際際滷

際際滷Share a Scribd company logo

Pertemuan 13 Security for Web Applications.pptx

Download as PPTX, PDF
F
fauzandika

Dokumen ini membahas tentang pentingnya keamanan website, termasuk pengamanan jaringan, server, dan database dari berbagai ancaman siber. Keamanan website sangat penting untuk melindungi informasi sensitif dan menjaga hubungan bisnis. Selain itu, dijelaskan juga tentang implementasi protokol keamanan seperti SSL dan kontrol akses untuk melindungi data pengguna.

Technology
1 of 42
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
Keamanan Website dan Database Fauzan Dika,S.Kom., M.Kom.
Apa itu keamanan website? Keamanan website adalah kegiatan melindungi situs web dan jaringannya, baik pribadi maupun perusahaan dari berbagai ancaman siber seperti pengambilan data sampai perusakan software dan hardware. Nama lain dari keamanan web adalah cyber security atau website security.
Keamanan Website 01 Keamanan Jaringan dan Server Pengamanan Jaringan Pengamanan Server. 02 Programming Pengkodingan Production, testing, development Manajemen file 03 Database Query Struktur database, tabel, dll.
Keamanan Server dan Jaringan Internet Jaringan Hackers & Snoopers Server
Mengapa Keamanan Website Penting? Kemampuan menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam information- based society.
Mengapa Keamanan Website Penting? Sangat pentingnya informasi hanya boleh diakses oleh orang yang terotorisasi. Adanya pencurian informasi karena nilai ekonomis yang tinggi
Mengapa Keamanan Website Penting? Perubahan fungsi PC menjadi shared-computer. Adanya LAN (computer networks) basisdata mulai terhubung ke jaringan komputer
Potensi Ancaman Pengguna Akhir Menggunakan hak akses orang lain Melihat & menutup data yang tdk diotorisasi Staf tdk ditraining Input data yg dilakukan oleh yg tidak berhak Virus Programer/Operator Membuat password Membuat program yang tidak aman Staf yg tdk ditraining Kebijakan , keamanan & prosedur Pemogokan staf Database Administrator Kebijakan , keamanan & prosedur Jaringan Komunikasi Wire tapping Kabel yg putus / tdk terkoneksi Radiasi Database Aturan yg tdk diotorisasi Penduplikatan data Pencurian Data Kehilangan data akibat gangguan listrik Hardware Kebakaran / banjir / bom Pencurian perangkat Kerusakan perangkat Kesalahan mekanisme keamanan Kehilangan data akibat gangguan listrik DBMS & Software Aplikasi Kesalahan mekanisme keamanan Perubahan Program Pencurian program
Whats Web ? Web mempresentasikan informasi dalam bentuk teks, gambar, suara, dll dalam bentuk hypertext dan dapat diakses oleh perangkat lunak yang disebut browser. Web Browser program / aplikasi yang digunakan untuk membuka halaman web Web Server perangkat lunak server yang berfungsi menerima permintaan HTTP /HTTPS dari klien dan mengirimkan hasilnya dalam bentuk halaman web (dokumen HTML)
Why Learn Web Security ? Kegunaan dari web tidak hanya untuk browsing, tetapi juga untuk melayani end user melalui antarmuka browser mereka. Komponen Web menggunakan berbagai protokol dan layanan untuk memberikan konten yang diinginkan end user.
Why Learn Web Security ? Banyak pemilik website tidak memperhatikan keamanan website karena: menganggap bahwa perusahaan mereka masih kecil dan tidak mungkin ada hacker yang mau melirik hacker menggunakan tools/software otomatis untuk menemukan situs yang memiliki kriteria kelemahan-kelemahan tertentu
Why Have To Be Secured ? Website adalah brand, pintu depan, bahkan sebagian merupakan wadah/media yang pertama kali menghubungkan perusahaan dengan customer. Semakin besar interaksi customer dengan website, makin tinggi kebutuhan keamanan untuk website tersebut.
Why Have To Be Secured ? Serangan hacker berdampak buruk pada relasi bisnis, baik itu bussiness to bussiness maupun bussiness to consumer Hacker dapat menyisipkan malware yang bekerja mengambil data customer
What Should Be Secured ? Dari sudut pandang sistem: Mengamankan server yang memberikan konten kepada user melalui Web. Mengamankan transportasi informasi antara user dan server melalui Web. Mengamankan komputer user dari serangan melalui koneksi Web.
Sistem Kerja Web Server Pada dasarnya tugas web server : Menerima permintaan (request) dari client, dan Mengirimkan apa yang diminta oleh client (response).
Sistem Kerja Web 1. User mengakses website berupa URL melalui Web Browser (media untuk menuju URL yang diakses), 2. Web Browser mengirimkan permintaan berupa HTTP Request kepada Web Server melalui layer TCP/IP 3. Web Server memberikan Web Files yang di-request (jika ada) melalui HTTP Response melalui layer TCP/IP, 4. Web Browser menerima Web Files, dan kemudian dikirimkan kepada User berupa Display.
Sistem Kerja Web Server 1. Client (user) meminta suatu halaman ke server untuk ditampilkan dikomputer client. Misalnya dengan mengetikkan suatu alamat/URL di browser http://www.google.com. 2. Melalui protokol http, dicarilah komputer bernama www.google.com. 3. Jika ditemukan, maka seolah-olah terjadi permintaan, hai google, ada client yang minta halaman utama ni.., ada dimana halamannya?. Inilah yang disebut request. 4. Dari sisi server, web.........
Sistem Kerja Web Server 4. Dari sisi server, web server mendapat permintaan halaman utama google dari client, si server akan mencari halaman sesuai permintaan. 5. Jika ditemukan, maka halaman yang diminta akan dikirimkan ke client, 6. Jika tidak ditemukan, maka server akan memberi pesan 404. Page Not Found, yang artinya halaman tidak ditemukan.
Penanganan Ancaman Pada Web Mencegah user yang tidak sah untuk mengakses data sensitif Otentikasi: mengidentifikasi user untuk menentukan apakah mereka adalah orang yang berwenang Akses kontrol: mengidentifikasi sumber daya yang membutuhkan perlindungan dan siapa saja yang memiliki akses kepada mereka Mencegah penyerang mencuri data selama transmisi Enkripsi (biasanya dengan Secure Sockets Layer)
Penanganan Ancaman Pada Web Mengumpulkan informasi user ID dari end user ("log in") biasanya melalui dialog / antarmuka browser informasi user ID biasanya mengacu pada username dan password Memindahkan informasi user ID ke server web Tidak aman (HTTP) maupun aman (HTTPS = HTTP melalui SSL)
Penanganan Ancaman Pada Web Verifikasi ID dan password Realms menyimpan username, password, dll, dapat diatur dengan cara LDAP, RDBMS, dll Validasi: cek di server web jika user ID & password match dengan yang ada di Realms. Menjaga otentikasi user sebelumnya untuk operasi HTTP selanjutnya
What is Secure Sockets Layer (SSL)? Protokol yang dikembangkan pada tahun 1996 oleh Netscape untuk keamanan transmisi dokumen web pribadi melalui Internet. Menggunakan kunci pribadi dan publik untuk mengenkripsi data yang dikirim melalui koneksi SSL. Dengan konvensi, URL yang membutuhkan koneksi SSL dimulai dengan https bukan http. SSL diperlukan ketika ... Ada proses login atau sign in (untuk melindungi nama pengguna dan password) Mentransmisikan data sensitif secara online, seperti informasi kartu kredit, dll Seseorang memerlukan privasi dan persyaratan keamanan
Use of an SSL Certificate Untuk mengaktifkan koneksi SSL, server membutuhkan sertifikat SSL yang ditandatangani oleh Certificate Authority (CA). CA memverifikasi ID dari pemilik sertifikat ketika sertifikat SSL dikeluarkan. Setiap Sertifikat SSL berisi informasi yang unik dan otentik tentang pemilik sertifikat, seperti ID, lokasi, kunci publik, dan tanda tangan dari CA. Hal ini menegaskan bahwa Anda benar-benar user yang sah. Sertifikat SSL memungkinkan enkripsi informasi selama transaksi online dengan cara menggunakan cryptosystem hybrid.
How SSL Works?
CA Root Certificate Web browser membutuhkan sertifikat utama CA yang mengeluarkan sertifikat SSL ke web-server untuk memverifikasi apakah server web terpercaya. Jika browser tidak memiliki / mempercayai sertifikat utama CA , kebanyakan browser web akan memberi peringatan :
Types of Web Application Security Ada dua jenis aplikasi untuk keamanan web : Keamanan Deklaratif Keamanan secara otomatis ditangani oleh sistem, hanya perlu melakukan konfigurasi (pada file web.xml) Keamanan Program Semua keamanan (otentikasi, akses kontrol, dll) dilakukan oleh program yang dibuat oleh user.
Declarative Security Keamanan secara otomatis ditangani oleh sistem, hanya perlu melakukan konfigurasi (pada file web.xml) Untuk mencegah akses yang tidak sah Menggunakan aplikasi Web deployment descriptor (web.xml) untuk menyatakan bahwa URL tertentu membutuhkan perlindungan. Server secara otomatis meminta user untuk memasukkan username dan password, melakukan verifikasi, dan melacak user yang telah dikonfirmasi sebelumnya.
Declarative Security Untuk melindungi data yang dikirimkan melalui jaringan Menggunakan web.xml untuk mengkonfigurasi URL supaya hanya bisa diakses dengan SSL. Jika user mencoba mengakses URL yang dilindungi melalui HTTP biasa, server secara otomatis mengarahkan mereka ke HTTPS (SSL) yang sesuai.
Program Security Semua keamanan (otentikasi, akses kontrol, dll) dilakukan oleh program yang dibuat oleh user. Untuk mencegah akses yang tidak sah mengotentikasi user atau memverifikasi bahwa user telah dikonfirmasi sebelumnya. Untuk melindungi data yang dikirimkan melalui jaringan SSL adalah metode umum untuk melindungi data pada jaringan. Hanya perlu mengarahkan permintaan ke https URL secara eksplisit dalam program.
Keamanan Database
Aspek untuk dukungan keamanan Basisdata Network security fokus kepada saluran pembawa informasi. Application security fokus kepada aplikasi itu sendiri. Computer security fokus kepada keamanan dari komputer (end system) yang digunakan.
Aspek Keamanan Basisdata Privacy / confidentiality Proteksi terhadap data yang bersifat pribadi, seperti: Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan Data pelanggan Transaksi pada e-commerce Proteksi terhadap serangan sniffer.
Aspek Keamanan Basisdata Integrity Informasi tidak berubah tanpa ijin, seperti: Tampered (menimpa data lama) Altered (perubahan nilai data edited) Modified (disisipkan, ditambah, dihapus) Proteksi terhadap serangan sniffer.
Aspek Keamanan Basisdata Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan penggunaan digital signature, biometrics. Proteksi terhadap serangan: password palsu.
Aspek Keamanan Basisdata Availability Informasi harus dapat tersedia ketika dibutuhkan Proteksi terhadap serangan: Denial of Service (DoS) attack. server dibuat hang, down, crash.
Aspek Keamanan Basisdata Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) Proteksi terhadap serangan: deception (penipuan) Teknik yang dipakai : digital signature. Digital signature memenuhi aspek authentication dan non repudiation. Digital signature menggunakan 2 kunci, yaitu kunci privat dan kunci publik Bila data telah diubah oleh pihak luar, maka Digital Signature juga ikut berubah sehingga kunci privat yang ada tidak akan bisa membukanya. Dengan cara yang sama, pengirim data tidak dapat menyangkal data yang telah dikirimkannya.
Aspek Keamanan Basisdata Bila Digital Signature cocok dengan kunci privat yang dipegang oleh penerima data, maka dapat dipastikan bahwa pengirim adalah pemegang kunci privat yang sama. Ini berarti Digital Signature memenuhi syarat keamanan, yaitu Nonrepudiation
Aspek Keamanan Basisdata Access Control Mekanisme untuk mengatur siapa yang boleh melakuan akses dan apa yang boleh diakses biasanya menggunakan password. adanya kelas / klasifikasi privillege user. Proteksi terhadap serangan: intruder (pengacau)
Modification: mengubah data tanpa ijin dari pihak otoritas. Adding or modifying data : menambah atau mengubah informasi dalam database. Fabrication: perusakan secara mendasar pada sistem utama. Injection through user input: penyerang menyuntikkan perintah SQL dengan menyediakan input pengguna yang sengaja dibuat sesuai.
Konsep Keamanan Bertingkat Dalam Database Konsep pendekatan berlapis: Meningkatkan deteksi resiko serangan Mengurangi kesempatan berhasilnya penyerangan Pembakuan OS, pengelolaan jalur, autentikasi Firewalls, VPN quarantine Pengawasan, kunci, penandaan peralatan IP Security Pembakuan aplikasi, antivirus Enkripsi Pembelajaran user Kebijakan, Prosedur, & Kepedulian Kemanan fisik Perimeter Jaringan internal Host Aplikasi Data
Tingkat Pengamanan Pada Database Relasional Relasi user diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi. View user diperbolehkan atau tidak diperbolehkan mengakses data yang terdapat pada view. Read Authorization user diperbolehkan membaca data, tetapi tidak dapat memodifikasi. Insert Authorization user diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada.
Tingkat Pengamanan Pada Database Relasional Update Authorization user diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data. Index Authorization user diperbolehkan membuat dan menghapus index data. Resource Authorization user diperbolehkan membuat relasi-relasi baru. Alteration Authorization user diperbolehkan menambah/ menghapus atribut suatu relasi. Drop Authorization user diperbolehkan menghapus relasi yang sudah ada. Delete Authorization user diperbolehkan menghapus data.

More Related Content

Similar to Pertemuan 13 Security for Web Applications.pptx (20)

PDF
Pertemuan06 keamanansistemwww
Roziq Bahtiar
PPT
5
Sani Pribadi
PDF
World wide web security
likut101010
DOCX
Tugas keamanan sistem informasi4
James Montolalu
PPT
Tugas 2 0317 (individu) andrian lesmana
Andrian Lesmana
PDF
Apa Itu Web Server Cara Kerja dan Fungsi dari Server Itu Sendiri.pdf
PODCAST88
PPTX
Presentasi web security
inyonoel
PPTX
Tugas atpi aplikasi teknologi dan pengelolaan informasi
Febriy Y
PPT
Pengenalan_Pemrograman_Web_Berbasis_HTML.ppt
Nenghamidah1
PPTX
17. Memahami Web.pptx
Tantost1
PPTX
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
storeachnew
PDF
Sistem keamanan komputer
Rhusman 05
PDF
Sistem keamanan komputer
Rhusman 05
PPTX
Tugas 2 0317-imelda felicia-1412510545
imeldafelicia
PPTX
Tugas 2 0317-dewi apriliani-1412510602
dewiapril1996
DOCX
Makalah web server debian 6 - refzqi
safei123
PPTX
web-security
Rahmat Mukodas
PDF
Seminar Web 2.0 Security - Undip Semarang - Nov 2007
Bambang Purnomosidi D. P.
PPTX
Tugas 2 0317-nurul azmi-1412510587
nurul azmi
PPTX
Tugas 2 0317-fahreza yozi-1612510832
fahreza yozi
Pertemuan06 keamanansistemwww
Roziq Bahtiar
5
Sani Pribadi
World wide web security
likut101010
Tugas keamanan sistem informasi4
James Montolalu
Tugas 2 0317 (individu) andrian lesmana
Andrian Lesmana
Apa Itu Web Server Cara Kerja dan Fungsi dari Server Itu Sendiri.pdf
PODCAST88
Presentasi web security
inyonoel
Tugas atpi aplikasi teknologi dan pengelolaan informasi
Febriy Y
Pengenalan_Pemrograman_Web_Berbasis_HTML.ppt
Nenghamidah1
17. Memahami Web.pptx
Tantost1
WEB SERVER hsjskabqmmwhahyuaiajggnew.pptx
storeachnew
Sistem keamanan komputer
Rhusman 05
Sistem keamanan komputer
Rhusman 05
Tugas 2 0317-imelda felicia-1412510545
imeldafelicia
Tugas 2 0317-dewi apriliani-1412510602
dewiapril1996
Makalah web server debian 6 - refzqi
safei123
web-security
Rahmat Mukodas
Seminar Web 2.0 Security - Undip Semarang - Nov 2007
Bambang Purnomosidi D. P.
Tugas 2 0317-nurul azmi-1412510587
nurul azmi
Tugas 2 0317-fahreza yozi-1612510832
fahreza yozi

More from fauzandika (19)

PPTX
Materi Whatapps Messanging Pelaksanaan PkM
fauzandika
PDF
Surat Tugas PkM Dosen TA. Ganjil 2024-2025.pdf
fauzandika
PDF
Kuesioner PkM Dosen TA. Ganjil 2024-2025.pdf
fauzandika
PPTX
Pertemuan 9 Komunikasi Data Sistem Jaringan Komputer.pptx
fauzandika
PPTX
Pertemuan 11 Komunikasi Data Konsep Data Protokol.pptx
fauzandika
PPTX
Pertemuan 5 Komunikasi Data Media Transmisi Nirkabel.pptx
fauzandika
PPTX
Pertemuan 1Pengenalan Konsep Komunikasi Data
fauzandika
PPTX
Pertemuan 17 Fase Kontruksi dalam Pengembangan SI.pptx
fauzandika
PPTX
Pertemuan 11 RapidMiner dan Decision Tree.pptx
fauzandika
PPTX
Pertemuan 12 Manajemen Data dan Informasi.pptx
fauzandika
PPTX
Pertemuan 2 Trend Teknologi Enterprise Resource Planning
fauzandika
PPTX
Pertemuan 12 Integrasi Data Konsumen.pptx
fauzandika
PPTX
Pertemuan 10 Memulai CRM dengan Odoo.pptx
fauzandika
PPTX
Tugas Sequence Diagram Rekayasa Perangkat Lunak.pptx
fauzandika
PDF
Sertifikat Pengabdian Kepada Masyarakat.
fauzandika
PPTX
Pertemuan 6 Tenologi untuk Aplikasi Web (Client Server).pptx
fauzandika
PDF
4_ERD (.Entity Relationship Diagram).pdf
fauzandika
PPTX
Pertemuan 3 Modelling Web Aplication.pptx
fauzandika
PPTX
Pertemuan 1 Pengertian Customer Relationship Management.pptx
fauzandika
Materi Whatapps Messanging Pelaksanaan PkM
fauzandika
Surat Tugas PkM Dosen TA. Ganjil 2024-2025.pdf
fauzandika
Kuesioner PkM Dosen TA. Ganjil 2024-2025.pdf
fauzandika
Pertemuan 9 Komunikasi Data Sistem Jaringan Komputer.pptx
fauzandika
Pertemuan 11 Komunikasi Data Konsep Data Protokol.pptx
fauzandika
Pertemuan 5 Komunikasi Data Media Transmisi Nirkabel.pptx
fauzandika
Pertemuan 1Pengenalan Konsep Komunikasi Data
fauzandika
Pertemuan 17 Fase Kontruksi dalam Pengembangan SI.pptx
fauzandika
Pertemuan 11 RapidMiner dan Decision Tree.pptx
fauzandika
Pertemuan 12 Manajemen Data dan Informasi.pptx
fauzandika
Pertemuan 2 Trend Teknologi Enterprise Resource Planning
fauzandika
Pertemuan 12 Integrasi Data Konsumen.pptx
fauzandika
Pertemuan 10 Memulai CRM dengan Odoo.pptx
fauzandika
Tugas Sequence Diagram Rekayasa Perangkat Lunak.pptx
fauzandika
Sertifikat Pengabdian Kepada Masyarakat.
fauzandika
Pertemuan 6 Tenologi untuk Aplikasi Web (Client Server).pptx
fauzandika
4_ERD (.Entity Relationship Diagram).pdf
fauzandika
Pertemuan 3 Modelling Web Aplication.pptx
fauzandika
Pertemuan 1 Pengertian Customer Relationship Management.pptx
fauzandika
Ad

Pertemuan 13 Security for Web Applications.pptx

  • 2. Apa itu keamanan website? Keamanan website adalah kegiatan melindungi situs web dan jaringannya, baik pribadi maupun perusahaan dari berbagai ancaman siber seperti pengambilan data sampai perusakan software dan hardware. Nama lain dari keamanan web adalah cyber security atau website security.
  • 3. Keamanan Website 01 Keamanan Jaringan dan Server Pengamanan Jaringan Pengamanan Server. 02 Programming Pengkodingan Production, testing, development Manajemen file 03 Database Query Struktur database, tabel, dll.
  • 4. Keamanan Server dan Jaringan Internet Jaringan Hackers & Snoopers Server
  • 5. Mengapa Keamanan Website Penting? Kemampuan menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam information- based society.
  • 6. Mengapa Keamanan Website Penting? Sangat pentingnya informasi hanya boleh diakses oleh orang yang terotorisasi. Adanya pencurian informasi karena nilai ekonomis yang tinggi
  • 7. Mengapa Keamanan Website Penting? Perubahan fungsi PC menjadi shared-computer. Adanya LAN (computer networks) basisdata mulai terhubung ke jaringan komputer
  • 8. Potensi Ancaman Pengguna Akhir Menggunakan hak akses orang lain Melihat & menutup data yang tdk diotorisasi Staf tdk ditraining Input data yg dilakukan oleh yg tidak berhak Virus Programer/Operator Membuat password Membuat program yang tidak aman Staf yg tdk ditraining Kebijakan , keamanan & prosedur Pemogokan staf Database Administrator Kebijakan , keamanan & prosedur Jaringan Komunikasi Wire tapping Kabel yg putus / tdk terkoneksi Radiasi Database Aturan yg tdk diotorisasi Penduplikatan data Pencurian Data Kehilangan data akibat gangguan listrik Hardware Kebakaran / banjir / bom Pencurian perangkat Kerusakan perangkat Kesalahan mekanisme keamanan Kehilangan data akibat gangguan listrik DBMS & Software Aplikasi Kesalahan mekanisme keamanan Perubahan Program Pencurian program
  • 9. Whats Web ? Web mempresentasikan informasi dalam bentuk teks, gambar, suara, dll dalam bentuk hypertext dan dapat diakses oleh perangkat lunak yang disebut browser. Web Browser program / aplikasi yang digunakan untuk membuka halaman web Web Server perangkat lunak server yang berfungsi menerima permintaan HTTP /HTTPS dari klien dan mengirimkan hasilnya dalam bentuk halaman web (dokumen HTML)
  • 10. Why Learn Web Security ? Kegunaan dari web tidak hanya untuk browsing, tetapi juga untuk melayani end user melalui antarmuka browser mereka. Komponen Web menggunakan berbagai protokol dan layanan untuk memberikan konten yang diinginkan end user.
  • 11. Why Learn Web Security ? Banyak pemilik website tidak memperhatikan keamanan website karena: menganggap bahwa perusahaan mereka masih kecil dan tidak mungkin ada hacker yang mau melirik hacker menggunakan tools/software otomatis untuk menemukan situs yang memiliki kriteria kelemahan-kelemahan tertentu
  • 12. Why Have To Be Secured ? Website adalah brand, pintu depan, bahkan sebagian merupakan wadah/media yang pertama kali menghubungkan perusahaan dengan customer. Semakin besar interaksi customer dengan website, makin tinggi kebutuhan keamanan untuk website tersebut.
  • 13. Why Have To Be Secured ? Serangan hacker berdampak buruk pada relasi bisnis, baik itu bussiness to bussiness maupun bussiness to consumer Hacker dapat menyisipkan malware yang bekerja mengambil data customer
  • 14. What Should Be Secured ? Dari sudut pandang sistem: Mengamankan server yang memberikan konten kepada user melalui Web. Mengamankan transportasi informasi antara user dan server melalui Web. Mengamankan komputer user dari serangan melalui koneksi Web.
  • 15. Sistem Kerja Web Server Pada dasarnya tugas web server : Menerima permintaan (request) dari client, dan Mengirimkan apa yang diminta oleh client (response).
  • 16. Sistem Kerja Web 1. User mengakses website berupa URL melalui Web Browser (media untuk menuju URL yang diakses), 2. Web Browser mengirimkan permintaan berupa HTTP Request kepada Web Server melalui layer TCP/IP 3. Web Server memberikan Web Files yang di-request (jika ada) melalui HTTP Response melalui layer TCP/IP, 4. Web Browser menerima Web Files, dan kemudian dikirimkan kepada User berupa Display.
  • 17. Sistem Kerja Web Server 1. Client (user) meminta suatu halaman ke server untuk ditampilkan dikomputer client. Misalnya dengan mengetikkan suatu alamat/URL di browser http://www.google.com. 2. Melalui protokol http, dicarilah komputer bernama www.google.com. 3. Jika ditemukan, maka seolah-olah terjadi permintaan, hai google, ada client yang minta halaman utama ni.., ada dimana halamannya?. Inilah yang disebut request. 4. Dari sisi server, web.........
  • 18. Sistem Kerja Web Server 4. Dari sisi server, web server mendapat permintaan halaman utama google dari client, si server akan mencari halaman sesuai permintaan. 5. Jika ditemukan, maka halaman yang diminta akan dikirimkan ke client, 6. Jika tidak ditemukan, maka server akan memberi pesan 404. Page Not Found, yang artinya halaman tidak ditemukan.
  • 19. Penanganan Ancaman Pada Web Mencegah user yang tidak sah untuk mengakses data sensitif Otentikasi: mengidentifikasi user untuk menentukan apakah mereka adalah orang yang berwenang Akses kontrol: mengidentifikasi sumber daya yang membutuhkan perlindungan dan siapa saja yang memiliki akses kepada mereka Mencegah penyerang mencuri data selama transmisi Enkripsi (biasanya dengan Secure Sockets Layer)
  • 20. Penanganan Ancaman Pada Web Mengumpulkan informasi user ID dari end user ("log in") biasanya melalui dialog / antarmuka browser informasi user ID biasanya mengacu pada username dan password Memindahkan informasi user ID ke server web Tidak aman (HTTP) maupun aman (HTTPS = HTTP melalui SSL)
  • 21. Penanganan Ancaman Pada Web Verifikasi ID dan password Realms menyimpan username, password, dll, dapat diatur dengan cara LDAP, RDBMS, dll Validasi: cek di server web jika user ID & password match dengan yang ada di Realms. Menjaga otentikasi user sebelumnya untuk operasi HTTP selanjutnya
  • 22. What is Secure Sockets Layer (SSL)? Protokol yang dikembangkan pada tahun 1996 oleh Netscape untuk keamanan transmisi dokumen web pribadi melalui Internet. Menggunakan kunci pribadi dan publik untuk mengenkripsi data yang dikirim melalui koneksi SSL. Dengan konvensi, URL yang membutuhkan koneksi SSL dimulai dengan https bukan http. SSL diperlukan ketika ... Ada proses login atau sign in (untuk melindungi nama pengguna dan password) Mentransmisikan data sensitif secara online, seperti informasi kartu kredit, dll Seseorang memerlukan privasi dan persyaratan keamanan
  • 23. Use of an SSL Certificate Untuk mengaktifkan koneksi SSL, server membutuhkan sertifikat SSL yang ditandatangani oleh Certificate Authority (CA). CA memverifikasi ID dari pemilik sertifikat ketika sertifikat SSL dikeluarkan. Setiap Sertifikat SSL berisi informasi yang unik dan otentik tentang pemilik sertifikat, seperti ID, lokasi, kunci publik, dan tanda tangan dari CA. Hal ini menegaskan bahwa Anda benar-benar user yang sah. Sertifikat SSL memungkinkan enkripsi informasi selama transaksi online dengan cara menggunakan cryptosystem hybrid.
  • 25. CA Root Certificate Web browser membutuhkan sertifikat utama CA yang mengeluarkan sertifikat SSL ke web-server untuk memverifikasi apakah server web terpercaya. Jika browser tidak memiliki / mempercayai sertifikat utama CA , kebanyakan browser web akan memberi peringatan :
  • 26. Types of Web Application Security Ada dua jenis aplikasi untuk keamanan web : Keamanan Deklaratif Keamanan secara otomatis ditangani oleh sistem, hanya perlu melakukan konfigurasi (pada file web.xml) Keamanan Program Semua keamanan (otentikasi, akses kontrol, dll) dilakukan oleh program yang dibuat oleh user.
  • 27. Declarative Security Keamanan secara otomatis ditangani oleh sistem, hanya perlu melakukan konfigurasi (pada file web.xml) Untuk mencegah akses yang tidak sah Menggunakan aplikasi Web deployment descriptor (web.xml) untuk menyatakan bahwa URL tertentu membutuhkan perlindungan. Server secara otomatis meminta user untuk memasukkan username dan password, melakukan verifikasi, dan melacak user yang telah dikonfirmasi sebelumnya.
  • 28. Declarative Security Untuk melindungi data yang dikirimkan melalui jaringan Menggunakan web.xml untuk mengkonfigurasi URL supaya hanya bisa diakses dengan SSL. Jika user mencoba mengakses URL yang dilindungi melalui HTTP biasa, server secara otomatis mengarahkan mereka ke HTTPS (SSL) yang sesuai.
  • 29. Program Security Semua keamanan (otentikasi, akses kontrol, dll) dilakukan oleh program yang dibuat oleh user. Untuk mencegah akses yang tidak sah mengotentikasi user atau memverifikasi bahwa user telah dikonfirmasi sebelumnya. Untuk melindungi data yang dikirimkan melalui jaringan SSL adalah metode umum untuk melindungi data pada jaringan. Hanya perlu mengarahkan permintaan ke https URL secara eksplisit dalam program.
  • 31. Aspek untuk dukungan keamanan Basisdata Network security fokus kepada saluran pembawa informasi. Application security fokus kepada aplikasi itu sendiri. Computer security fokus kepada keamanan dari komputer (end system) yang digunakan.
  • 32. Aspek Keamanan Basisdata Privacy / confidentiality Proteksi terhadap data yang bersifat pribadi, seperti: Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status perkawinan Data pelanggan Transaksi pada e-commerce Proteksi terhadap serangan sniffer.
  • 33. Aspek Keamanan Basisdata Integrity Informasi tidak berubah tanpa ijin, seperti: Tampered (menimpa data lama) Altered (perubahan nilai data edited) Modified (disisipkan, ditambah, dihapus) Proteksi terhadap serangan sniffer.
  • 34. Aspek Keamanan Basisdata Authentication Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan penggunaan digital signature, biometrics. Proteksi terhadap serangan: password palsu.
  • 35. Aspek Keamanan Basisdata Availability Informasi harus dapat tersedia ketika dibutuhkan Proteksi terhadap serangan: Denial of Service (DoS) attack. server dibuat hang, down, crash.
  • 36. Aspek Keamanan Basisdata Non-repudiation Tidak dapat menyangkal (telah melakukan transaksi) Proteksi terhadap serangan: deception (penipuan) Teknik yang dipakai : digital signature. Digital signature memenuhi aspek authentication dan non repudiation. Digital signature menggunakan 2 kunci, yaitu kunci privat dan kunci publik Bila data telah diubah oleh pihak luar, maka Digital Signature juga ikut berubah sehingga kunci privat yang ada tidak akan bisa membukanya. Dengan cara yang sama, pengirim data tidak dapat menyangkal data yang telah dikirimkannya.
  • 37. Aspek Keamanan Basisdata Bila Digital Signature cocok dengan kunci privat yang dipegang oleh penerima data, maka dapat dipastikan bahwa pengirim adalah pemegang kunci privat yang sama. Ini berarti Digital Signature memenuhi syarat keamanan, yaitu Nonrepudiation
  • 38. Aspek Keamanan Basisdata Access Control Mekanisme untuk mengatur siapa yang boleh melakuan akses dan apa yang boleh diakses biasanya menggunakan password. adanya kelas / klasifikasi privillege user. Proteksi terhadap serangan: intruder (pengacau)
  • 39. Modification: mengubah data tanpa ijin dari pihak otoritas. Adding or modifying data : menambah atau mengubah informasi dalam database. Fabrication: perusakan secara mendasar pada sistem utama. Injection through user input: penyerang menyuntikkan perintah SQL dengan menyediakan input pengguna yang sengaja dibuat sesuai.
  • 40. Konsep Keamanan Bertingkat Dalam Database Konsep pendekatan berlapis: Meningkatkan deteksi resiko serangan Mengurangi kesempatan berhasilnya penyerangan Pembakuan OS, pengelolaan jalur, autentikasi Firewalls, VPN quarantine Pengawasan, kunci, penandaan peralatan IP Security Pembakuan aplikasi, antivirus Enkripsi Pembelajaran user Kebijakan, Prosedur, & Kepedulian Kemanan fisik Perimeter Jaringan internal Host Aplikasi Data
  • 41. Tingkat Pengamanan Pada Database Relasional Relasi user diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi. View user diperbolehkan atau tidak diperbolehkan mengakses data yang terdapat pada view. Read Authorization user diperbolehkan membaca data, tetapi tidak dapat memodifikasi. Insert Authorization user diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada.
  • 42. Tingkat Pengamanan Pada Database Relasional Update Authorization user diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data. Index Authorization user diperbolehkan membuat dan menghapus index data. Resource Authorization user diperbolehkan membuat relasi-relasi baru. Alteration Authorization user diperbolehkan menambah/ menghapus atribut suatu relasi. Drop Authorization user diperbolehkan menghapus relasi yang sudah ada. Delete Authorization user diperbolehkan menghapus data.

Editor's Notes

  • #40: A security strategy for an organization is most effective when data is protected by more than one layer of security. A defense-in-depth security strategy uses multiple layers of defense so that if one layer is compromised, it does not necessarily follow that your entire organization will be compromised. A defense-in-depth strategy increases an attackers risk of detection and reduces an attackers chance of success. To minimize the possibility of a successful attack against your organizations servers, you need to implement the appropriate level of defense at each layer. There are many ways to protect each individual layer by using tools, technologies, policies, and best practices. For example: Policies, procedures, and awareness layer Security education programs for users Physical security layer Security guards, locks, and tracking devices Perimeter layer Hardware and/or software firewalls, and virtual private networks with quarantine procedures Internal network layer Network segmentation, IP Security (IPSec), and network intrusion detection systems Host layer Server and client hardening practices, patch management tools, strong authentication methods, and host-based intrusion detection systems Application layer Application hardening practices and antivirus software Data layer Access control lists and encryption This session focuses on securing your Windows-based servers. Security methods and practices discussed in this session relate primarily to the application, host, and internal Network layers. However, it is important to keep in mind that server security should form only part of the overall security strategy of your organization.
About
息 2025 際際滷