KEAMANAN PADA WEB

Keamanan Pada Web

Instalasi dan konfigurasi system operasi yang standar , adalah kurang aman. Pada standarinstalasi, banyak layanan jaringan yang tidak digunakan / diperlukan dalam konfigurasi server yangdiinstall, seperti layanan remote registry, layanan print server, dll. Semakin banyak layanan yangdilakukan system operasi, semakin banyak celah yang terbuka, dan menyebabkan terbukanya pintuuntuk penyalahgunaan pemakai. Matikan layanan yang tidak dibutuhkan sehingga akanmenghasilkan performa yang lebih maksimal untuk server anda.2. Remote access. Meskipun saat ini tidak praktis, ketika dimungkinkan, administrator server haruslogin ke server web lokal. Jika akses remote diperlukan, kita harus memastikan bahwa sambunganremote dijamin dengan benar, dengan menggunakan protokol tunneling dan enkripsi.Menggunakan tanda keamanan dan penunjuk lainnya pada peralatan dan perangkat lunak, adalahpraktik keamanan yang sangat baik. Remote akses juga harus dibatasi pada jumlah tertentu dan IPhanya untuk account tertentu. Hal ini juga sangat penting untuk tidakmenggunakan komputer publik atau jaringan publik untuk mengakses server perusahaan jarak jauh,seperti di kafe internet atau jaringan nirkabel.3. Perkembangan terpisah / pengujian / lingkungan produksi. Karena lebih mudah dan lebih cepatbagi pengembang untuk mengembangkan versi terbaru dari aplikasi web pada server produksi,sangat umum bahwa pembangunan dan pengujian aplikasi web dilakukan langsung pada serverproduksi itu sendiri. Ini biasaynya terjadi pada internet dalam menemukan versi-versi terbaru darisebuah situs web tertentu, atau beberapa konten yang tidak boleh tersedia bagi publik dalamdirektori seperti / test /, / new / atau direktori sub serupa lainnya. Karena aplikasi web sepertiberada dalam tahap perkembangan awal, mereka cenderung memiliki sejumlah kelemahan, yaitukurangnya validasi input dan tidak menangani pengecualian dengan baik. Aplikasi ini dapat denganmudah ditemukan dan dieksploitasi oleh pemakai yang kurang baik, dengan menggunakan alat gratisyang tersedia di internet. Untuk lebih memudahkan pengembangan dan pengujian aplikasi web,pengembang Cenderung untuk mengembangkan aplikasi internal tertentu yang memberi merekaakses istimewa untuk aplikasi web, web server database dan sumber daya lainnya, yang tidak dimilikipengguna lain. Aplikasi ini biasanya tidak memiliki batasan, karena mhanya dapat digunakkan olehpengembang aplikasi tersebut saja. Sayangnya, jika pengembangan dan pengujian dilakukan padaserver produksi, aplikasi tersebut dapat dengan mudah ditemukan oleh pengguna yang memiliki niatburuk, yang mana bisa menolong mereka mengembangkan dan kompromi sehingga mendapatkanakses pada server produksi. Idealnya, pengembangan dan pengujian aplikasi web harus selaludilakukan pada server-server terisolasi dari internet, dan seharusnya tidak pernah menggunakanatau menyambung ke kehidupan nyata dan database. 4. AplikasiWeb konten dan server-side scripting Aplikasi web atau berkas website dan script harusselalu berada pada partisi terpisah atau drive lain selain itu sistem operasi, log dan file sistemlainnya. Melalui pengalaman, kita telah belajar bahwa hacker yang memperoleh akses ke rootdirektori web, yang mampu mengeksploitasi kelemahan-kelemahan, dan mampu memperoleh akseske seluruh data pada disk, termasuk sistem operasi dan file-file sistem lainnya.

Dan seterusnya,pengguna yang memiliki niat jahat memiliki akses untuk melaksanakan setiap perintah sistemoperasi, menghasilkan kendali penuh dari web server.5. Perizinan dan hak. Perijinan file/berkas dan layanan jaringan memainkan peranan penting dalamkeamanan server web. Jika mesin server web dikompromikan melalui software servis jaingan,pengguna yang memiliki niat buruk dapat menggunakan account pada servis jaringan yang sedangberjalan untuk melaksanakan tugas, seperti mengeksekusi file spesifik . Oleh karena itu sangatpenting untuk selalu memberikan hak yang minim untuk servis jaringan tertentu untuk dijalankan,seperti perangkat lunak server web. Hal ini juga sangat penting untuk menetapkan hak-hakminimum kepada pengguna kebanyakan untuk mengakses situs, aplikasi web dan juga berkasbackup data dan database.6. Menginstal semua tambahaan keamanan pada waktunya. Walaupun telah sepenuhnya perangkat

 

 

lunak yang ditambah tidak selalu berarti server anda sepenuhnya aman, masih sangat penting untukmemperbarui sistem operasi dan perangkat lunak lain berjalan di atasnya dengan patch keamananterbaru. Hingga hari ini, masih terjadi insiden hacking hacker Karena mereka mencari celahkelemahan keamanansehingga dapat dimanfaatkan demi kepentingan mereka.7. Memantau dan audit server. Semua log yang ada dalam sebuah server web, idealnya harusdisimpan dalam area terpisah. Semua layanan jaringan log, log akses web, server database log(misalnya Microsoft SQL Server, MySQL, Oracle) dan log sistem operasi harus dipantau dan diperiksasering . Orang harus selalu waspada terhadap entri log yang aneh. Log file Cenderung untukmemberikan semua informasi tentang catatan hacking sebelumsebelumnya, dan bahkan dariserangan yang sukses, tapi sebagian besar diabaikan. Jika ada salah satu aktivitas aneh dari catatanlog, maka harus segera diselisiki masalahnya sehingga dapat siambil tindakan preventif apabilaberbahaya bagi server.8. Account pengguna akun pengguna yang belum digunakkan yang diciptakan selama menginstalsistem operasi harus dinonaktifkan. Ada juga daftar panjang software yang jika diinstal, akun userdibuatkan pada system operasi. Akun tersebut juga harus diperiksa dengan benar dan perluperizinan hak aksesnya harus dirubah sesuai dengan yang dibutuhkan. pembuatan pada accountadministrator harus diganti namanya dan tidak dapat digunakan, sama halnya yang terjadi pada rootuser ketika instalasi linux / unix. Setiap administrator mengakses server web harus memiliki akunsendiri, dengan hak yang seperlunya. Hal tersebut juga contoh menjaga keamanan yang baik dengancara tidak berbagi satu sama lain akun pengguna.9. Menghapus semua modul dan aplikasi yang tidak terpakai ekstensiInstalasi default Apache memiliki sejumlah modul yang telah ditetapkan sebelum diaktifkan, yangmana tipikal scenario web server tidak digunakan, kecuali mereka diperlukan secara spesifik.Matikan modul untuk mencegah serangan tersebut ditargetkan terhadap modul-modul tersebut.Secara default, IIS dikonfigurasi untuk melayani sejumlah besar jenis aplikasi, misalnya, ASP, ASP.NETdan banyak lagi.

Daftar ekstensi aplikasi hanya berisi daftar ekstensi website atau aplikasi web yangakan digunakan. Setiap ekstensi aplikasi juga harus dibatasi untuk hanya menggunakan script HTTPtertentu ketika memungkinkan.10. Gunakan alat-alat keamanan yang disediakan dengan perangkat lunak web server. Microsoft merilis sejumlah alat bantu untuk membantu administrator mengamankan instalasi IISweb server, seperti URL scan. Ada juga modul dengan sebutan mod_security untuk Apache.Meskipun konfigurasi toolsnya merupakan proses yang membosankan dan memakan waktu cukuplama, terutama dengan pengaturan aplikasi web, mereka menambahkan sedikit tambahankeamanan dan gagasan ide agar diperoleh hasil yang maksimal.11. Stay informed. Saat ini, banyak informasi dan tips tentang perangkat lunak dan sistem operasiyang dapat ditemukan secara bebas di internet. Hal ini sangat penting untuk memperluaspengetahuan dan belajar mengenai serangan-serangan baru dan peralatan-peralatannya denganmembaca majalah yang terkait keamanan dan berlangganan newsletter, forum atau jenismasyarakat lainnya.12. Gunakan Scanners. Scanner adalah alat-alat praktis yang membantu Anda mengotomatisasi danmempermudah proses mengamankan web server dan aplikasi web. Acunetix Web VulnerabilityScanner juga dikirim dengan port scanner, yang mana ketika diaktifkan akan port scan server webhosting aplikasi web tidak dipindai. Serupa ke pemindai keamanan jaringan, Acunetix WVS akanmeluncurkan sejumlah pemeriksaan keamanan yang canggih terhadap port yang terbuka danlayanan jaringan berjalan pada server Web Anda.Acunetix Web Vulnerability Scanner website Memastikan keamanan dan web server denganmemeriksa SQL injection, Cross site scripting, masalah konfigurasi server web dan kerentanan yanglain. Ia memeriksa kekuatan password pada halaman otentikasi dan audit secara otomatis shoppingcart, form, konten dinamis dan situs Web 2.0 aplikasi. Saat 

KESIMPULAN :

tidak kita inginkan.

Dalam mengembangkan aplikasi Web, sangat penting untuk dipahami bagaiman

Kesimpulan yang dapat diambil dari pembahasan makalah ini antara lain sebagai berikut:

                                                 

Teknologi Web server merupakan inti setiap memberikan berbagai kemudahan dan fitur tambahan,namun tidak selalu diperlukan. Untuk itu perlu diperhatikan sekali lubang-lubang keamanannya.Web server seperti IIS dan Apache memiliki kelemahan-kelemahan, namun mereka secaramemberikan keleluasaan bagi kita untuk mematikan fungsi-fungsi atau program-program didalamnya yang a kerja masing-masing teknologi Web yang dipakai agar dapat diantisipasi kelemahan-kelemahan kemanannya.