Keamanan Website
Faktor-Faktor Penyebab Website di Susupi
Untuk menjaga supaya suatu
website tidak dimasuki oleh pihak-pihak yang tidak bertanggung jawab sebenarnya
cukup rumit, banyak sekali faktor yang menyebabkan suatu website dapat dimasuki
atau disusupi oleh pihak yang tidak bertanggungjawab, diantaranya adalah :
Pengetahuan pembuat website
Untuk membuat suatu website terkadang
si pembuat atau programmer hanya memikirkan bahwa yang penting website tersebut
jadi dan proyek selesai tanpa harus memikirkan lubang-lubang yang harus ditutp
sehingga orang lain tidak bisa menembusnya. Seorang web programmer harus selalu
meng-update pengetahuannya tentang keamanan website atau internet sehingga bisa
diaplikasikan pada website yang dirancangnya.
Kesalahan Script
Kesalahan dalam scripting
pembuatan suatu websitemerupakan hal yang sering dimanfaatkan oleh para
attacker (hacker/Cracker) sehingga attacker sering menyerang suatu website pada
lubang ini. Kelemahan ini biasanya sring ditemukan pada proses vulnerabilities
scanning seperti SQL Injection, PHP Injection, HTML Injection dan lainnya.
Begiu pula dengan CMS seperti Mambo, Joomla,Wordpress dan lainnya.Kesalahan
script memang biasa terjadi dikarenakan juga karena kebanyakan script yang
harus diketik hingga ratusan atau ribuan baris program sehingga terkadang
pembuat program lupa untuk menambal bagian-bagian yang lubang yang bisa
dimasuki penyusup.
Username dan Password
Terkadang seorang administrator
suatu website memberikan username dan password yang standar. Standar disini
berarti username dan password yang selalu digunakan oleh umum dikarenakan
supaya username dan password tersebut mudah diingat, seperti pemberian user
name dan password dengan nama, tanggal lahir, kota asal administrator dan
hal-hal lainnya yang mudah diingat oleh administrator. Terkadang username dan
password tidak pernah diubah-ubah oleh seorang administrator website dalam
jangka waktu lama.
Webserver
Terkadang seseorang mendaftarkan
atau menempatkan website pada webserver yang belum terkenal karena fasilitas
keamanannya. Hal itu bisa dikarenakan terbatasnya pengetahuan tentang
webserver-webserver yang menyediakan kemananan website yang
dikelolanya.Terkadang pula pengelola webserver jarang meng-update software
Sistem Operasi dan keamanannya sehingga penyusup bisa lebih mudah untuk
menembus suatu web server dikarenakan dia sudah mengetahui kelemahan dari suatu
sistem opersi tertentu.
Anggaran
Suatu Website yang aman dari
penyusupan tentu saja berimlikasi pada semakin mahalnya harga website tersebut.
Semakin murah harga suatu website maka semakin rentan website tersebut untuk
disusupi oleh pihak yang tidak bertanggungjawab. Untuk selalu membuat suatu
website aman dari penyusupan, sebuah perusahaan pembuat website tentunya akan
akan selalu meng-update tool-tool yang digunakan dalam websitenya. proses
tersebut membutuhklan biaya yang tidak sedikit sehingga apabila suatu lembaga
atau perusahaan jika ingin membuat websitenya selalu aman maka harus
menyediakan anggaran biaya yang tidak sedikit.
Software hacking
Mudahnya diperoleh software untuk
menyerang komputer dan jaringan komputer. Banyak tempat di internet yang
menyediakan software yang langsung dapat diambil 9Download) dan langsung
digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah
digunakan.Beberapa program , seperti SATAN, bahkan hanya membutuhakan sebuah
web browser, untuk menjalankannya. Sehingga, seseorang yang dapat menggunakan
web browser dapat menjalankan program penyerang (attack).
Konfigurasi aplikasi website yang masih default.
Updating
Proses update aplikasi website
harus selalu dilakukan, hal ini untuk mencegah penyusup masuk.Aplikasi website
yang telah berumur satu tahunharus segera di-update karena kemungkinan besar
aplikasi website tersebut memiliki kelemahan pada sisi keamanannya.
Sumber Daya Manusia (SDM)
Meningkatnya kemampuan pemakai di
bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau
membongkar sistem yang digunakannya ( atau sistem milik orang lain). Jika
dahulu akses ke komputer sangat sukar, makasekarang komputer sudah merupakan
barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-rumah.
Dari faktor-faktor yang telah disebutkan tesebut saling ada
keterkaitan antara satu dengan yang lainnya. Dalam membangun website, kita
tidak bisa hanya mementingkansalah satu faktor saja tetapi seluruh faktor harus
diperhatikan.Dapat kita gambarkan seperti kalau kita mau membangun sebuah
rumah. Kita tidak bisa asal membangun rumah asal jadi. Kita harus memperhatikan
dimanarumah kita akan dibangun, seperti tingkat keamanan rumah yang ada di perumahan
elit tentu lebih aman daripada rumah yang yang ada diperkampungan.Untuk tambah
pengawasannya, kita bisa menambahkan kamera pengawas, pagar dan alarm pada
rumah kita.sama seperti dalam membangun sebuah website, kita harus tahu dimana
website kita tersebut diletakkan,komponen atau toolskeamanan apa saja yang ada
dalam website tersebut.
Menurut pengamaan penulis, semnjak disahkannya Undang-undang
Informasi dan Elektronik (UU ITE) oleh Dewan Perwakilan Rakyat (DPR) pada hari
selasa tanggal 25 Maret 2008, semakin banyak pula kegiatan-kegiatanpenyusupan
terhadap website yang ada di Indonesia.Penyusupan tersebut tidak hanya terjadi
pada website milik pemerintah sebagai tindakan protes disahkannya UU ITE,
tetapi juga terjadi pada website milik perbankan, Universitas/Perguruan Tinggi,
partai politik bahkan website milik Tentara Nasional Indonesia (TNI) tidak
luput dari penyusupan. Rata-rata penyusupan tersebut berupa mengubah penampilan
halaman website tertentu saja.Pada tahun 2007, sebuah organisasi luar negeri
non profit yang bernama Open Web Application Securuty Project (OWASP) merilis
10 dafter teratas celah yang mengancam website, diantaranya :
Cross Site Scripting
Celah ini mengakibatkan penyusup
dapat menjalankan ptongan kode program(script) miliknya pada browser target.
Hal ini dapat memungkinkan pnyusup dapat mencuri user session milik target atau
bahklan dapat menciptakan worm.
Injection Flaws
Injeksi ini umumnya dilakukan
terhadap SQL (database) dari suatu aplikasi website.Hal tersebut dapat terjadi
apabila pengguna memasukkan data sebagai bagian dari perintah (querry) yang
menipu interpreter untuk menjalankan perintah tersebut atau untuk merubah suatu
data.
Malicius File Execution
Pada celah ini, penyusup dapat
mengontrol pembuatan file yang berisikan kode program dan data supaya dapat
dieksekusi. Salah satu contohnya adalah Remote File Inclucion(RFI).
Insecure Direct Object Reference
Celah ini dapat memaksabrowser
targetyang sudah log-in untuk mengirimkan "pre-aunhenticated request"
terhadap suatu aplikasi website dan memaksa browser target untuk melakukan
perintah penyusup.
Information Leakage and
Improper Error Handling
Celah yang berupa pesan kesalahan
(error) dan konfigurasi yang dapat dilihatpada jendela browser biasanya sering
digunakan penyusupuntuk mendapatkan informasi yang bisa digunakan untuk
menyusup ke website tersebut.
Broken Aunthentication and
Sessin Management
Celah ini dapat tibul dikarenakan
buruknya penanganan proses otentikasi dan manajemen, sehingga penyusup dapat
dengan mudah mendapatkan password yang digunakan untuk otentikasi.
Insecure Criptographic
Storage
Suatu aplikasi webite biasanya
jarang mengunakan terknik kriptigrafi untuk melindungi data-data yang ada
didalamnya. Atau menggunkan teknik kriptografi tetapi telah diketahui kelemahan
dari kriptografi tersebut.
Insecure Communications
Sedikit sekali aplikasi website
yang mengamankan jalur komunikasinya sehingga hal tersebut dimanfaatkan oleh
penyusup untuk mendapatkan informasi yang berharga.
Failure to Restrict URL Access
Beberapa aplikasi website hanya menghilangkan tampilan link (URL) dari
pengguna yang tidak berhak, tetapi haldapat dengan caramengakses URL tersebut secara
langsung.
Komentar
Posting Komentar