P. 1
Keamanan Sistem Informasi_Makalah

Keamanan Sistem Informasi_Makalah

|Views: 70|Likes:
Published by saut_01

More info:

Published by: saut_01 on Jul 07, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

07/07/2012

pdf

text

original

TUGAS MAKALAH EC5010 Keamanan Sistem Informasi

Analisis Keamanan Web Server

Oleh : Izbiq Muhammad (132 00 091)

DEPARTEMEN TEKNIK ELEKTRO FAKULTAS TEKNOLOGI INDUSTRI INSTITUT TEKNOLOGI BANDUNG 2005

DAFTAR ISI

Halaman DAFTAR ISI BAB I. PENDAHULUAN BAB II.WEB SERVER II.1 APACHE II.1.1 Host Virtual II.1.2 Server Side Includes II.1.3 Common Gateway Interface II.2 MICROSOFT INTERNET INFORMATION SYSTEM (IIS) II.2.1 Aplikasi-Aplikasi ISAPI II.2.2 Direktori-direktori Virtual II.2.3 File-File Sample II.2.4 Host Virtual BAB III. KOMPONEN-KOMPONEN PENDUKUNG APLIKASI WEB III.1 WEB SERVER FRONT-END III.2 LINGKUNGAN EKSEKUSI APLIKASI WEB III.3 DATABASE SERVER III.4 MENGHUBUNGKAN MASING-MASING KOMPONEN i 1 2 2 2 4 5 6 6 9 9 10 12 13 13 14 14

III.5 IDENTIFIKASI KOMPONEN APLIKASI WEB MELALUI URL 15 III.6 TINDAKAN-TINDAKAN ANTISIPASI BAB IV. KESIMPULAN DAFTAR PUSTAKA 18 19 20

i

Karena pentingnya masalah kemanan ini maka bagi setiap orang yang ingin mengembangkan Webnya sudah selayaknya mempersiapkan diri sebaik-baiknya. maka kemanan mulai menjadi masalah penting. EC5010 Keamanan Sistem Informasi 1 . Telah banyak perusahaan yang menampilkan diri di Internet melalui Web. Web telah dijadikan satu bagian penting untuk promosi maupun layanan kepada pelanggan.Analisis Keamanan Web Server BAB I PENDAHULUAN Berjuta-juta halaman Web dapat kita temui saat ini di Internet. Keamanan Web menjadi lebih lagi dibutuhkan dengan adanya kasus-kasus pencurian melalui Web. dan lain-lain. Web sedemikian populer karena mudah dibuat dan banyak menawarkan keuntungan. Dalam makalah ini akan penulis coba uraikan secara ringkas mengenai keamanan Web server. Bahkan saat ini banyak pula perusahaan-perusahaan yang menyediakan transaksi melalui Web mereka. Berkaitan dengan perkembangan ini. Apalagi jika dalam pengembangan Web akan digunakan untuk aplikasi-aplikasi yang rentan atau kritis. baik secara material maupun non-material. Demikian juga dengan penggunaan Web oleh perusahaan-perusahaan sebagai tempat promosi dan pusat layanan mereka yang tentunya membutuhkan jaminan keamanan. maka kemanan yang baik akan menghindarkan kerugian yang mungkin didapat yang jumlahnya mungkin bisa sangat besar. worm. Banyak sekali informasi yang disediakan oleh Web-Web yang ada dan dapat diakses oleh siapa saja. virus. Pembahasan dilihat dari sisi server terutamanya mengenai titik-titik kelemahan yang dapat dimanfaatkan oleh pihak luar. penipuan. Lebih lagi dengan kemunculan Web-Web e-commerce. Perkembangannya sangat cepat. Begitu juga dengan berbagai jenis Web yang lain yang kini telah menjadi bagian tak terpisahkan dari Internet. perusakan. Web server yang akan dibahas adalah Apache dan IIS karena keduanya yang paling banyak digunakan saat ini.

HPUX. Linux. SCO.Analisis Keamanan Web Server BAB II WEB SERVER Setiap kali sebuah browser berhubungan ke suatu situs Web di Internet. II. Web server ini juga menawarkan harga jual terbaik yaitu dapat diperoleh secara gratis. Server tersebut mendengarkan request pada jaringan dan menjawabnya kepada si pengirim permintaan dengan membawa data tertentu. Mekanisme Basis-Nama Hosting virtual berbasis-nama mengharuskan user menyediakan sebuah nama unik bagi tiap request HTTP. Windows 3. dll.1 APACHE Apache adalah Web server paling populer di Internet.x.1 Host Virtual Konsep host virtual yang pada dasarnya sederhana memungkinkan sebuah komputer terhubung dengan banyak Web server pada saat yang bersamaan dan satu buah komputer yang menjalan satu Web server dapat melayani banyak halaman dari berbagai situs Web. VMS. BeOS. Setiap platform dan fitur yang ditambahkan juga menghadirkan kesempatan bagi oenyerang untuk mengambil keuntungan dari kelemahan-kelemahan yang ada. AIX. Hal ini disebabkan oleh tiga faktor. Oleh karena banyaknya pengguna Apache inilah maka Apache menjadi incaran para hacker. ia terhubung ke Web server. UNIX. Windows NT. OS/2. Macintosh. FreeBSD. Apache bekerja pada hampir semua platform yang terkenal termasuk NetBSD. Novell NetWare. Nama itu secara khusus merupakan nama EC5010 Keamanan Sistem Informasi 2 . Akhirnya. fitur-fitur dan harga.1. Semua itu dapat dilakukan dengan dua buah mekanisme yaitu basis-nama dan basis-IP. II. Selain itu Apache selalu menawarkan fitur-fitur bervariasi sehingga memberi saran bagi para developer untuk menciptakan desain situs Web secara cepat. Solaris. AS/400. yaitu dukungan platform.

0 EC5010 Keamanan Sistem Informasi 3 . Windows NT 5. Dengan perintah berikut: http://www. Mekanisme Basis-IP Pada hosting virtual berbasis IP.Analisis Keamanan Web Server DNS yang merupakan record-record CNAME pada server DNS-nya.example.52 [root@jack /opt]# /sbin/ifconfig -a eth0 Link encap:Ethernet HWaddr 00:50:04:91:D5:A0 inet addr:172. Pembuatan IP alias ini dapat dilakukan dengan perintah ifconfig.MSIE 6.com maka browser akan mengirimkan request HTTP GET.us.16.50 Bcast:172. Sebagai contoh untuk menambahkan tiga alamat IP pada sebuah interface ethernet eth0.16. Berikut ini contohnya.0 (compatible. ia akan membuka host tertentu saja (virtual) yang sesuai dengan request bukan berdasar alamat IP sistem sehingga hanya akan menampilkan halaman web tertentu saja.16.16.0.0.0) Host: www.30.0.com.0 UP BROADCAST RUNNING MTU:1500 Metric:1 RX packets:33272 errors:20 dropped:0 overruns:20 frame:20 TX packets:22851 errors:0 dropped:0 overruns:0 carrier:0 collisions:309 txqueuelen:100 Interrupt:3 Base address:0x300 eth0:0 Link encap:Ethernet HWaddr 00:50:04:91:D5:A0 inet addr:172.com Connection: Keep-Alive Bagian yang ditebalkan pada request HTTP GET tersebut adalah yang akan diteruskan. sebagai berikut: GET / HTTP/1. deflate User-Agent: Mozilla/4.16.example.example.30. server harus memiliki alamat IP yang berbeda untuk setiap situs Web. Jadi.255 Mask:255.16.255. Semua record mengacu ke alamat IP yang sama.50 [root@jack /opt]# /sbin/ifconfig eth0:1 172.51 [root@jack /opt]# /sbin/ifconfig eth0:2 172.30. sehingga Web server akan meneruskan request halaman ke host virtual yaitu www.us.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip. Hal ini biasa dipakai pada perusahaan hosting. jika dibuka sebuah situs Web yang hostnya juga dipakai oleh situs lain pada sistem yang sama (biasanya pada sistem Web hosting) maka ketika Web server menerima request HTTP GET. dapat dilakukan sebagai berikut: [root@jack /opt]# /sbin/ifconfig eth0:0 172.2 Bcast:172.16. Dengan demikian Web server tidak akan menampilkan seluruh situs web lain yang ada di sistem tersebut.us.30.30.255 Mask:255.255. Ini mirip dengan pembuatan alias-alias IP pada sistem Unix.30.30.

conf Apache.0. Tapi seringnya situs Web mengaktifkannya dan memerintahkan server untuk mengerjakan semua file berekstensi .Analisis Keamanan Web Server eth0:1 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:3 Base address:0x300 Link encap:Ethernet HWaddr 00:50:04:91:D5:A0 inet addr:172. Secara khusus perintah cmd hanya berjalan pada Unix. Perintah exec cmd ini berguna untuk mengeksekusi perintah yang berubah-ubah pada sistem remote. Satu-satunya cara untuk menemukan sebuah host virtual basis IP ini adalah dengan melihat alamat MAC pada tiap alamat IP.16.16. Jadi.50.30.255 Mask:255. Pendeteksian pada basis IP ini lebih sulit.30.30.255.30. nantinya masing-masing alamat IP ini harus memiliki nama DNS yang berbeda.30.1. Kemudian alamat-alamat IP ini masing-masing harus dibuatkan instruksi VirtualHost dalam file httpd. Fungsi ini jelas memiliki resiko keamanan yang tinggi sehingga tidak diaktifkan secara default EC5010 Keamanan Sistem Informasi 4 . tentukan argumen IncludesNOEXEC dengan perintah Options pada file httpd.0.30. Ketiganya memakai interface eth0:x. II. Jika SSI ini dipakai maka pastikan perintah exec cmd telah dinonaktifkan. dan 172.16. Implikasi keamanannya itulah yang penting yaitu jika sebuah saja virtual Web site telah disetujui maka setiap Web site pada sistem yang bersangkutan juga disetujui. tidak seperti pada hosting virtual berbasis nama.30.16. Dengan ini akan memaksa hacker untuk mengalihkan perhatian ke LAN lokal. namun Windows juga memperbolehkannya.2 Server Side Includes Server Side Include (SSI) merupakan perintah-perintah yang ada dalam halam Web HTML yang menyediakan fungsi server-side.51 Bcast:172. 172.conf pada Apache.16.51. SSI serupa dengan CGI yang khusus digunakan untuk membuat dinamis halaman Web. Caranya.16.0 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:3 Base address:0x300 Link encap:Ethernet HWaddr 00:50:04:91:D5:A0 inet addr:172. yaitu 172.shtml dan mengendalikannya sebagai SSI. Masalah keamanan yang diperhatikan sebenarnya bukan pada hosting virtual ini sendiri. Secara default SSI dimatikan dan hal ini baik untuk kemanan.255.255 Mask:255.52.52 Bcast:172.16.0 UP BROADCAST RUNNING MTU:1500 Metric:1 Interrupt:3 Base address:0x300 eth0:2 Dari contoh di atas maka eth0 memiliki tiga alias baru.

ScriptAlias dapat mengamankan Web server karena ia menentukan tempat script-script dapat dieksekusikan.3 Common Gateway Interface Common Gateway Interface (CGI) adalah satu dari sekian banyak mekanisme orisinil yang dikembangkan untuk mengirim isi data yang dinamis ke Web.Analisis Keamanan Web Server pada banyak server aplikasi Web dewasa ini. mod_info. ASP.asp. yaitu mod_asis. namun dulu pernah menjadi sumber dari sekian banyak bahaya keamanan. Handler (pengendali) Handler adalah sebuah mekanisme yang mengendalikan beragam request pada Web berdasarkan nama file.1. mod_imap. II. dll) memerlukan kendali program tertentu pula (Java. mod_cgi. untuk semua file berekstensi . Contoh perintah ScriptAlias: ScriptAlias /cgi-bin/ /opt/apache/cgi-bin Perintah itu memberi tahu Apache bahwa setiap request yang dimulai dengan /cgibin harus dipetakan ke direktori /opt/apache/cgi-bin. yaitu perintah pada Web server untuk mengendalikan request tertentu dengan sebuah file CGI khusus. Selain ini bisa juga ditambahkan manual dengan perintah Action.con memberi tahu Apache bahwa direktori-direktori yang dibawanya berisi script yang harus dijalankan. khususnya HTML. Handler-handler yang bersifat built-in terdiri dari handler default yang mengendalikan isi data statis. Tetapi.jsp. . Apache mendukung beragam teknologi CGI diantaranya adalah ScriptAlias dan Handler. daripada bergantung pada default-default yang memiliki kode-kode yang sulit dipecahkan. File-file tertentu (. dan mod_negotiation. mod_status. Sudah sejak sebelum kemunculan Apache 1. Misal. ScriptAlias Perintah-perintah ScriptAlias pada file httpd.stu EC5010 Keamanan Sistem Informasi 5 . Web server sudah memiliki kemampuan untuk menentukan secara tepat kendali program yang dipakai untuk seuatu file berdasarkan namanya. dll). tersedia juga tambahannya. Akibatnya developer memetakan suatu handler pada nama file yang tidak standar.1.

1 Aplikasi-Aplikasi ISAPI Aplikasi-aplikasi ISAPI (Internet Server Application Programming Interface) merupakan ancaman terbesar dari pada Web server IIS. Walau kehadirannya kurang begitu disadari.Analisis Keamanan Web Server dikendalikan oleh script Perl. namun IIS merupakan software yang unggul. Ironisnya.2 MICROSOFT INTERNET INFORMATION SERVER (IIS) Pada strategi Internetnya. dan filter ISAPI menyediakan titik-titik entri tersebut. terutama sejak NT 4. Berikut ini akan dibahas beberapa komponen keamanan dari IIS serta kelemahan-kelemahan dasarnya. Selain itu aplikasi-aplikasi ISAPI memungkinkan developer untuk menangkap semua paket yang datang ke Web server dan mengolahnya. Secara default IIS menginstal sejumlah besar filter ISAPI yang dapat digunakan untuk mendobrak Web server. Hal ini terjadi karena adanya hukum keseimbangan. Microsoft telah menganggap server IIS sebagai suatu poros yang amat penting karena keyakinan bahwa perusahaan memakai sistem operasi Windows pada Web servernya.0). ISAPI membuka kesempatan bagi para programmer Web memperluas kegunaan Web server IIS dengan membuat program mereka sendiri untuk mengolah dan mengendalikan data dan request yang sedang dikirim ke Web server. Dengan memberikan titik-titik entri secukupnya ke Web server.pl II. II.2. Hal ini berarti meningkatkan kontrol atas request dan mencegah penyerangan atas Web server.stu Action my-file-type /cgi-bin/stu. Tabel 2-1 berikut ini menampilkan beberapa filter ISAPI yang terinstal secara default pada waktu instalasi Windows 2000 (IIS 5.conf Apache: AddHandler my-file-type . Perintah berikut ini dapat ditambahakan pada file httpd. EC5010 Keamanan Sistem Informasi 6 .0. penyerang membuka jalan masuk ke sana. justru pengolahan paket-paket tersebut membuka serangan pada Web server.

Worm Code Red masuk karena adanya buffer overflow pada ekstendi .printer . Permintaan menjadi sah dan dapat diterima oleh semua firewall pada proxy yang dipakai.ida C:\winnt\system32\ inetsrv\idq.cer C:\winnt\system32\ inetsrv\asp.ida. Dengan menambah kegunaan filter ISAPI berarti juga menambahkan hadirnya lubang keamanan.dll C:\winnt\system32\ inetsrv\ism.dll . Akibatnya.htx C:\winnt\system32\ inetsrv\httpodbc.dll . Web-based Administration—provides a means of performing administrative functions via the Web. Index Server extension Internet Database Connector Internet Database Connector (IDC)—uses ODBC APIs to communicate with database sources such as SQL Server. penyerang mengeksekusi perintah pada sistem remote dan secara efektif mengendalikannya. Server-Side Includes—provides dynamic content delivery to the Web.idc C:\winnt\system32\ inetsrv\httpodbc. Active Server Page—server-side scripting extension allows dynamic content delivery.ida. EC5010 Keamanan Sistem Informasi 7 .stm .dll C:\winnt\system32\ inetsrv\ssinc.ida sehingga membuka kesempatan bagi penyerang untuk mengirimkan request ke Web server dan menyebabkan overflow pada DLL yang mengendalikan request. such as changing passwords. Sebagai contoh. Active Server Page—server-side scripting extension allows dynamic content delivery.Analisis Keamanan Web Server Table 2-1.cdx C:\winnt\system32\ inetsrv\asp. Index Server extension Index Server extension Internet Data Queries.dll .dll .000 dolar per 1000 perusahaan.htr C:\winnt\system32\ msw3prt.dll . filter .shtm . Internet Printing Server-Side Includes—provides dynamic content delivery to the Web.asp C:\winnt\system32\ inetsrv\asp.dll . yang ternyata bertanggung jawab atas masuknya worm Nimda dan Code Red yang menyebabkan kerugian kerusakan lebih dari 100.dll C:\winnt\system32\ inetsrv\ssinc.dll C:\winnt\system32\ inetsrv\ssinc. Inti serangan ini pada bagian muatan yang menguntungkan dilakukan pada request HTTP itu sendiri.htw C:\winnt\system32\ inetsrv\ism. Active Server Page—server-side scripting extension allows dynamic content delivery. Server-Side Includes—provides dynamic content delivery to the Web.idq C:\winnt\system32\ inetsrv\idq.dll . Worm itu berhasil mengeksploitasi kelemahan Server Indeks .dll Description Active Server Page—server-side scripting extension allows dynamic content delivery.shtml .ldq dan .dll .asa C:\winnt\system32\ inetsrv\asp. ISAPI Filters ISAPI Extension Executable Path .dll . lalu mengeksekusikan perintah pada remote system.

1 Pemetaan Aplikasi pada IIS Sebagai catatan. Gambar berikut memperlihatkan daftar pemetaan aplikasi secara default.Analisis Keamanan Web Server Penyelesaian masalah filter ini adalah dengan tetap mengikuti semua sekurity patch dari Microsoft dan menerapkan yang cocok. Filter-filter ISAPI default yang dapat dibuang atau dinonaktifkan adalah: • • • • Sspifilt Compression Md5filt Fpexedll. Akhirnya buang pemetaan itu satu per satu. Dalam melakukannya pilih Properties dari Web server yang sedang bekerja.dll EC5010 Keamanan Sistem Informasi 8 . Gambar 2. sehingga akan membuang filter-filter dan pemetaannya pada semua server yang berhubungan. harus dilakukan juga hal yang sama pada Properties Master Web. penyelesaian dapat juga dilakukan dengan cara membuang semua filter ISAPI yang tidak diperlukan melalui Internet Service Manager. Lalu pilih tab ISAPI filter dan buang semua filter yang mengganggu. Tetapi. Kemudian pilih tab Home Directory dan pilih Configuration.

Tapi ini merupakan target umum. Beberapa file yang diinstal default: Keterangan IIS sample files IIS documentation Data access Lokasi Default c:\inetpub\iissamples c:\winnt\help\iishelp c:\program files\common files\system\msadc Direktori Virtual \IISSamples \IISHelp \MSADC Aturan umum setiap kali instalasi seharusnya adalah membuang atau meminimalkan Access Control List (ACL) pada file dengan NTFS permissions. Untuk menerapkan ACL secara benar.2.Analisis Keamanan Web Server II.2.3 File-File Sample Beberapa file disediakan oleh IIS untuk membantu kita menulis kode program. Tetapi file-file ini banyak memiliki lubang keamanan. Kemudian juga permission yang diperlukan agar dapat mempertahankan kegunaannya yang lengkap. alternatifnya adalah dengan membatasi akses hanya kepada yang memerlukan. harus memperhatikan file-file apa saja yang akan dipakai. Direktori-direktori virtual yang tidak diperlukan di antaranya yaitu: • Script > jika CGI atau ASP atau ISAPI dipakai maka diperlukan juga sebuah direktori khusus denjgan izin eksekusi script. Misalnya. Jadi. Untuk membuangnya. Secara default ini harus dibuang. di bagian Web sever. karena mereka tersedia secara default dan terorirentasi pada developer. pakai Internet Services Manager. • • _vti_bin > diperlukan untuk mendukung FrontPage Printers > untuk mencetak halaman Direktori-direktori di atas dan yang lainnya dapat dibuang tanpa pengaruh besar bagi sistem. tetapi tidak realistis. jika ada aplikasi yang membutuhkan komponen sample tertentu. pembuangan file-file itu malah bisa menyebabkan gangguan. Gambar berikut ini akan EC5010 Keamanan Sistem Informasi 9 . II. Membuang sekaligus direktori merupakan hal yang paling mudah.2 Direktori-Direktori Virtual Pada IIS ada fitur tambahan lagi yang membolehkan administrator untuk menset suatu link antara sebuah direktori di bawah root Web dan direktori lain pada harddisk atau pada sebuah remote system.

II. with all rights”. dia tidak akan bisa menggunakan program itu untuk membuat sebuah file pada direktori sehingga tidak dapat melanjutkan serangan lebih jauh lagi. lalu masukkan accaunt IUSR dan memberi atribut read only atau juga execute sesuai kebutuhan. Selain itu juga disediakan host virtual multiple web sites dengan mekanisme seperti basis-nama Apache.2. “Everyone.Analisis Keamanan Web Server menunjukkan penerapan permission secara default pada direktori iissamples. Microsoft juga menyediakan host virtual dengan IP sekunder dengan mekanisme seperti pada host virtual basis-IP Apache. Tentu saja bukan pilihan yang baik.4 Host Virtual Seperti pada Apache yang telah dibahas sebelumnya. EC5010 Keamanan Sistem Informasi 10 . Sekalipun penyerang sudah dapat masuk ke dalam dan mengeksekusi file sample yang tidak digunakan. Gambar 2.2 Properti dari Direktori Sample Grup Everyone pada daftar di atas dapat dibuang. Dengan pemakaian ACL ini secara signifikan akan mengurangi ancaman.

Analisis Keamanan Web Server Penambahan alamat-alamat IP sekunder bisa dilakukan dengan mudah pada Properties dari koneksi internet pada bagian Advance untuk selanjutkan dibuatkan multiple Web sites pada Internet Service Manager. EC5010 Keamanan Sistem Informasi 11 . fokus mereka adalah memperoleh akses pada salah satu situs yang ada sehingga dapat mempengaruhi banyak situs yang lainnya. Akibatnya. Service provider banyak menggunakan sistem multiple Web sites ini untuk memaksimalkan sumber-sumbernya. Hal ini cukup penting untuk menjadi perhatian. dan kebanyakan penyerang mengetahui hal ini.

Gambar 3. Aplikasi Web disusun sesuai kebutuhan masing-masing pembuatnya. Tidak ada standar paling baik untuk semua jenis kebutuhan. Dengan memahami bagaimana aplikasi Web ini disusun akan membantu kita mengetahui lebih baik gambaran tentang keamanannya. Sebuah sistem aplikasi Web memiliki tiga komponen utama: • • • Web server front-end Lingkungan (environment) eksekusi aplikasi Web Database server Berikut ini dapat dilihat layout dari sistem aplikasi Web pada umumnya.1 Gambaran sekilas suatu sistem aplikasi Web tipikal EC5010 Keamanan Sistem Informasi 12 . apabila seseorang ingin membuat suatu aplikasi Web dengan kebutuhan performa yang tinggi maka sebaiknya memahami konsepnya dengan baik pula untuk dapat memanfaatkan berbagai macam teknologi aplikasi Web yang ada.Analisis Keamanan Web Server BAB III KOMPONEN-KOMPONEN PENDUKUNG APLIKASI WEB Pada bab ini pembahasan akan difokuskan pada fungsi komponenkomponen dari sebuah aplikasi Web. Terlepas dari pengetahuan ini.

seperti kelemahan buffer overflow. yaitu Web server front-end. Netscape. Microsoft IIS. Langsung mengenai komponen utama. Mendukung API dan plug-in untuk pengintegrasian komponen-komponen dan modul-modul eksternal. haruslah memenuhi kriteria berikut: • Scalability dan robustness: Kapasitas Web server harus bisa dengan mudah diperluas tanpa perlu membatasi hardware server dan sistem operasi yang dipakai. Server-server ini biasanya hanya menangani file-file HTML statis. namun tidak selalu menjadi sebuah sistem tersendiri. III. • Sudah diuji-coba melawan serangan-serangan yang umum: Karena Web server front-end merupakan komponen pertama yang menjadi sasaran maka ia harus sudah lulus uji terhadap serangan-serangan dari luar yang umum dipakai orang.2 LINGKUNGAN (ENVIRONMENT) EKSEKUSI APLIKASI WEB Lingkungan eksekusi aplikasi Web merupakan platform untuk membuat aplikasi-aplikasi yang bisa menerima input dari form-form HTML atau URL dan membangkitkan output HTML secara dinamis. Zeus Web sever. Peningkatan beban jangan sampai menurunkan performa terlalu banyak.1 WEB SERVER FRONT-END Pada pembahasan ini kita tidak akan bahaskan masalah Web browser dan firewall. EC5010 Keamanan Sistem Informasi 13 .Analisis Keamanan Web Server III. Agar fungsionalitasnya bagus. Beberapa Web server font-end yang populer antara lain adalah Apache. Bagian ini berfungsi untuk menerima request HTTP dan memberi jawaban. Secara khusus disebut sebagai server aplikasi Web. penyisipan meta-karakter. Fasilitas konfigurasi yang serbaguna. dll. atau mungkin memiliki sedikit saja kemampuan scripting dinamis. Tentunya tidak cukup untuk melayani keseluruhan aplikasi Web. Ia harus mengefisiensikan sumber-sumbernya untuk menyediakan output yang besar dan memadai. Server front-end biasanya dibuat untuk siap melayani request dalam jumlah besar dab mengendalikan banyak koneksi yang terjadi bersamaan. • • • Kemampuan menangani beban besar dan koneksi yang banyak secara bersamaan.

driverdriver database. Semua transaksi database dikerjakan melalui SQL. ada beberapa hal yang perlu diperhatikan: • • Kecocokan untuk menjalankan tugas yang diinginkan: Biasanya terkait dengan pilihan bahasa pemrograman yang tepat. Gambar 3. dan MySQL. Database server berkomunikasi dengan komponen sistem lain dengan API native. • Antarmuka dengan database: Harus mampu memberikan antarmuka terhadap database server terkenal seperti Oracle. III. Antarmuka dengan Web server front-end: Komponen server aplikasi Web harus bisa menjadi antarmuka dan memberi alternatif metode pengintegrasian terhadap Web server front-end. DB2.3 DATABASE SERVER Database server dalam sebuah sistem aplikasi Web digunakan untuk menampung beragam database dan tabel yang diperlukan oleh aplikasi. SQL Server.2 Menghubungkan server-server aplikasi Web EC5010 Keamanan Sistem Informasi 14 . Pada gambar berikut ini dapat dilihat empat contoh cara menghubungkan komponen-komponen sistem tadi.Analisis Keamanan Web Server Kadangkala server aplikasi Web ini bisa saja hanya merupakan sebuah ekstensi dari Web server front-end. III. atau komponen-komponen middle-layer.4 MENGHUBUNGKAN MASING-MASING KOMPONEN Beragam cara dapat kita lakukan untuk menghubungkan masing-masing komponen sistem aplikasi Web ini. Dalam memilih komponen server aplikasi Web ini.

0 HTTP/1.3. dan PHP 4.Analisis Keamanan Web Server III.1. Langkah awal untuk mengidentifikasikan teknologi yang mendukung aplikasi Web server adalah dengan memperhatikan header HTTP yang dikembalikan oleh Web server. path=/. header HTTP bisa secara akurat mengidentifikasikan Web server front-end yang dipakai.51.Ekstensinya menentukan platform sumber yang digunakan.1 200 OK Date: Mon. dapat disimpulkan bahwa server yang dipakai adalah Apache 1. 04 Feb 2001 19:12:35 GMT Server: Apache/1. Berikut ini EC5010 Keamanan Sistem Informasi 15 . Berikut ini contohnya: # nc www.5 IDENTIFIKASI KOMPONEN APLIKASI WEB MELALUI URL Sebuah URL sebenarnya merupakan wujud dari sekumpulan fitur atau fungsi dari suatu aplikasi Web. expires=Tue.3. yaitu hanya menampilkan header-header yang dibutuhkan oleh browser. sehingga dapat membantunya mengidentifikasi teknologiteknologi yang bekerja pada aplikasi Web.12 (Unix) Connection: close Content-Type: text/html Di contoh ini kita tidak dapat mengetahui tipe dari script aplikasi Web dari sistem bersangkutan.0. mod_perl. Dalam contoh lain.3. Dari sini seseorang bisa melihat polapola pada URL.example.com 80 GET / HTTP/1. 04-Feb-02 19:29:37 GMT Last-Modified: Mon. Tentunya hal ini membutuhkan pengamatan dan pengalaman.19 yang juga mendukung SSL.0 HTTP/1. Misalnya. ada juga server yang membatasi.19 (Unix) Set-Cookie: Apache=192.com 80 GET / HTTP/1.168. Yang menjadi awal di URL adalah tipe dari sumber atau file yang diminta. digunakan utiliti seperti Netcat dapat dilihat sebagai berikut: # nc www.example.308631012850977729. 04 Feb 2001 19:29:37 GMT Server: Apache/1. 10 Dec 2001 04:48:34 GMT ETag: "94b5d-1ef-3c143ea2" Accept-Ranges: bytes Content-Length: 495 Connection: close Content-Type: text/html Pada contoh di atas.1 200 OK Date: Mon. URL juga merupakan sarana komunikasi utama antara browser dan sistem aplikasi Web. Perlu diteliti lagi karakter-karakter yang membedakannya untuk mempersempit kemungkinan dan menentukan teknologi yang dipakai. Dalam banyak hal.

asp . biasanya diantarmukakan dengan Microsoft IIS Lotus Domino server Karena sifat Web server yang fleksibel. 04 Feb 2001 17:52:59 GMT Location: homepage.nsf Teknologi Perl CGI script Active Server Pages ASP+ PHP script ColdFusion Lotus Domino Platform Server Generic. Pada tipe file seperti Java Server Pages (.jhtml yang merupakan halaman Java EC5010 Keamanan Sistem Informasi 16 .com/software/buy.nsf?Open Ekstensi .1 302 Found Server: Lotus-Domino/5.nsf?Open Connection: close Content-Type: text/html Content-Length: 305 URL: http://www2.example. Untuk itu perlu menggali lebih dalam pada petunjukpetunjuk URL. sebenarnya dapat dilakukan perubahan konfigurasi untuk mengaburkan teknologi yang dipakai.php .5 Date: Mon.example. IIS 4.example.aspx . Untuk lebih memahami masalah ini. Hal ini dikarenakan semua server aplikasi Java yang populer menyesuaikan standar J2EE.com/homepage.NET Generic.0.jhtml.com 80 GET / HTTP/1. biasanya Web server di Unix Microsoft IIS Microsoft . Ekstensi .jsessionid=ZYQFN5W HKORD5QFIAE0SFF GAVAAUIIV0 Header HTTP dari situs ini mengidentifikasikan server Microsoft IIS 4.cfm .jsp) tidak ada petunjuk sedikitpun informasi tentang Web server front-end dan aplikasi Java yang digunakan untuk mengeksekusi filefile JSP tersebut.0.0 HTTP/1.Analisis Keamanan Web Server dapat dilihat beberapa ekstensi pada URL dan platform-platform yang biasanya terkait. Dengan melihat pada header HTTP-nya dugaan itu terbukti. Namun. lebih mudah dengan beberapa contoh berikut ini: URL: http://www1. # nc www1. biasanya diantarmukakan dengan Web server Apache Generic.pl .0 tidak secara native mensupport . ataupun kadang kala pada isi file HTML-nya.nsf mengindikasikan bahwa server ini adalah server Lotus Domino. pada header-header HTTP-nya.

Berarti ada sebuah server aplikasi yang menjadi jembatan bagi IIS 4.jsp?id=21&StoreSession=PC1q Nwwm0xqCFOWHZcYxZaZ21laYQEfOetnSjrYtrsxSC1V7b|3886513130244820/ 167838525/6/7001/7001/7002/7002/7001/-1 Contoh ini khusus. URL: http://www3.Data e-commerce platform.com/ category. String ".example. EC5010 Keamanan Sistem Informasi 17 . File yang direquest adalah file Java Server Pages. Masih banyak lagi tentunya hal yang lebih mendalam dari itu. Angka 7001 dan 7002 mengacu kepada HTTP and port SSL TCP. Signature URL ternyata adalah tipikal dari BEA WebLogic. yang digunakan oleh untuk menangani file Java HTML dan mengeksekusi Servlet Java.Data dan "report" adalah salah satu dari banyak metode yang disediakan oleh aplikasi makro.jsessionid=xxxxx" merupakan karakteristik penandaan dari server aplikasi ATG Dynamo. yang diikuti dengan simbol "|" dan beberapa string numerik dipisah dengan tanda "/". yang dipakai WebLogic secara internal untuk berkomunikasi dengan Web server front-end.1. namun sebagai perkenalan dan memberikan gambaran kiranya cukup dari contoh-contoh di atas. Server yang dipakai adalah Netscape Enterprise 4.d2w" merupakan aplikasi makro ditulis pada bahasa script IBM Net. Sedangkan Web server front-end dideteksi dengan HTTP header yang ada. yang teridentifikasi melalui session identifiers dengan bentuk: Session=xxxxxxxxxxxxxx|######/#####/#/7001/7001/7002/7002/7001/# Bagian pertama dari session identifier-nya merupakan string alfanumerik. teridentifikasi dari HTTP headernya. Ketika WebLogic berjalan pada port selain dari 7001 dan 7002.0.d2w/report URL di atas adalah tipikal dari IBM Net.Analisis Keamanan Web Server HTML. String "ncommerce3" dan "ExecMacro" adalah kuncinya. Kemudian ada "home. server itu ditandai secara berbeda pada URL yang dihasilkan dari situs tersebut. URL: http://www4.com/cgi-bin/ncommerce3/ExecMacro/webstore/ home. Demikianlah beberapa contoh sebagai perkenalan dari identifikasi teknologi aplikasi Web server melalui URL-nya.example. Namun. "signature" URL yang dipakai bukan dari server Netscape Enterprise.

maka pengendali kesalahan harus diletakkan pada tempatnya untuk mengatasi kesalahan-kesalahan yang muncul pada saat aplikasi dipakai. Tentu saja penyerang yang sudah berpengalaman tidak akan bisa dihentikan dengan itu saja. Hanya pesan kesalahan singkat yang boleh dikembalikan kepada browser sewaktu terjadi kesalahan.6 TINDAKAN-TINDAKAN ANTISIPASI Setelah mengetahui beberapa hal yang telah dipaparkan sebelumnya. EC5010 Keamanan Sistem Informasi 18 . Setidaknya dua panduan berikut ini berdasarkan pada prinsip meminimalkan hak-hak khusus dapat diikuti. Dengan itu sebenarnya tidak tahan lama. Demikian sedikit ulasan mengenai aplikasi Web dan seluk-beluknya. Kemudian server aplikasi yang dipakai juga jangan sampai dimasukkan dalam header HTTP. yaitu: • Minimalkan Kebocoran Informasi dari Header HTTP Sebagian besar Web server dikonfigurasikan agar tidak mengembalikan header HTTP selain dari informasi yang dibutuhkan. Pesan-pesan kesalahan harus dicatat dalam file log pada Web server. Penting bagi kita untuk memahami peran masing-masing teknologi Web server agar kita dapat mengatasi berbagai kemungkinan serangan pada sistem aplikasi Web server. maka perubahan string identifikasi server dan ekstensi file sudah cukup baik sebagai solusi. namun hanya menahan permainan script atau menghalangi scanner otomatis saja.Analisis Keamanan Web Server III. Bukan suatu hal yang mudah untuk dapat mencegah pihak luar atau penyerang dari mendapatkan informasi tentang teknologi yang dipakai pada sistem aplikasi Web server yang kita miliki. maka perlu diperhatikan tindakan-tindakan antisipasi untuk pengelola aplikasi Web server. Untuk membingungkan penyerang sekaligus mencegahnya. • Hindari Pengiriman Informasi Keliru Kepada Browser Ketika aplikasi Web sampai pada tahap produksi dari tahap pengembangan.

namun tidak selalu diperlukan. Untuk itu perlu diperhatikan sekali lubang-lubang keamanannya. namun mereka secara memberikan keleluasaan bagi kita untuk mematikan fungsifungsi atau program-program di dalamnya yang tidak kita inginkan. Konfigurasi default biasanya memberikan berbagai kemudahan dan fitur tambahan.Analisis Keamanan Web Server BAB IV KESIMPULAN Kesimpulan yang dapat diambil dari pembahasan makalah ini antara lain sebagai berikut: • Teknologi Web server merupakan inti setiap desain aplikasi Web. konfigurasi defaultnya justru akan menjadi sejumlah jalan penyerangan bagi para penyerang. • Web server seperti IIS dan Apache memiliki kelemahan-kelemahan. • Dalam mengembangkan aplikasi Web. sangat penting untuk dipahami bagaimana kerja masing-masing teknologi Web yang dipakai agar dapat diantisipasi kelemahan-kelemahan kemanannya. Tanpa memberi perhatian khusus pada keamanannya. EC5010 Keamanan Sistem Informasi 19 .

Addison Wesley.Analisis Keamanan Web Server DAFTAR PUSTAKA [1] Stuart McClure. U.. Saumil Shah. and Shreeraj Shah. 2002. EC5010 Keamanan Sistem Informasi 20 .S. Web Hacking: Attacks and Defense.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->