Mohon tunggu...
KOMENTAR
Inovasi

Seberapa Hebat Sistem Keamanan Sebuah Situs?

10 Februari 2011   04:47 Diperbarui: 26 Juni 2015   08:44 1046 1

Sebenarnya sudah lama saya ingin menulis tentang hal ini, semenjak kompasiana mulai memberlakukan verifikasi akun, namun baru kali ini saya baru ada kesempatan untuk menulisnya. Melalui Tulisan ini saya ingin menjabarkan sistem keamanan sebuah situs, termasuk kompasiana.

Verifikasi akun merupakan hal yang berbahaya menurut saya, dengan alasan apapun admin menjelaskan tentang verifikasi akun tersebut. Kenapa saya katakan berbahaya?, karena apapun yang dilakukan dalam dunia maya tidak aman, apalagi melakukan verifikasi melalui online. Kebanyakan situs web tidak mendukung enkripsi, informasi tanpa enkripsi yang dikirim lewat internet dapat dilihat oleh pihak lain dalam perjalanan.

Kalau dapat dilihat oleh pihak lain dalam perjalanan, maka data-data privasi para kompasianers dapat dilihat oleh siapapun, terutama para hacker. Memang umumnya para hacker mengincar transaksi online daripada sekedar data-data, namun tidak menutup kemungkinan data-data tersebut dijadikan alat untuk hal-hal lain yang dapat merugikan siapapun yang empunya data.

Seorang Hacker ternama (saya rahasiakan namanya) mengatakan : Karena pada dasarnya komputer itu BODOH dan tidak bisa membedakan orang. Selama sebuah situs tidak menerapkan sistem keamanan pemindai retina atau sidik jari, saya jamin 1000% anda pasti bisa menghack sebuah situs.

Bagaimana seorang hacker menembus keamanan sebuah website?, dibawah ini saya akan jelaskan garis besar cara kerja seorang hacker :

Seorang hacker yang ingin melakukan serangan ke sebuah situs, mereka mempunyai tahap-tahap dalam melakukan hacking, modus operandi mereka selalu hampir sama. sebagian besar adalah :

  • Mengumpulkan Informasi. ini adalah tahap awal untuk melakukan hacking, Hacker biasanya mengumpulkan informasi-informasi terhadap target terlebih dahulu, misalnya mencari informasi terhadap Operating System terhadap server target tersebut, apakah target memakai server berbasikan linux, atau window. Juga melakukan Port scanning pada website tersebut, untuk mengetahui port tersebut di gunakan untuk apa saja, dan port apa saja yang terbuka. lalu memeriksa aplikasi dari server tersebut.misalnya apakah menggunakan PHP, atau CGI, atau ASP sebagai bahasa program untuk aplikasi situsnya.
  • Melakukan Survey Jika sudah mendapatkan informasi-informasi tersebut di atas, hacker akan melakukan survey untuk mencari kelemahan terhadap informasi yang dia dapat tadi, apakah memiliki kelemahan atau tidak.
  • Memeriksa Input Validation Bila sudah di tahap ini, hacker akan melakukan uji coba atas input validation yang di gunakan website tersebut. dan mencari tahu, Input apa yang di butuhkan oleh server tersebut agar bisa melakukan perubahan.
  • Memulai Serangan Setelah mengumpulkan informasi terhadap situs target, maka hacker akan memulai serangannya.

Metode serangan favorit yang sering di lakukan oleh hacker :

  • SQL Injection

Penyerang akan menjalankan perintah SQL melalui website tersebut, ini bisa di lakukan dengan dua cara, yakni melalui pengeditan Form , atau pun melalui pengeditan link url.

  • Cross site scripting ( CSS attack ) Dengan serangan ini, Input yang dimasukkan pengguna lainnya dalam website tersebut akan di transfer ke website nya si penyerang.
  • Directory traversal Attack Juga di kenal dengan ( dot dot slash ) attack. Dengan serangan ini, directory yang tadinya tidak bisa di lihat ( forbiden ) akan bisa di akses. Dengan cara melakukan penambahan di link target.
  • Parameter manipulation Melakukan manipulasi terhadap data yang di transfer antara browser dengan aplikasi website tersebut. hal ini bisa di lakukan dengan beberapa cara :
  • Cookie manipulation Cookie yang menyimpan data login dalam suatu sesi, dengan adanya cookie, seorang user tidak perlu lagi melakukan login ke website tersebut, selama dia belum melakukan logout. karena cookie ini di simpan di dalam komputer client, penyerang dengan mudah memanipulasi data cookie tersebut.
  • HTTP Header Manipulation HTTP headers yang mengontrol informasi dari jaringan klien ke server situs, di karenakan HTTP header ini berasal dari komputer client ( pelanggan ) . Penyerang dengan mudah mengubah dan memanipulasi data tersebut.
  • HTLM Form Field manipulation Sebuah form login, form pendaftaran, Form transfer, yang biasanya ada di suatu situs bisa di modifikasi dengan mudah, dan melancarkan serangan dengan memakai form yang sudah di ubah tersebut.
  • URL manipulation Sebuah situs yang menampilkan parameter perintah di bagian link situs tersebut di browser, akan dengan mudah di baca oleh penyerang tersebut untuk melakukan perubahan.
  • Directory enumeration Menganalisa directori dan struktur dari website tersebut, dan mencari directory tersembunyi, maupun mencari direktori yang memiliki write akses.

Dan masih banyak lagi metode serangan lainnya seperti :

KEMBALI KE ARTIKEL


LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun