan didokumentasikan oleh Symantec pada 2007. Dampak
beragam, mulai dari gangguan kecil dengan risiko keamanan yang signifikan, tergantung
pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan
dilaksanakan oleh pemilik situs.

Lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang
untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web
oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman web,
penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi, dan
berbagai informasi lainnya yang dikelola oleh browser atas nama pengguna. serangan Cross-
site scripting Oleh karena itu kasus khusus injeksi kode.

Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan loading aplikasi, web
diserang pihak ketiga dari sebuah situs serangan yang tidak berhubungan, dengan cara yang
mengeksekusi sebuah fragmen JavaScript disusun oleh penyerang dalam konteks keamanan
dari domain yang ditargetkan (a dipantulkan atau non-persistent kerentanan XSS). Definisi
ini secara bertahap diperluas untuk mencakup modus lain injeksi kode, termasuk vektor
persisten dan non-JavaScript (termasuk Jawa, ActiveX, VBScript, Flash, HTML atau bahkan
murni), menyebabkan kebingungan untuk pendatang baru dalam bidang keamanan informasi.

C. KEAMANAN PADA MEDIA SOSIAL

Saat ini hampir semua orang memiliki akun sosial media. Apakah itu Facebook, Twitter,
Instagram dll. Mungkin bagi sebagian orang sosial media telah menjadi bagian hidup yang
tak terpisahkan. Menurut data dari Zephoria, setiap bulannya Facebook memiliki 1,44 milliar
user aktif. 1,25 milliar diantaranya mengakses Facebook dari perangkat mobile. Dan ada 300
juta foto yang diupload setiap harinya. Sayangnya kepopuleran situs sosial media juga
menarik minat para penjahat cyber. Sudah banyak kasus kejahatan cyber yang dilakukan
melalui situs sosmed, beberapa diantaranya adalah identity theft (pencurian identitas),
pedophilia, penipuan (cyber scam), bullying, malware, dan beberapa beberapa kasus
pelanggaran privacy. Untuk itu kali akan dibahas beberapa hal tentang keamanan sosial
media.

Penjahat cyber seringkali menggunakan info pada profile pada sosial media untuk
mengumpulkan informasi tentang korban. Sebaiknya kita batasi informasi apa saja yang kita
tampilkan pada profile kita. Kasus lainnya adalah korban menerima sebuah pesan phishing.
Pesan ini biasanya mengarahkan korban untuk meng-klik sebuah tautan. Biasanya tautan ini
adalah sebuah website palsu. Dengan cara ini penyerang bisa mencuri login dan password
dari korban.

Malware

Ancaman lainnya adalah malware. Penyerang menggunakan situs sosmed untuk menginfeksi
komputer korban dengan malware. Caranya dengan mengirimkan sebuah file kepada korban,
atau meminta korban mengklik sebuah alamat website. Ancaman lainnya pada sosmed adalah
url spoofing, clickjacking dan social engineering.

Geotagging

Selain itu para penjahat cyber juga mengumpulkan informasi geotagging untuk mengetahui
lokasi korban. Informasi ini bisa diekstrak dari gambar yang kita upload pada sosmed. Situs
sosmed juga menyimpan lokasi kita ketika kita melakukan update status maupun login. Fitur
geotagging ini bisa kita matikan. Situs sosmed juga menyediakan berbagai pilihan untuk
meningkatkan keamanan kita. Misalnya kita bisa atur, siapa saja yang bisa melihat profile
kita, siapa saja yang bisa mengirimkan pesan pada kita, maupun notifikasi bila ada yang
mencoba untuk login pada akun sosmed kita. Selain itu kita juga tersedia pilihan untuk
melakukan blacklist atau blokir terhadap user tertentu.

Fitur-fitur ini bisanya disediakan oleh layanan sosial media tersebut bagian security setting.
Sebaiknya berhati-hati juga bila kita menggunakan akun sosial media kita untuk login ke
website lain. Ancaman lainnya adalah celah keamanan pada layanan sosmed. Memanfaatkan
celah ini penyerang bisa melakukan serangan cross-site scripting, maupun mencuri data
korban dari server sosmed.
 BAB III

PENUTUP

A. Kesimpulan

Keamanan pada database merupakan suatu proteksi terhadap pengrusakan data

dan pemakaian data oleh pemakai yang tidak punya kewenangan. dalam penyalahgunanaan
database bisa disengaja maupun tidak disngaja.

- Jika menggunakan suatu CMS seperti joomla, phpbb, phpnuke, wordpress dan sebagainya,
rajinlah mengupdate CMS jika muncul versi terbaru.
- Kunjungi situs-situs yang membahas tentang keamanan aplikasi web seperti :
www.milw0rm.com, www.securityfocus.com atau www.packetstormsecurity.org untuk
mendapatkan informasi tentang bug terbaru.
- Menggunakan tenaga ahli tentang keamanan website untuk menganalisis keamanan
website.
- Menggunakan software seperti Acunetix untuk melakukan scanning atas kelemahan yang
ada pada website.
 MAKALAH KEAMANAN SISTEM

“KEAMANAN PADA BASIS DATA, WEBSITE DAN MEDIA SOSIAL”

Disusun Oleh :

Asmarandika

NPM : 1706700011

TEKNIK INFORMATIKA

SEKOLAH TINGGI MANAJEMENT DAN ILMU KOMPUTER

STMIK SUBANG

2019