Keamanan Web memerlukan kewaspadaan dalam semua aspek desain dan penggunaan situs. Artikel pengantar ini tidak akan menjadikan Anda ahli keamanan situs web, tetapi akan membantu Anda memahami dari mana datangnya ancaman dan apa yang dapat Anda lakukan untuk memperkuat aplikasi web Anda dari serangan paling umum.
Keamanan Web umumnya mengacu pada bahasa markup, bahasa pemrograman, basis data, sistem dan platform CMS, dan teknologi lain yang memungkinkan pembuatan situs web, aplikasi, dan toko. Orang yang melakukan ini disebut pengembang web atau webmaster.
Apa Itu Keamanan Web?
Internet adalah tempat yang berbahaya dan kita semua sering mendengar tentang situs web yang tidak tersedia karena serangan penolakan layanan, atau tampilan informasi yang diubah (dan sering kali rusak) di halaman.
Dalam kasus lain, jutaan kata sandi, alamat email, dan detail kartu kredit telah dipublikasikan, membuat pengguna situs web mengalami rasa malu pribadi atau risiko keuangan.
Apa Tujuan dari Keamanan Web?
Tujuan dari Keamanan Web adalah untuk mencegah jenis serangan atau lainnya. Definisi keamanan web yang lebih formal adalah cara untuk melindungi situs web dari akses, penggunaan, modifikasi, perusakan, atau gangguan yang tidak sah.
Untuk Keamanan Web yang efektif, Anda perlu memberikan perhatian khusus pada pengembangan seluruh situs web seperti pada aplikasi web Anda, konfigurasi server web, saat menulis kebijakan untuk membuat dan memperbarui kata sandi, serta kode sisi klien.
Meskipun semua terdengar sangat tidak menyenangkan, kabar baiknya adalah jika Anda menggunakan kerangka kerja web untuk back-end, itu hampir pasti akan memberikan pertahanan “default” yang kuat dan dipikirkan dengan matang terhadap beberapa serangan paling umum.
Serangan lain dapat dikurangi melalui konfigurasi server web Anda, seperti mengaktifkan HTTPS. Terakhir, ada alat pemindaian kerentanan yang tersedia untuk umum yang dapat membantu Anda menentukan apakah Anda telah membuat kesalahan yang nyata.
Berikut Ancaman Keamanan Web
Bagian ini hanya mencantumkan beberapa ancaman situs web yang paling umum dan cara memperbaikinya. Saat Anda membaca, perhatikan seberapa sukses ancaman ketika aplikasi web memercayai, atau tidak cukup paranoid tentang data yang berasal dari browser.
1. Skrip Lintas Situs (XSS)
XSS ( Cross-Site Scripting ) adalah istilah yang digunakan untuk menggambarkan jenis serangan Keamanan Web yang memungkinkan penyerang menyuntikkan kode berbahaya melalui situs web ke browser pengguna lain.
Karena kode yang disuntikkan datang ke browser dari situs, kode tersebut dipercaya dan dapat melakukan tindakan seperti mengirimkan cookie otorisasi pengguna kepada penyerang. Ketika penyerang memiliki cookie , mereka dapat masuk ke situs seolah-olah mereka adalah pengguna.
2. Injeksi SQL
Kerentanan injeksi SQL memungkinkan penyerang untuk mengeksekusi kode SQL sewenang-wenang pada database, memungkinkan data untuk diambil, dimodifikasi, atau dihapus terlepas dari izin pengguna.
Serangan injeksi Keamanan Web yang berhasil dapat memalsukan identitas, membuat identitas admin baru, mengakses semua data di server, atau menghancurkan/memodifikasi data agar tidak dapat digunakan.
Kerentanan Keamanan Web muncul jika input pengguna yang diteruskan ke pernyataan SQL yang mendasarinya dapat mengubah arti pernyataan tersebut. Misalnya, kode dimaksudkan untuk mencantumkan semua pengguna dengan nama pengguna tertentu yang diberikan dari formulir HTML.
Untuk menghindari serangan semacam ini, Anda harus memastikan bahwa setiap data pengguna yang diteruskan ke kueri SQL tidak dapat mengubah sifat kueri. Salah satu cara untuk melakukannya adalah dengan menghindari semua karakter input pengguna yang memiliki arti khusus dalam SQL.
3. Pemalsuan Permintaan Lintas Situs (CSRF)
Serangan CSRF memungkinkan penyerang melakukan tindakan menggunakan kredensial pengguna lain tanpa sepengetahuan atau persetujuan pengguna. Jenis serangan ini paling baik dijelaskan dengan sebuah contoh.
Misalkan John adalah penyerang yang mengetahui bahwa situs tertentu mengizinkan pengguna yang masuk untuk mengirim uang ke akun tertentu menggunakan permintaan HTTP POST yang menyertakan nama akun dan jumlah uang.
John membuat formulir yang menyertakan detail banknya dan jumlah uang sebagai bidang tersembunyi, dan mengirimkannya melalui email ke pengguna situs lainnya (dengan tombol “Kirim” yang disamarkan sebagai tautan ke situs tertentu.
Jika pengguna mengklik tombol kirim, permintaan HTTP akan dikirim ke server POST yang berisi detail transaksi dan cookie sisi klien apa pun yang telah dikaitkan browser dengan situs (menambahkan cookie situs terkait ke permintaan adalah perilaku browser normal).
Server akan memeriksa cookie dan menggunakannya untuk menentukan apakah pengguna login dan memiliki izin untuk menyelesaikan transaksi. Akibatnya, setiap pengguna yang mengklik tombol Kirim saat masuk ke situs perdagangan akan menyelesaikan transaksi dan John menjadi kaya.
Salah satu cara untuk mencegah jenis serangan adalah dengan meminta server untuk permintaan POST yang berisi rahasia yang dibuat pengguna untuk situs tertentu. Rahasia akan diberikan oleh server saat mengirimkan formulir web yang digunakan untuk transfer.Demikian ulasan mengenai Keamanan Web dan Kemungkinan Serangan yang Terjadi, sekian dan terimakasih.
