Subscribe to DeepL Pro to translate larger documents.

Visit www.DeepL.com/pro for more information.

Bab 11: Pembajakan Sesi

Ringkasan Teknologi
Konsep pembajakan sesi adalah topik yang menarik di antara skenario lainnya. Pada
dasarnya ini adalah pembajakan sesi dengan mencegat komunikasi antar host.
Penyerang biasanya mencegat komunikasi untuk mendapatkan peran pengguna yang
diautentikasi atau untuk tujuan serangan Man-in-the-Middle

Pembajakan Sesi
Untuk memahami konsep pembajakan sesi, asumsikan sebuah sesi TCP yang
diautentikasi antara dua host.
Ketika proses autentikasi sesi selesai, dan pengguna diotorisasi untuk menggunakan
sumber daya seperti layanan web, komunikasi TCP atau lainnya, penyerang mengambil
keuntungan dari sesi yang diautentikasi ini dan menempatkan dirinya di antara
pengguna yang diautentikasi dan host.
Proses autentikasi dimulai pada awal sesi TCP saja, setelah penyerang berhasil
membajak sesi TCP yang terautentikasi, lalu lintas dapat dipantau, atau penyerang
dapat mendapatkan peran sebagai pengguna yang terautentikasi yang sah.
Serangan Pasif Serangan pasif termasuk membajak sebuah sesi dan memantau
komunikasi antar host tanpa mengirimkan paket apa pun.
Pembajakan pada dasarnya adalah proses mengambil alih kendali atas sesi aktif yang
sudah ada antara pengguna yang diautentikasi dan host target.
Penyerang menggunakan sesi yang diautentikasi dari pengguna yang sah tanpa
memulai sesi baru dengan target

Pembajakan Sesi Tingkat Aplikasi

Dalam proses pembajakan lapisan aplikasi, penyerang mencari ID sesi yang sah dari
korban untuk mendapatkan akses ke sesi yang diautentikasi yang memungkinkan
penyerang untuk memanfaatkan sumber daya web.
Penyerang, dengan pembajakan lapisan aplikasi dapat mengakses sumber daya situs
web yang diamankan hanya untuk pengguna yang diautentikasi.
Mengkompromikan ID Sesi Menggunakan Serangan Man-in-the-Browser
Mengkompromikan ID Sesi menggunakan serangan Man-in-the-Browser membutuhkan
Trojan, yang telah disebarkan pada mesin target.
Trojan menginstal kode berbahaya dalam bentuk ekstensi pada mesin korban dan yang
mengubah konfigurasi peramban pada saat boot.
Ketika pengguna mengklik tautan berbahaya ini, skrip akan dieksekusi
Skrip ini dapat dikodekan untuk mengekstrak ID Sesi dan mengirimkannya ke
penyerang.
Serangan Pemalsuan Permintaan Lintas Situs Serangan Pemalsuan Permintaan Lintas
Situs (CSRF) adalah proses mendapatkan ID sesi pengguna yang sah dan
mengeksploitasi sesi aktif dengan situs web tepercaya untuk melakukan aktivitas jahat

Fiksasi Sesi
Penyerang harus memberikan ID sesi yang valid dan membuat browser korban
menggunakannya. Untuk memahami serangan Session Fixation, asumsikan
penyerang, korban, dan server web. Serangan tingkat jaringan menghasilkan ekstraksi
informasi yang mungkin berguna untuk sesi lapisan aplikasi.
Pembajakan TCP/IP Proses pembajakan TCP/IP adalah serangan tingkat jaringan pada
sesi TCP di mana penyerang memprediksi nomor urut paket yang mengalir antara
korban dan host.
Perutean Sumber Perutean sumber adalah teknik pengiriman paket melalui rute yang
dipilih Dalam p e m b a j a k a n sesi, teknik ini digunakan untuk mencoba memalsukan IP
sebagai host yang sah dengan bantuan perutean Sumber untuk mengarahkan lalu
lintas melalui jalur yang identik dengan jalur korban

Pembajakan RST
Pembajakan RST adalah proses pengiriman paket Reset (RST) kepada korban dengan
alamat sumber yang d i p a l s u k a n .
Nomor pengakuan yang digunakan dalam paket Reset ini sudah diprediksi.
Ketika korban menerima paket ini, korban tidak dapat mengidentifikasi bahwa paket
tersebut adalah p a l s u d a n mengira bahwa sumber yang sebenarnya telah mengirim
paket tersebut sehingga mengakibatkan reset koneksi.
Paket RST dapat dibuat menggunakan alat pembuat paket

Pembajakan UDP
Proses pembajakan sesi UDP cukup sederhana dibandingkan dengan pembajakan sesi
TCP.
Karena UDP adalah protokol tanpa koneksi, protokol ini tidak memerlukan paket urutan
antara klien yang meminta dan host.
Pembajakan sesi UDP adalah mengirim paket respons sebelum server tujuan
merespons.
Ada beberapa teknik untuk mencegat lalu lintas yang datang dari server tujuan

Tindakan Penanggulangan Pembajakan Sesi

Mitigasi serangan Pembajakan Sesi mencakup beberapa teknik deteksi dan
penanggulangan yang dapat diimplementasikan termasuk proses manual dan otomatis.
Mode Tunnel IPSec Menjadi mode default yang ditetapkan di perangkat Cisco, mode
tunnel melindungi seluruh paket IP dari perangkat asal
Ini berarti untuk setiap paket asli; paket lain dibuat dengan header IP baru dan
mengirim melalui jaringan yang tidak dipercaya ke peer VPN yang terletak di ujung lain
dari koneksi logis.
Dari sudut pandang konfigurasi, baik terowongan maupun moda transportasi
didefinisikan dalam konfigurasi set transformasi.

Bab 12: Menghindari IDS, Firewall, dan Honeypot

Ringkasan Teknologi
Karena kesadaran akan keamanan dunia maya dan jaringan meningkat dari h a r i k e
hari, maka sangat
penting untuk memahami konsep inti dari Intrusion Detection/Defense System (IDS)
serta Intrusion Prevention System (IPS). Dengan menjatuhkan lalu lintas lalu lintas yang
berbahaya, jaringan yang dipercaya atau segmennya dapat dilindungi dari ancaman
dan serangan yang diketahui. Ini adalah cara kerja dasar dari Intrusion Prevention
System (IPS). Jika mode 'gagal-buka' digunakan, lalu lintas yang baik dan berbahaya
akan diizinkan jika terjadi kegagalan apa pun dalam sensor IPS. Jika mode 'gagal-tutup'
dikonfigurasi, seluruh lalu lintas IP akan dihentikan jika terjadi kegagalan sensor.

Penentuan Posisi Fitur

Menimbulkan delay setiap paket sebelum diteruskan ke tujuan karena dianalisis ke.
Tidak menimbulkan penundaan karena tidak sejalan dengan jaringan

Kemampuan untuk mengurangi serangan?

Ya. Dengan menjatuhkan lalu lintas berbahaya, serangan dapat dengan mudah
dikurangi pada jaringan.
Jika digunakan dalam mode TAP, ia akan mendapatkan salinan setiap paket tetapi
tidak dapat mengurangi serangan. Ini membantu beberapa perangkat in-line seperti IPS
untuk menjatuhkan lalu lintas tertentu untuk menghentikan serangan

Dapat melakukan manipulasi paket?

Cara Mendeteksi Penyusupan Ketika sensor menganalisis lalu lintas untuk mencari
sesuatu yang aneh, sensor menggunakan beberapa teknik berdasarkan aturan yang
ditentukan dalam sensor IPS/IDS.
Aturan khusus yang menentukan kebijakan ini perlu ditetapkan pada sensor
Jika dikonfigurasi pada IPS, setiap kali lalu lintas TELNET mencapai IPS, peringatan
akan dibuat diikuti dengan penurunan paket.
IDS/IPS Berbasis Anomali: Pada jenis ini, baseline dibuat untuk jenis lalu lintas tertentu.
Dapat mendeteksi trafik berbahaya berdasarkan garis dasar khusus
Ini dapat menolak segala jenis serangan terbaru karena mereka tidak akan didefinisikan
dalam lingkup kebijakan dasar.
Ini adalah implementasi sederhana dengan hasil yang dapat diandalkan.
Segala sesuatu yang berada di luar cakupan kebijakan yang telah ditetapkan akan
dihapus
Menggunakan informasi yang disediakan oleh Cisco
Bisa Layanan di mana sistem berbagi pengalaman dengan serangan jaringan. Tidak
mendeteksi serangan yang dapat melewati tanda tangan.
Mungkin memerlukan beberapa penyesuaian untuk berhenti menghasilkan positif palsu
untuk lalu lintas yang sah
Jenis-jenis Sistem Deteksi Intrusi Tergantung pada skenario jaringan, modul IDS/IPS
digunakan dalam salah satu konfigurasi berikut: Deteksi Intrusi berbasis host; Deteksi
Intrusi berbasis jaringan.
IPS/IDS berbasis host biasanya digunakan untuk perlindungan mesin host tertentu, dan
bekerja sama dengan Kernel Sistem Operasi mesin host.
Ini menciptakan lapisan penyaringan dan menyaring panggilan aplikasi berbahaya ke
OS.
Analisis File Log: Dalam konfigurasi ini, IDS/IPS bekerja dengan menganalisis file log
dari mesin host dan menghasilkan peringatan untuk administrator sistem yang
bertanggung jawab atas keamanan mesin.

Harus memiliki daya pemrosesan yang tinggi untuk mengatasi masalah latensi
Fungsi utama penggunaan perangkat khusus yang dinamai firewall di tepi jaringan
perusahaan adalah isolasi.
Firewall mencegah koneksi langsung LAN internal dengan internet atau dunia luar.
Isolasi ini dapat dilakukan dengan berbagai cara tetapi tidak terbatas pada: Perangkat
Layer 3 yang menggunakan Daftar Akses untuk membatasi jenis lalu lintas tertentu pada
salah satu antarmukanya.
Perangkat Layer 2 yang menggunakan konsep VLAN atau Private VLAN (PVLAN) untuk
memisahkan lalu lintas dari dua jaringan atau lebih.
Perangkat host khusus dengan perangkat lunak yang terinstal di dalamnya.
Perangkat host ini, yang bertindak sebagai proxy, menyaring lalu lintas yang diinginkan
dan mengizinkan lalu lintas yang tersisa.

Akses oleh entitas yang tidak dipercaya

Firewall mencoba mengkategorikan jaringan ke dalam beberapa
bagian yang berbeda. Satu bagian dianggap sebagai bagian
LAN internal yang terpercaya.
Internet publik dan antarmuka yang terhubung dianggap sebagai bagian yang tidak
dipercaya. Server yang diakses oleh entitas yang tidak dipercaya ditempatkan di segmen
khusus yang dikenal sebagai zona demiliterisasi (DMZ) .
Dengan hanya mengizinkan akses spesifik ke server-server ini, seperti port 90 pada
server web, firewall menyembunyikan fungsionalitas perangkat jaringan yang
menyulitkan penyerang untuk memahami topologi fisik jaringan.

Inspeksi dan eksploitasi protokol

Salah satu fitur menarik dari firewall khusus adalah kemampuannya untuk memeriksa
lalu lintas lebih dari sekadar tingkat IP dan port.
Generasi Firewall yang tersedia saat ini dapat memeriksa lalu lintas hingga lapisan 7.
Firewall dapat membatasi jumlah koneksi TCP/UDP yang terbuka maupun yang
setengah terbuka untuk memitigasi serangan DDoS

Kontrol Akses
Dengan menerapkan AAA lokal atau dengan menggunakan server ACS/ISE, firewall
dapat mengizinkan lalu lintas berdasarkan kebijakan AAA.
Tergantung pada vendor yang berbeda dan teknik implementasinya, banyak fitur yang
perlu dikonfigurasi agar firewall dapat berfungsi dengan baik.
Beberapa dari ini fitur mungkin meliputi Jaringan Alamat
Terjemahan (NAT), Daftar Akses (ACL), kebijakan dasar AAA, dan sebagainya.
Aplikasi seperti Voice Over IP (VOIP) mungkin memerlukan konfigurasi khusus untuk
menanganinya Faktor penting lainnya yang perlu dipertimbangkan saat merancang
kebijakan keamanan infrastruktur jaringan menggunakan pendekatan berlapis alih-alih
mengandalkan satu elemen. Selain bertindak sebagai garis pertahanan pertama, firewall
lapisan jaringan digunakan di dalam segmen LAN internal untuk meningkatkan
keamanan berlapis dan isolasi

Arsitektur Firewall
Screened Subnet Screened Subnet dapat diatur dengan firewall dengan tiga
antarmuka. Ketiga antarmuka ini terhubung dengan jaringan privat internal, jaringan
Publik, dan Zona Demiliterisasi (DMZ).
Dalam arsitektur ini, setiap zona dipisahkan oleh zona lain sehingga kompromi satu
zona tidak akan mempengaruhi zona lainnya.
DeMilitarized Zone (DMZ) Firewall berbasis zona iOS adalah seperangkat aturan
khusus yang dapat membantu mengurangi serangan keamanan tingkat menengah di
lingkungan di mana keamanan dimaksudkan untuk diimplementasikan melalui router.
ZBF menggunakan pemfilteran stateful yang berarti bahwa jika aturan didefinisikan
untuk mengizinkan trafik asal dari satu zona, katakanlah di dalam ke zona lain seperti
DMZ, trafik balik akan secara otomatis diizinkan.

Jenis-jenis Firewall
Packet Filtering Firewall Packet Filtering Firewall mencakup penggunaan daftar akses
untuk mengizinkan atau menolak lalu lintas berdasarkan informasi lapisan 3 dan
lapisan 4.
Setiap kali sebuah paket menyentuh antarmuka perangkat lapisan 3 yang dikonfigurasi
ACL, paket tersebut akan memeriksa kecocokan dalam ACL.
Dengan menggunakan ACL yang diperluas di perangkat Cisco, informasi berikut ini
dapat digunakan untuk mencocokkan lalu lintas: Alamat sumber; Alamat tujuan; Port
sumber; Port tujuan;.
Beberapa fitur tambahan seperti sesi yang dibuat TCP, dll.
Kami menunjukkan keuntungan dan kerugian menggunakan teknik penyaringan paket:
Kemudahan implementasi dengan menggunakan pernyataan izin dan tolak
Dapat dikonfigurasi di hampir semua Cisco IOS
Tidak dapat menerapkan pemfilteran berdasarkan status sesi.
Skenario di mana port dinamis digunakan, berbagai port akan diminta untuk dibuka di
ACL yang mungkin digunakan oleh pengguna jahat.
Firewall Gateway Tingkat Sirkuit Firewall gateway tingkat sirkuit beroperasi pada lapisan
sesi model OSI.
Firewall Gateway Tingkat Sirkuit Firewall gateway tingkat sirkuit beroperasi pada lapisan
sesi model OSI
Mereka menangkap paket untuk memantau TCP Handshaking, untuk memvalidasi
apakah sesi tersebut sah.
Paket yang diteruskan ke tujuan jarak jauh melalui firewall tingkat sirkuit tampaknya
berasal dari gateway

Firewall Tingkat Aplikasi

Perangkat lunak khusus atau sumber terbuka yang berjalan pada server k e l a s atas
bertindak sebagai perantara antara klien dan alamat tujuan.
Karena firewall ini dapat beroperasi hingga lapisan 7, kontrol yang lebih terperinci atas
paket yang bergerak masuk dan keluar dari jaringan dimungkinkan.
Menjadi sangat sulit bagi penyerang untuk mendapatkan tampilan topologi dari dalam
atau jaringan yang dipercaya karena permintaan koneksi diakhiri pada firewall
Aplikasi/Proxy.
Apa pun yang tersedia secara komersial Seiring dengan daya komputasi, perangkat
keras dapat digunakan untuk menginstal dan penyimpanan yang tinggi mungkin
diperlukan dalam menjalankan firewall proxy di atasnya

Firewall Inspeksi Multilayer yang Penuh dengan Status

Ini menyimpan status sesi saat ini dalam sebuah tabel yang dikenal sebagai basis data
stateful. Inspeksi stateful dan firewall yang menggunakan teknik ini biasanya menolak
lalu lintas apa pun antara antarmuka tepercaya dan tidak tepercaya.
Setiap kali perangkat akhir dari antarmuka tepercaya ingin berkomunikasi dengan
beberapa alamat tujuan yang dilampirkan pada antarmuka firewall yang tidak
tepercaya, entri akan dibuat dalam tabel basis data yang berisi informasi lapisan 3 dan
lapisan 2.
Tabel berikut ini membandingkan berbagai fitur firewall berbasis stateful inspection.
Membantu menyaring lalu lintas yang tidak diharapkan Tidak dapat memitigasi
serangan lapisan aplikasi.
Dapat diimplementasikan pada jangkauan yang luas Kecuali untuk TCP, protokol lain
melakukan jangkauan router dan firewall tidak memiliki informasi status yang terdefinisi
dengan baik untuk digunakan oleh firewall.
Dapat membantu dalam mengurangi penolakan Beberapa aplikasi mungkin
menggunakan lebih banyak serangan layanan (DDoS) daripada satu port untuk operasi
yang sukses.
Peninjauan arsitektur aplikasi mungkin diperlukan agar dapat berfungsi setelah
penerapan firewall berbasis stateful inspection
Firewall transparan
Sebagian besar firewall yang dibahas di atas bekerja pada lapisan 3 dan seterusnya.
Firewall transparan bekerja persis seperti teknik yang disebutkan di atas, tetapi
antarmuka firewall itu sendiri berada di lapisan 2.
NGFW relatif merupakan istilah baru yang digunakan untuk firewall terbaru dengan
rangkaian fitur canggih Firewall jenis ini menyediakan fitur keamanan yang mendalam
untuk memitigasi ancaman dan serangan malware yang diketahui.
Firewall Pribadi Firewall Pribadi dikenal sebagai firewall desktop, membantu komputer
pribadi pengguna akhir dari serangan umum dari penyusup
Firewall semacam itu tampaknya m e r u p a k a n garis pertahanan keamanan yang
bagus untuk pengguna yang selalu terhubung ke internet melalui DSL atau modem
kabel.
1. High-Interaction Honeypots High-Interaction Honeypots dikonfigurasikan dengan
sebuah layanan yang pada dasarnya diaktifkan untuk membuang-buang waktu
penyerang dan mendapatkan lebih banyak informasi dari penyusupan ini.
Penyerang biasanya membuat paket berbahaya untuk memindai layanan yang sedang
berjalan pada sistem dan informasi port yang terbuka dan tertutup.
Alat-alat Send-Safe Honeypot Hunter, Nessus, dan Hping dapat digunakan untuk
mendeteksi honeypot

Alat Deteksi Intrusi

Snort adalah sistem pencegahan penyusupan sumber terbuka yang memberikan solusi
pertahanan jaringan waktu nyata yang paling efektif dan komprehensif.
Snort mampu melakukan analisis protokol, analisis paket waktu nyata, dan pencatatan.
Ia dapat mencari dan memfilter konten, mendeteksi berbagai macam serangan dan
probe termasuk buffer overflow, pemindaian port, probe SMB, dan banyak lagi.
Kategori Aturan Snort Aturan Snort dikategorikan ke dalam beberapa kategori yang
berbeda dan sering diperbarui oleh TALOS
Beberapa kategori ini adalah Kategori Aturan Deteksi Aplikasi mencakup aturan
pemantauan Pengendalian lalu lintas aplikasi tertentu.
Aturan-aturan ini mengontrol perilaku dan aktivitas jaringan dari aplikasi-aplikasi ini.
Kategori Peramban mencakup aturan untuk mendeteksi kerentanan pada peramban
tertentu.

Menghindari IDS
Intrusion Detection System (IDS) mengasumsikan bahwa paket yang diterima diterima
oleh sistem akhir, tetapi mungkin ada kemungkinan sistem akhir menolak paket tersebut
Jenis serangan ini secara khusus ditargetkan pada perangkat IDS berbasis Signature
untuk memasukkan data ke dalam IDS.
Serangan Fragmentasi Fragmentasi adalah proses memecah paket menjadi beberapa
fragmen Teknik ini biasanya diadopsi ketika IDS dan perangkat Host dikonfigurasi
dengan batas waktu yang berbeda.
Penyamaran adalah enkripsi muatan paket yang ditujukan ke target dengan cara yang
dapat dibalikkan oleh host target tetapi tidak dapat dibalikkan oleh IDS.
Ia akan mengeksploitasi pengguna akhir tanpa memperingatkan IDS dengan
menggunakan teknik yang berbeda seperti penyandian, enkripsi, polimorfisme.
M e n g o n v e r s i string menggunakan karakter Unicode dapat menghindari
pencocokan tanda tangan dan memperingatkan IDS, melewati sistem deteksi

Identifikasi Firewall
Identifikasi firewall termasuk sidik jari firewall untuk mendapatkan informasi sensitif
seperti port yang terbuka, informasi versi layanan yang berjalan di jaringan, dll.
Ini informasi adalah diekstrak oleh berbeda teknik seperti
sebagai Pelabuhan pemindaian, Berjalan di atas api, Pengambilan
spanduk, dll.
Pemindaian Port Pemindaian Port adalah prosedur pemeriksaan yang p a l i n g b a n y a k
digunakan oleh para penyerang untuk mengidentifikasi port yang terbuka.
Ini adalah pengintaian jaringan yang dapat digunakan sebelum serangan untuk
mengumpulkan informasi Dalam skenario ini, paket khusus diteruskan ke host tertentu,
yang responsnya diperiksa oleh penyerang untuk mendapatkan informasi mengenai
port yang terbuka.
Informasi vendor untuk perangkat target dan informasi versi firmware dapat diekstraksi
menggunakan banner grabbing

Pemalsuan Alamat IP
Seperti yang didefinisikan sebelumnya dalam buku kerja ini, IP Address Spoofing adalah
sebuah teknik yang digunakan untuk mendapatkan akses tidak sah ke mesin dengan
memalsukan alamat IP.
Seorang penyerang secara ilegal menyamar sebagai mesin pengguna dengan
mengirimkan paket IP yang dimanipulasi dengan alamat IP palsu.
Proses spoofing melibatkan modifikasi header dengan alamat IP sumber yang
dipalsukan, checksum, dan nilai urutan

Perutean Sumber
Perutean sumber adalah teknik pengiriman paket melalui rute yang dipilih. Dalam
pembajakan sesi, teknik ini digunakan untuk mencoba memalsukan IP sebagai host
yang sah dengan bantuan Source routing untuk mengarahkan lalu lintas melalui jalur
yang identik dengan jalur korban.

Dengan melewati Teknik

Melewati Situs yang Diblokir Menggunakan Alamat IP Dalam teknik ini, situs web
y a n g diblokir dalam jaringan diakses menggunakan alamat IP.
Pertimbangkan firewall yang memblokir lalu lintas masuk yang ditujukan ke domain
tertentu.
Ini dapat diakses dengan mengetikkan alamat IP di URL alih-alih memasukkan nama
domain kecuali alamat IP dikonfigurasikan dalam daftar kontrol akses.
Bypassing melalui Metode Tunneling ICMP Tunneling ICMP adalah teknik
menyuntikkan data sembarang dalam muatan paket echo dan diteruskan ke host target.
Tunneling HTTP memungkinkan penyerang untuk terlepas dari pembatasan yang
diberlakukan oleh firewall dengan mengenkapsulasi data dalam lalu lintas HTTP,
firewall akan mengizinkan port 80; penyerang dapat melakukan berbagai tugas dengan
bersembunyi di HTTP seperti menggunakan FTP melalui protokol HTTP

Melewati Metode Tunneling SSH

OpenSSH adalah protokol enkripsi yang pada dasarnya digunakan untuk mengamankan
lalu lintas dari berbagai ancaman dan serangan seperti penyadapan, pembajakan, dll.
Penyerang menggunakan OpenSSH untuk mengenkripsi lalu lintas untuk menghindari
deteksi oleh perangkat keamanan. Ada banyak sekali teknik untuk menyulitkan
penyerang untuk menghindari deteksi Teknik-teknik pertahanan dan pemantauan ini
memastikan sistem deteksi untuk melindungi jaringan dan memiliki kontrol lebih besar
atas trafik.
Beberapa teknik ini merupakan pemecahan masalah dasar dan pemantauan, sedangkan
beberapa teknik lainnya difokuskan pada konfigurasi IPS/IDS dan firewall yang tepat.
Amati dan pecahkan masalah firewall dengan mematikan port yang tidak digunakan, port
yang terkait dengan serangan yang diketahui sebagai langkah efektif untuk mencegah
penghindaran.
Melakukan analisis mendalam, mengatur ulang sesi berbahaya, memperbarui patch,
penyebaran IDS, normalisasi paket terfragmentasi, meningkatkan masa berlaku TTL,
memblokir paket yang sudah kadaluarsa, memasang kembali paket di IDS,
memperkuat keamanan dan penegakan kebijakan dengan benar merupakan langkah
yang efektif untuk mencegah serangan ini.

Bab 13: Meretas Server Web

Rangkuman Teknologi
Server Web adalah program yang digunakan untuk menghosting situs web. Server web
dapat berupa
disebarkan pada perangkat keras server web yang terpisah atau diinstal pada host
sebagai sebuah program. Penggunaan aplikasi web meningkat selama beberapa tahun
terakhir. Aplikasi web yang akan datang bersifat fleksibel dan mampu mendukung klien
yang lebih besar. Kami akan membahas kerentanan server Web, teknik dan alat
penyerangan server Web dan metode mitigasinya

Konsep server web

Web Server adalah program yang meng-host situs Web, baik yang berbasis perangkat
keras maupun perangkat lunak. Server Web mengirimkan file dan konten lain di situs
web melalui Hyper Text Transfer Protocol (HTTP).
P e n g g u n a a n internet dan intranet telah meningkat, layanan web telah menjadi bagian
utama dari internet.
Ini digunakan untuk mengirimkan file, komunikasi email, dan tujuan lainnya.
Server web mendukung berbagai jenis ekstensi aplikasi yang berbeda sedangkan
s e m u a n y a mendukung HTML untuk pengiriman konten dasar.
Server Web dapat dibedakan berdasarkan model keamanan, sistem operasi, dan faktor
lainnya

Masalah Keamanan Server Web

Masalah keamanan pada server web dapat mencakup serangan tingkat jaringan dan
serangan tingkat sistem operasi.
Seorang penyerang menargetkan kerentanan dan kesalahan apa pun dalam konfigurasi
server web dan mengeksploitasi celah-celah ini.

Mengaktifkan debugging
Administrator server memastikan untuk menghilangkan semua kerentanan dan
menerapkan langkah-langkah keamanan jaringan seperti IPS/IDS dan Firewall.
Ancaman dan serangan terhadap server web dijelaskan kemudian dalam bab ini.
Setelah server Web disusupi, hal itu akan mengakibatkan penyusupan semua akun
pengguna, penolakan layanan yang ditawarkan oleh server, perusakan, meluncurkan
serangan lebih lanjut melalui situs web yang disusupi, mengakses sumber daya, dan
pencurian data

Server HTTP Apache

Arsitektur Server Web IIS Layanan Informasi Internet (IIS) adalah layanan berbasis
Windows yang menyediakan arsitektur pemrosesan permintaan.
Pendengar Protokol Pendengar protokol bertanggung jawab untuk menerima permintaan
khusus protokol
Mereka meneruskan permintaan ini ke IIS untuk diproses dan mengembalikan respons
kepada peminta. HTTP.sys bertanggung jawab untuk mendengarkan permintaan
HTTP, meneruskan permintaan ini ke IIS untuk diproses, dan mengembalikan respons
yang telah diproses ke browser klien.
Layanan Penerbitan World Wide Web (Layanan WWW) Layanan Aktivasi Proses
Windows (WAS) Pada versi IIS sebelumnya, Layanan Penerbitan World Wide Web
(Layanan WWW) menangani fungsionalitas, sedangkan pada versi 7 dan yang lebih
baru, Layanan WWW dan layanan WAS digunakan.
Layanan ini menjalankan svchost.exe pada sistem lokal dan berbagi binari yang sama

Serangan server web

Teknik-teknik Penyerangan Server Web mencakup beberapa teknik, beberapa di
antaranya t e l a h d i j e l a s k a n sebelumnya di buku ini, teknik lainnya dijelaskan
di bawah ini: -.
Serangan DOS/DDOS ini digunakan untuk membanjiri permintaan palsu ke server web
yang mengakibatkan crash, tidak tersedianya atau penolakan layanan untuk semua
pengguna

Serangan Amplifikasi DNS

Serangan DNS Amplification dilakukan dengan bantuan metode rekursif DNS.
Penyerang memanfaatkan fitur ini dan memalsukan permintaan pencarian ke server
DNS.
Server DNS merespons permintaan tersebut ke alamat yang dipalsukan, yaitu alamat
target. Dengan memperbesar ukuran permintaan dan menggunakan botnet, hasil
serangan Penolakan Layanan Terdistribusi

Serangan Penjelajahan Direktori

Pada jenis serangan ini, penyerang mencoba menggunakan metode coba-coba untuk
mengakses direktori terlarang dengan menggunakan urutan titik dan garis miring.
Dengan mengakses direktori di luar direktori root, penyerang dapat mengungkapkan
informasi sensitif tentang sistem.
Seperti yang didefinisikan dalam bab sebelumnya, Menggunakan serangan Man-in-the-
Middle, penyerang menempatkan dirinya di antara klien dan server dan mengendus
paket, mengekstrak informasi sensitif dari komunikasi dengan mencegat dan mengubah
paket

Serangan Phishing
Dengan menggunakan serangan Phishing, penyerang berusaha mengekstrak detail
login dari situs web palsu yang terlihat seperti situs web yang sah.
Informasi yang dicuri ini, sebagian besar berupa kredensial, digunakan oleh penyerang
untuk menyamar sebagai pengguna yang sah di server target yang sebenarnya.
Perusakan Situs Web Perusakan situs web adalah proses di mana penyerang setelah
berhasil menyusup ke dalam situs web yang sah, mengubah dan memodifikasi konten,
tampilan situs web.
Hal ini dapat dilakukan dengan beberapa teknik seperti injeksi SQL untuk mengakses
situs web dan merusaknya

Kesalahan konfigurasi server web

Metode serangan lainnya adalah dengan menemukan kerentanan di situs web dan
mengeksploitasinya. Penyerang dapat mencari kesalahan konfigurasi dan kerentanan
sistem dan komponen server web.
Penyerang dapat mengidentifikasi kelemahan dalam hal konfigurasi default, fungsi jarak
jauh, kesalahan konfigurasi, sertifikat default, dan debugging untuk mengeksploitasinya

Serangan Pemisahan Respons HTTP

Serangan HTTP Response Splitting teknik di mana penyerang mengirimkan permintaan
pemisahan respons ke server.
Respons kedua berada di bawah kendali penyerang, sehingga pengguna dapat
diarahkan ke situs web berbahaya

Serangan Keracunan Cache Web

Serangan keracunan cache web dalam teknik di mana penyerang menghapus cache
yang sebenarnya dari server web dan menyimpan entri palsu dengan mengirimkan
permintaan yang dibuat ke dalam cache.
Ini akan mengarahkan pengguna ke halaman web berbahaya.
Brite memaksa terowongan SSH akan memungkinkan penyerang untuk
menggunakan terowongan terenkripsi. Terowongan terenkripsi ini digunakan
untuk komunikasi antar host.
Dengan memaksa kredensial login SSH secara kasar, penyerang dapat memperoleh
akses tidak sah ke terowongan SSH

Metodologi Serangan
Pengumpulan Informasi Pengumpulan informasi mencakup pengumpulan informasi
tentang target menggunakan platform yang berbeda baik melalui rekayasa sosial,
penjelajahan internet, dll.
Seorang penyerang dapat menggunakan alat yang berbeda, perintah jaringan
untuk mengekstrak informasi. Penyerang dapat menavigasi ke file robot.txt untuk
mengekstrak informasi tentang file internal.
Jejak kaki server web Ini mencakup jejak kaki yang difokuskan pada server web
menggunakan alat yang berbeda seperti Netcraft, Maltego, dan httprecon, dll.
Hasil dari footprinting server Web membawa nama server, jenis, sistem operasi dan
aplikasi yang sedang berjalan serta informasi lain tentang situs web target.
Jejak Jejak Server Web Unduh dan instal alat ID Server

Masukkan URL atau alamat IP server target

Informasi seperti nama Domain, port terbuka, jenis Server dan informasi lainnya
diekstrak.
Seperti yang telah didefinisikan sebelumnya, mirroring situs web adalah proses
pencerminan seluruh situs web dalam sistem lokal.
Jika seluruh situs web diunduh ke dalam sistem, ini memungkinkan penyerang untuk
menggunakan, memeriksa situs web, direktori, struktur, dan menemukan kerentanan
lain dari salinan situs web yang telah diunduh ini.
Alih-alih mengirim banyak salinan ke server web, ini adalah cara untuk menemukan
kerentanan pada situs web

Pemindaian Kerentanan
Pemindai Kerentanan adalah utilitas otomatis yang secara khusus dikembangkan untuk
mendeteksi kerentanan, kelemahan, masalah, dan lubang pada sistem operasi,
jaringan, perangkat lunak, dan aplikasi.
Alat pemindaian ini melakukan pemeriksaan mendalam terhadap skrip, port terbuka,
spanduk, layanan yang sedang berjalan, kesalahan konfigurasi, dan area lainnya

Meretas Kata Sandi Web

Peretasan Kata Sandi adalah metode mengekstraksi kata sandi untuk mendapatkan
akses resmi ke sistem target dengan menyamar sebagai pengguna yang sah.
Serangan Offline
Rekomendasi dasar untuk mengamankan server web dari serangan internal dan
eksternal serta ancaman lainnya adalah menempatkan server web di zona aman di
mana perangkat keamanan seperti firewall, IPS, dan IDS digunakan, memfilter dan
memeriksa lalu lintas yang ditujukan ke server web.
Menempatkan server web ke dalam lingkungan yang terisolasi seperti DMZ
melindunginya dari ancaman.
Tindakan Pencegahan Mendeteksi Upaya Peretasan Server Web Ada beberapa teknik
yang digunakan untuk mendeteksi intrusi atau aktivitas tak terduga di server web
seperti Sistem deteksi perubahan situs web mendeteksi upaya peretasan dengan
menggunakan skrip yang difokuskan untuk memeriksa perubahan yang dibuat oleh file
yang dapat dieksekusi.
Mempertahankan Diri dari Serangan Server Web Mengaudit Port.
Kebijakan Keamanan Akses Kode Sertifikat Server Nonaktifkan pelacakan Nonaktifkan
Debug mengkompilasi Peta Pikiran

Tambalan dan Perbaikan Terbaru

Patch dan Hotfix diperlukan untuk menghilangkan kerentanan, bug, dan masalah dalam
rilis perangkat lunak.
Hotfix adalah pembaruan yang memperbaiki masalah ini, sedangkan patch adalah
bagian dari perangkat lunak yang dirancang khusus untuk memperbaiki masalah
tersebut.
Hotfix mengacu pada sistem panas, yang dirancang khusus untuk lingkungan produksi
langsung di mana perbaikan dilakukan di luar pengembangan dan pengujian normal
untuk mengatasi masalah.
Patch harus diunduh dari situs web resmi, situs utama, dan aplikasi serta vendor sistem
operasi.
Manajemen patch adalah proses otomatis yang memastikan pemasangan patch yang
diperlukan atau yang diperlukan pada sistem.
Proses manajemen patch mendeteksi patch keamanan yang hilang, mencari solusi,
mengunduh patch, menguji patch di lingkungan yang terisolasi, misalnya, mesin
penguji, dan menerapkan patch ke sistem

Bab 14: Meretas Aplikasi Web

Rangkuman Teknologi
Peningkatan penggunaan aplikasi Web yang signifikan membutuhkan ketersediaan yang
tinggi dan ekstrim
kinerja aplikasi. Di era modern ini, aplikasi web populer digunakan di sektor korporat
untuk melakukan tugas-tugas penting serta digunakan secara global untuk tujuan
sosial. Aplikasi web populer digunakan di sektor korporat untuk melakukan tugas-tugas
penting serta digunakan secara global untuk tujuan sosial. Hal ini menjadi tantangan
besar bagi administrator server web dan administrator Server Aplikasi untuk
memastikan
langkah-langkah keamanan dan menghilangkan kerentanan untuk memberikan
ketersediaan yang tinggi dan kinerja yang lancar

Konsep Aplikasi Web

Aplikasi Web adalah aplikasi yang berjalan di server aplikasi jarak jauh dan tersedia
untuk klien melalui internet.
Administrator Server Administrator server adalah orang yang mengurus server web
dalam hal keselamatan, keamanan, fungsi, dan kinerja.
Ia bertanggung jawab untuk memperkirakan langkah-langkah keamanan dan
menerapkan model keamanan, menemukan dan menghilangkan kerentanan.
Klien Klien adalah titik akhir yang berinteraksi dengan server web atau server aplikasi
untuk memanfaatkan layanan yang ditawarkan oleh server.
Klien-klien ini membutuhkan layanan yang sangat tersedia dari server setiap saat
Ketika klien-klien ini mengakses sumber daya, mereka menggunakan peramban web
yang berbeda yang mungkin berisiko dalam hal keamanan.
Semua pemrosesan dikontrol dan diproses pada back-end

CSS JavaScript HTML

Aplikasi web pada dasarnya bekerja pada lapisan-lapisan berikut:
Lapisan Presentasi: Lapisan Presentasi Bertanggung jawab untuk menampilkan dan
menyajikan informasi kepada pengguna di sisi klien.
Lapisan Data: Lapisan Data Bertanggung jawab untuk menyimpan data dan informasi
u n t u k aplikasi secara keseluruhan.
Web 2.0 adalah generasi situs web world wide web yang menyediakan interaksi
pengguna yang dinamis dan fleksibel.
Ini memberikan kemudahan penggunaan, interoperabilitas antara produk, sistem, dan
perangkat lain. Web 2.0 memungkinkan pengguna untuk berinteraksi dan berkolaborasi
dengan platform sosial seperti situs media sosial dan situs jejaring sosial.
Yaitu, web 1.0 di mana pengguna terbatas pada tampilan pasif untuk konten
statis. Web 2.0 menawarkan kebebasan yang sama bagi semua pengguna
untuk berkontribusi.
Web 2.0 menawarkan hampir semua pengguna kebebasan yang sama untuk
berkontribusi. karakteristik Web 2.0 adalah pengalaman pengguna yang kaya,
partisipasi pengguna, konten dinamis, metadata, standar Web, dan skalabilitas

Keracunan Kue
Kebocoran Informasi Penyimpanan yang Tidak Aman Direktori Traversal
Parameter/Formulir Perusakan Parameter/Performulir Serangan DOS Buffer Overflow
Perusakan Log SQL Injeksi Lintas Situs (XSS) Pemalsuan Permintaan Lintas Situs
Pemalsuan Keamanan Salah Konfigurasi Manajemen Sesi Rusak Serangan DMZ
Pembajakan Sesi Serangan Akses Jaringan Masukan yang Tidak Valid Masukan yang
Tidak Valid Referensi Masukan yang Tidak Valid
untuk memproses input yang tidak divalidasi dari klien ke aplikasi web atau server
backend.
Ini adalah kerentanan yang dapat dieksploitasi untuk melakukan serangan XSS, buffer
overflow, dan injeksi.
Penguncian Akun Seorang penyerang mencoba mengunci akun yang sah dengan
mencoba kata sandi yang tidak valid

Metodologi Peretasan Aplikasi Web

Menganalisis Aplikasi Web Menganalisis aplikasi Web termasuk mengamati
fungsionalitas dan parameter lain untuk mengidentifikasi kerentanan, titik masuk dan
teknologi server yang dapat dieksploitasi.
Serangan Sesi Eksploitasi Cookie Enumerasi Nama Pengguna Serangan Kata Sandi
Serangan Skema Serangan Otorisasi Penyerang dengan mengakses aplikasi web
menggunakan akun dengan hak istimewa rendah, meningkatkan hak istimewa untuk
mengakses informasi sensitif.
Berbagai teknik yang digunakan seperti URL, data POST, string Query, cookie,
pengubahan parameter, header HTTP, dll.
Serangan Manajemen Sesi Seperti yang telah dijelaskan sebelumnya, serangan
manajemen sesi dilakukan dengan melewati otentikasi untuk menyamar sebagai
pengguna resmi yang sah.
Injeksi Skrip Web Injeksi Perintah OS Injeksi SMTP Injeksi SQL Injeksi LDAP Injeksi
XPath Injeksi Buffer Overflow Serangan Kanonikalisasi Konektivitas Data Serangan
konektivitas basis data difokuskan untuk mengeksploitasi konektivitas data antara
aplikasi dan basis datanya.

Skema Pengkodean
Aplikasi Web menggunakan skema penyandian yang berbeda untuk
mengamankan datanya. Skema penyandian ini dikategorikan ke dalam dua
kategori.
Pengkodean URL Pengkodean URL adalah teknik pengkodean untuk penanganan URL
yang aman. Karakter ASCII yang tidak biasa digantikan oleh kode ASCII, "%" diikuti oleh
dua digit heksadesimal.
Bagan berikut ini menunjukkan beberapa simbol dan kodenya.
Pengkodean HTML Mirip dengan Pengkodean URL, pengkodean HTML adalah teknik
untuk merepresentasikan karakter yang tidak biasa dengan kode HTML.
ASCII adalah standar pengkodean karakter pertama yang mendukung 128 karakter
alfanumerik yang berbeda.
Teknik lain seperti ANSI dan ISO-8859-1 mendukung 256, UTF-8 (Unicode) mencakup
hampir semua karakter dan Simbol.

Bab 15: Injeksi SQL

Ringkasan Teknologi
Pada bab ini, injeksi Structured Query Language (SQL) akan dibahas. Injeksi SQL
adalah metode serangan yang populer dan kompleks terhadap layanan web, aplikasi,
dan Database. Dibutuhkan pengetahuan yang mendalam tentang proses aplikasi web
dan komponen-komponennya seperti database dan SQL. SQL Injection pada dasarnya
adalah penyisipan kode atau skrip berbahaya dengan mengeksploitasi kerentanan
untuk meluncurkan serangan yang didukung oleh komponen back-end. Bab ini akan
memberikan informasi tentang konsep atau injeksi SQL, jenis-jenis, metodologi dan
teknik pertahanan dari injeksi SQL

Injeksi SQL
Serangan Injeksi SQL menggunakan situs web SQL atau aplikasi web. Serangan ini
mengandalkan injeksi strategis kode atau skrip berbahaya ke dalam kueri yang ada.
Kode berbahaya ini dibuat dengan tujuan untuk mengungkapkan atau memanipulasi
data yang disimpan dalam tabel-tabel di dalam database.
Injeksi SQL adalah serangan yang kuat dan berbahaya. Serangan ini mengidentifikasi
kelemahan dan kerentanan pada situs web atau aplikasi. Konsep dasar injeksi SQL
adalah menyuntikkan perintah untuk mengungkapkan informasi sensitif dari basis data.
Hal ini dapat mengakibatkan serangan yang sangat berbahaya.

Bagaimana Kueri SQL bekerja

Injeksi kueri SQL akan dieksekusi di server dan dijawab oleh respons. Kueri SQL
berikutnya akan diminta ke server.
Perintah-perintah ini akan menampilkan semua informasi yang tersimpan dalam tabel
database "Pesanan".
Jika sebuah organisasi menyimpan catatan pesanan mereka ke dalam basis data,
semua informasi yang disimpan dalam tabel basis data ini akan diekstraksi oleh
perintah

Kota London Paris New York Boston

Ada banyak sekali perintah kueri SQL yang dapat digunakan.
Berikut ini adalah sebagian dari perintah yang paling umum dan efektif yang digunakan
untuk injeksi.
Kueri Pembaruan SQL Pernyataan UPDATE digunakan untuk memodifikasi catatan
yang ada dalam tabel.
UPDATE Pelanggan SET NamaKontak = 'IPSpecialist, Kota= 'Frankfurt' WHERE
CustomerID = 1; Database akan menjadi: -

Jenis-jenis Injeksi SQL

Injeksi SQL In-Band adalah kategori yang mencakup teknik injeksi yang menggunakan
saluran komunikasi yang sama untuk meluncurkan serangan injeksi dan
mengumpulkan informasi dari respons.
Injeksi SQL Berbasis Kesalahan Injeksi SQL Berbasis Kesalahan Injeksi SQL berbasis
kesalahan adalah salah satu teknik Injeksi SQL in-band. Teknik ini bergantung pada
pesan kesalahan dari server basis data untuk mengungkapkan informasi tentang
struktur basis data.
Injeksi SQL berbasis kesalahan sangat efektif bagi penyerang untuk mencacah seluruh
basis data.
Injeksi SQL out-of-band adalah teknik injeksi yang menggunakan saluran yang berbeda
untuk meluncurkan injeksi dan mengumpulkan respons. Teknik ini membutuhkan
beberapa fitur yang diaktifkan seperti permintaan DNS atau HTTP pada server basis
data yang tidak terlalu umum

Pengumpulan Informasi dan Deteksi Kerentanan Injeksi SQL

Pada tahap pengumpulan informasi, Kumpulkan informasi tentang aplikasi web, sistem
operasi, basis data, dan struktur komponen.
Evaluasi informasi yang diekstrak akan sangat membantu untuk mengidentifikasi
kerentanan yang dapat dieksploitasi. Informasi dapat dikumpulkan dengan
menggunakan alat dan teknik yang berbeda seperti menyuntikkan kode ke dalam kolom
input untuk mengamati respon pesan kesalahan.
Evaluasi bidang input, bidang tersembunyi, permintaan get dan post, cookie, nilai string,
dan pesan kesalahan terperinci dapat mengungkapkan informasi yang cukup untuk
serangan injeksi awal

Meluncurkan Serangan Injeksi SQL

Serangan injeksi SQL yang tepat dari kategori cab dapat dimulai setelah
mengumpulkan informasi tentang struktur database dan kerentanan yang ditemukan.
Serangan injeksi SQL seperti injeksi SQL Union, injeksi SQL berbasis kesalahan,
injeksi SQL buta dan lainnya dapat digunakan untuk mengekstrak informasi dari
database seperti mengekstrak nama database, tabel, kolom, baris, dan field. Injeksi ini
dapat dimaksudkan untuk melewati otentikasi.

Injeksi SQL Tingkat Lanjut

Injeksi SQL tingkat lanjut dapat mencakup pencacahan basis data seperti MySQL,
MSSQL, MS Access, Oracle, DB2, atau Postgre SQL, tabel dan kolom untuk
mengidentifikasi tingkat hak istimewa pengguna, informasi akun administrator basis
data, dan pengungkapan struktur basis data. ini juga mencakup kata sandi dan
pengambilan hash, dan mentransfer basis data ke mesin jarak jauh.

Menghindari IDS
Untuk mengamankan basis data, penyebaran terisolasi di lokasi jaringan yang aman
dengan sistem deteksi intrusi (IDS) direkomendasikan.
IDS terus memonitor jaringan dan lalu lintas host serta aplikasi database. Penyerang
harus menghindari IDS untuk mengakses database, untuk itu, IDS menggunakan teknik
penghindaran yang berbeda. IDS menggunakan sistem Deteksi berbasis tanda tangan
untuk membandingkan string input
terhadap tanda tangan untuk mendeteksi penyusupan. Y a n g harus Anda lakukan
adalah menghindari deteksi berbasis tanda tangan.

Jenis-jenis Teknik Penghindaran Tanda Tangan

Untuk memitigasi serangan injeksi SQL, ada beberapa alat pendeteksi yang tersedia
yang dapat digunakan. Alat-alat ini melakukan pengujian terhadap situs web dan
aplikasi serta melaporkan data, masalah, dan tindakan perbaikan. Beberapa alat
canggih ini menawarkan deskripsi teknis sebagai masalah