A. Prinsip dasar keamanan
Pengamanan, merupakan sebuah kata yang mutlak ketika kita mencoba membangun sebuah website. website akan menjadi percuma ketika dibuat sangat “molek”, namun tidak serta merta memberikan keamanan bagi admin dan penggunanya. Dalam pengamanan dikenal dengan beberapa tingkat dan tipe. Tingkat dan tipe yang diperlukan untuk aplikasi kita akan berbeda-beda bergantung bagaimana aplikasi itu bekerja, tipe dan nilai data yang disimpan, jumlah resiko yang biasa dihadapi, usaha, serta biaya yang dipakai untuk menghasilkan aplikasi yang aman. Misalnya, pengamanan yang dibutuhkan untuk web perorangan akan sangat berbeda dibanding untuk situs perusahaan atau situs e-commerce.
B. Serangan pada web
Faktor-Faktor Timbulnya Serangan :
- Scripting
Kesalahan dalam scripting pembuatan web adalah hal terbanyak yang dimanfaatkan oleh para attacker, sehingga rata-rata web yang berhasil diserang melalui lubang ini. Kelemahan kelemahan scripting yang ditemukan pada proses vulnerabilities scanning misalnya, XSS, SQL Injection, PHP Injection, HTML Injection, dan lain sebagainya. Begitu pula pada CMS semisal Mambo, Joomla, WordPress, dan lainnya. CMS tersebut memiliki banyak komponen pendukung di internet yang bisa kita download, install dan konfigurasi. Sehingga sangat memungkinkan sekali terdapat bug pada scriptingnya. Langkah terbaik tentunya melakukan pembedahan (oprek) terhadap script serta melakukan pengujian sebelum komponen tersebut kita gunakan pada web yang sebenarnya. Pengujian bisa dilakukan melalui localhost pada komputer dengan menginstall PHP, apache, dan mySQL, atau menginstall software semisal WAMP ataupun XAMPP yang merupakan paket all in one. Untuk mengatasi hal tersebut sebaiknya kita harus mulai belajar dan memahami scripting scripting secara bertahap, baik HTML, PHP, javascript, dan sebagainya. CMS tersebut sebenarnya cukup aman, namun komponen tambahan yang tidak dibuat dengan baik, tentu saja bisa menimbulkan masalah besar bagi sistem secara keseluruhan.
- Lubang pada Situs Tetangga.
Ini merupakan salah satu faktor yang jarang mendapat perhatian. Sebagian webmaster kadang tidak begitu peduli ketika web lain yang satu hosting dihacked. Mereka berpikiran, Ah, toh bukan web saya yang kena. Padahal justru di sinilah letak kesalahannya.
Logikanya, misal web kita ditempatkan pada perusahaan hosting A. itu artinya web kita bertetangga dengan web milik orang lain yang berada dalam 1 hosting. Jika web tetangga tersebut memiliki celah fatal, sehingga attacker bisa menanam program yang dijadikan backdoor. Dengan backdoor inilah attacker bisa masuk ke dalam web kita bahkan web lainnya. Bukan itu saja, tidak mustahil attacker melakukkan defacing massal, termasuk web kita tentunya.
- Hosting yang Bermasalah
Pada beberapa kasus justru tempat hosting yang bermasalah menjadi sebab dihackednya banyak situs yang berada di bawah pengelolaannya. Pernah terjadi situs milik sebuah perusahaan dideface. Kemudian setelah diperbaiki, dideface lagi. Kemudian lapor ke admin perusahaan hosting, justru balik menyalahkan pemilik situs dengan alasan yang nggak masuk akal. Kenyataannya, justru web hosting itu yang nggak pernah di administrasi dengan baik, jarang diupdate, dan jarang dipatch, sehingga mudah terkena serangan. Dengan model pengelolaan yang seperti ini jangan berharap web kita akan aman. Karena itu, pastikan tempat hosting yang digunakan benar-benar memperhatikan tingkat keamanan bagi pelanggannya.
Teknik Informatika 2014 