Web security (basic)

Pembahasan :

Keamanan dalam aplikasi website merupakan sebuah topic utama yang harus diperhatikan.
Berbagai macam serangan yang dapat dibangun untuk menyerang sebuah website. Serangan
yang sering diserang adalah pengiriman email sampah (spam), pencurian kata sandi (password),
pencurian data, dll. Cara yang dapat dilakukan adalah sebagai berikut :
1. Penyusunan Struktur File
File kode program merupakan bagian-bagian yang mendukung berdirinya sebuah
website. File-file tersebut dikelompokkan dalam folder-folder sesuai dengan kegunaan
masing-masing. Folder-folder tersebut ditampung dalam sebuah folder-folder
pendukung.folder-folder dalam folder dokumen berupa :
a. Admin, yaitu folder yang berfungsi menampung folder-folder modul yang akan
ditampilkan pada halaman administrator.
b. Library, yaitu folder yang berfungsi menyimpan file yang akan dimasukkan pada file-
file untuk membangun website seperti file koneksi database.
c. Modul, yaitu folder yang berfungsi menyimpan file-file untuk menampilkan konten
yang akan dimuat pada halaman website seperti kalalog, berita, calendar event, image
gallery, forum dll.
2. Management User
Pengelolaan user merupakan hal yang sangat penting dalam pengamanan aplikasi
website. Beberapa hal yang perlu diperhatikan dalam manajemen user adalah sebagai
berikut:
a. Enkripsi Password User
Merupakan penyandian password dengan algoritma tertentu. Hal ini diperlukan untuk
mencegah pencurian password oleh pihak-pihak tertentu.
Contoh sintaks
$kd_user =$_post(‘kd_user’);
$username =$_post(‘username’);
$pass =$_post(‘password’);

Web Security (Basic) by Avin Wimar B. Page 1

 $password =md5($pass);
$email =$_post(‘email’);
$level =$_post(‘level’);
b. Penggunaan Session
Session merupakan fasilitas dalam PHP digunakan untuk menyimpan informasi
dalam waktu tertentu. Pada authentikasi login, session ini dimanfaatkan untuk
menyimpan hak akses dari user, juga mencegah masuknya penyusup ke dalam system
web tersebut.
3. Antispam dengan captcha
Kegiatan memasukkan sampah kedalam email berupa iklan ke fasilitas komentar atau
buku tamu. Hal ini dilakukan oleh para internet marketer untuk menyebarkan link mereka
melalui fasilitas buku tamu atau komentar. Salah satu cara mencegah kegiatan spamming
adalah dengan menggunakan captcha.
Contoh sintax:
<?
Session_start();
$alphanumeric=”123456789ABCDEFGHIJKLMNOPQRSTUVWXZ”;
$random=substr(str_shuffle($alphanumeric),0,5);
$image=imagecreatefromjpeg(“background.jpg”);
$textcolor=imagecolorallocate($image,0,0,0);
Imagestring($image,5,5,8,$random,$textcolor);
$_SESSION[‘image_random_value’]=md5($random);
Header(“expires:mon,28 mei 2013 05:00:00 GMT”);
Header(Last-modified:”gmdate(“D,d M Y H:i:s”).”GMT”);
Header(“cache-control:no-store,no-cache,must-revalidate”);
Header(“cache-control:post-check=0,pre-check-0”,false);
Header(“pragma:no-cache”);
Header(‘content-type:image/jpeg’);
Imagejpeg($image);
Imagedestroy($image);

Web Security (Basic) by Avin Wimar B. Page 2

 ?>
4. Mencegah XSS attack
XSS merupakan singkatan dari cross site scripting. XSS adalah salah satu teknik
melumpuhkan pertahanan sebuah system berbasis web. Hal ini dikarenakan adanya celah
untuk melakukan penyerangan yang berupa kegagalan melakukan validasi input oleh
user. Pada celah inilah para penyerang mulai melakukan aksi mereka dengan
menambahkan kode program yang umumnya dilakukan melalui field. Hal ini sangat fatal
bagi system apabila kodeyang dimasukkan oleh penyerang adalah untuk mendapatkan
nilai cookies serta mengirimkannya kedalam lokasi yang telah ditentukan.
Langkah-langkah dalam mencegah XSS attack :
a. Menambahkan kode htmlspecialchars() yang berfungsi untuk mengubah &,’,”,< dan
> dalam format html seperti &amp:, &quot:, dll.
b. Menambahkan kode htmlentities() yang berfungsi untuk mengubah alpacas karakter
ke dalam format html masing-masing.
c. Menambahkan kode strip_tags() yang berfungsi memindahkan semua kode sintax
html dan php.
5. Mencegah SQL Injection
SQL injection adalah teknik untuk masuk kedalam sebuah system dengan cara
memberikan perintah query melalui metode GET maupun POST.kelemahan ini muncul
dari kesalahan skrip program tersebut atau dapat juga berasal dari dalam server itu
sendiri. Hal ini menyebabkan database server membangkitkan perintah query yang tidak
valid
6. Menutup Celah Aplikasi Download
Aplikasi download biasa terdapat pada system aplikasi penjualan online yang
menawarkan produk berupa e-book. Aplikasi ini dengan tindakan pencurian produk
digital. Pengaman ini dapat dilakukan menggunakan fasilitas session pada aplikasi.
7. Sensor Data Entry yang tidak dikehendaki
Pada aplikasi cms biasanya terdapat fasilitas buku tamu maupun input komentar yang
dapat diakses oleh berbagai pihak. Konten yang dikirimkan beraneka macam gaya
bahasa, ada yang sopan maupun ada juga yang kurang sopan. Hal ini dapat dicegah

Web Security (Basic) by Avin Wimar B. Page 3

 dengan cara pembuatan sebuah filter yang berupa table yang berfungsi menyimpan data
kata-kata yang tidak sopan masuk ke dalam fasilitas buku tamu ataupun form komentar.

Web Security (Basic) by Avin Wimar B. Page 4