Peretasan Peladen Web Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id> Tahun Ajaran 2011/2012
Peladen dan aplikasi web sangat potensial. (untuk diretas dan dikuasai)
Mengapa?
Layanan web pasti terbuka untuk umum. (setiap organisasi memiliki web untuk diakses khalayak)
Pintu atau jendela terbuka ;-)
Peladen dan aplikasi web.
Informasi target: basis data. Tim Morgan, CC BY
Peladen Web
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Stallings, W. 2003. Data and Computer Communications, 7 th Edition.
Stallings, W. 2003. Data and Computer Communications, 7 th Edition.
HTTP dan HTTPS
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Operasi Protokol HTTP Klien web membuka koneksi ke alamat IP peladen web menggunakan porta TCP 80. Peladen web menunggu metode GET dari klien untuk meminta sumber daya web. Peladen merespon dengan sumber daya web yang diminta, misal kode HTML. Klien memproses kode HTML dan menerjemahkannya melalui peramban web klien.
Tipe-Tipe Kerentanan Peladen Web
Tipe-Tipe Kerentanan Peladen Web Kerentanan pada pemasangan SO/perangkat lunak default. Konfigurasi SO dan program peladen web setelah pemasangan perlu diubah dan dimutakhirkan. Konfigurasi perangkat lunak peladen web yang keliru. Contoh: IIS mengijinkan semua orang/publik mempunyai kendali terhadap direktori web default. Berhubungan dengan ijin akses. Perlu mematikan konfigurasi default. Periksa dan mutakhirkan konfigurasi secara berkala. Kelemahan/bug pada SO atau/dan aplikasi. Perlu ditambal dan dimutakhirkan secara berkala. Menggunakan program penjadwal seperti cron atau aplikasi pengelola dan pemutakhiran paket bawaan SO. Isu Free Software/Open Source?
Given enough eyeballs, all bugs are shallow. Linus Torvalds
Demilitarized Zone, DMZ. (bagian infrastruktur yang netral dan dapat diakses publik, umumnya berada di antara dua/lebih dingap)
batu loncatan
Web Cloaking
Teknik untuk menyembunyikan sumber daya/isi situs web. (dapat berdasarkan alamat IP klien)
Periksa URL, bila perlu halaman webnya.
Serangan Peladen Web
Serangan Peladen Web Porta HTTP: TCP 80 dan HTTPS: TCP 443. Dingap akan mengijinkan lalu lintas ke/dari peladen web. Program aplikasi web berada di atas peladen web dan mempunyai akses ke port layanan lain, misal basis data MySQL (porta TCP 3306). Penggunaaan teknik banner grabbing. telnet [target] 80; HEAD/HTTP/1.0. Mendapatkan nama dan versi program peladen web. Tipe serangan web yang digemari adalah defacement. Mengubah tampilan situs web dengan mengganti halaman dan/atau isi/sumber daya yang ada di sana.
Contoh Serangan Web Menangkap informasi privat administrator melalui MiTM. Melakukan serangan brute force terhadap kata sandi administrator. Mengalihkan pengguna ke peladen web berbeda dengan serangan DNS. Mengalihkan rute lalu lintas web melalui router/dingap, atau serangan penyisipan URL. Menguasai peladen FTP, surel, telnet, SSH, dll. Mengeksploitasi kelemahan peladen (+ekstensi) dan aplikasi web.
Pengelolaan Tambalan (patch-management)
Pengelolaan Tambalan/Perbaikan Mencegah dan mengurangi risiko serangan pada peladen dan aplikasi web. Proses memutakhirkan tambalan dan perbaikan dari vendor/produsen perangkat lunak. Memilih bagaimana perbaikan dipasang dan diverifikasi. Mengujicoba perbaikan tersebut di mesin pengujian. Menyimpan catatan/log perbaikan pada setiap sistem di dalam jaringan. Menggunakan perangkat lunak yang ditujukan untuk pengelolaan tambalan/perbaikan.
Metode Pertahanan Peladen Web
Metode Pertahanan Peladen Web Mengubah nama pengguna/administrator dan menggunakan kata sandi yang kuat. Mematikan layanan web/ FTP default. Mematikan akses jarak jauh. Menghapus program/paket yang tidak diperlukan. Sesuaikan dengan tujuan sistem. Mematikan perambanan direktori pada konfigurasi peladen web. Memutakhirkan tambalan dan perbaikan pada sistem. Melakukan validasi pada masukan borang di aplikasi web dan memeriksa potensi potensi serangan dari permintaan web yang dikirimkan oleh klien. Mengaktifkan audit dan pencatatan kejadian kejadian yang terjadi di dalam sistem. Mengoptimalkan dingap dan memasang IDS. Periksa kinerja akses webnya. Gunakan metode POST untuk menggantikan GET ketika mengirim data ke peladen web. Menambahkan pemberitahuan legal tentang implikasi serangan pada sistem ; )
Daftar Bacaan Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex