Pada
kesempatan kali ini saya ingin membuat tulisan yang menjelaskan tentang
keamanan pada sebuah sistem Web, Web atau Website sudah menjadi
kebutuhan bagi kehidupan manusia, sadar atau tidak sadar manusia kini
sudah sangat dimanjakan oleh informasi yang lengkap dari sebuah website,
tapi tahukah anda bahwa sebuah website pun dapat diserang oleh orang
lain yang dapat menyebabkan website itu rusak, berikut ini ialah
beberapa jenis dari masalah tersebut :
1.Remote File Inklusi (RFI)
Remote
File Inklusi (RFI) adalah jenis serangan paling sering ditemukan pada
situs Web, memungkinkan penyerang untuk menyertakan file jarak jauh
yang biasanya melalui sebuah script di server web. Kerentanan terjadi
karena penggunaan input yang diberikan pengguna tanpa validasi yang
tepat. Hal ini dapat mengakibatkan sesuatu yang minimal keluaran isi
file, tetapi tergantung pada beratnya, untuk daftar beberapa itu bisa
mengarah pada:
- Kode eksekusi pada server web
- Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti situs cross scripting (XSS).
- Denial of Service (DoS)
- Pencurian Data / Manipulasi
Dalam
PHP penyebab utama adalah karena penggunaan unvalidated variabel
eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem,
yang paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian
besar kerentanan dapat dikaitkan dengan programmer pemula tidak akrab
dengan semua kemampuan bahasa pemrograman PHP. Bahasa PHP memiliki
direktif allow_url_fopen dan jika diaktifkan memungkinkan fungsi
filesystem untuk menggunakan URL yang memungkinkan mereka untuk
mengambil data dari lokasi terpencil. Seorang penyerang akan mengubah
variabel yang dilewatkan ke salah satu fungsi-fungsi ini menyebabkan itu
untuk memasukkan kode berbahaya dari sumber daya remote. Untuk
mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.
2.Local File Inclusion (LFI)
Metode
yang memanfaatkan kelemahan script PHP include(), include_once(),
require(), require_once() yang variabel nya tidak dideklarasikan dengan
sempurna.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
3.SQL Injection
SQL
Injection adalah kode injeksi teknik yang memanfaatkan kelemahan
keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini
hadir ketika masukan pengguna tidak benar baik disaring untuk
menghindari karakter string literal tertanam dalam pernyataan SQL atau
masukan pengguna tidak kuat diketik dan dengan demikian tak terduga
dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari
kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman
atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga
dikenal sebagai serangan penyisipan SQL.
4.Cross Site Scripting (XSS)
Cross-site
scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya
ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk
menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna
lain. Sebuah kerentanan dieksploitasi scripting lintas situs dapat
digunakan oleh penyerang untuk mem-bypass akses kontrol seperti
kebijakan asal-usul yang sama. Cross-site scripting dilakukan di situs
Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan
oleh Symantec pada 2007. Dampak beragam, mulai dari gangguan kecil
dengan risiko keamanan yang signifikan, tergantung pada kepekaan data
ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan
dilaksanakan oleh pemilik situs.
Referensi : http://www.sentranet.co.id/component/content/article/45-tips-a-trik/123-poin-poin-penting-dalam-keamanan-web.html
