Senin, 10 September 2007

Security

Saat ini, Firewall, Security Scanner, dan anti virus software hampir melindungi semua jaringan komputer di dalam suatu perusahaan.Walaupun dengan perlindungan tersebut, seorang hacker melakukan studi tersendiri, dan mempelajari cara lain untuk menembus, mengubah, dan mengambil data penting di dalam suatu perusahaan.

Dan sayangnya mereka menemukan cara lain tersebut untuk menembus keamanan data perusahaan, yakni melalui sebuah aplikasi Website perusahaan itu sendiri.

Aplikasi Website bisa di akses secara publik melalui internet, 24 jam sehari, 7 hari seminggu. Hal ini menyebabkan seorang hacker bisa melakukan percobaan hacking tanpa batas untuk menembus aplikasi website tersebut dengan tujuan yang bermacam-macam. ada yang semata-mata untuk menguji kemampuan hackingnya, ada yang bertujuan untuk mengubah, dan mengambil data penting , misalnya mengambil informasi data customer di perusahaan tersebut.


Pete Lindstrom, Seorang Director of Security Strategies with the Hurwitz Group mengatakan :
" Aplikasi website saat ini, adalah bagian dan struktur yang paling lemah di dalam suatu perusahaan".

Apa itu aplikasi website ?

- Aplikasi website adalah suatu aplikasi yang berada di dalam server suatu perusahaan, dimana setiap orang
bisa mengakses dan melihatnya melalui internet maupun intranet.

Aplikasi website terdiri dari 3 bagian aplikasi :

Bagian pertama adalah aplikasi browser, semacam : internet explorer, mozzila, firefox, opera, dan lain-lain.

Bagian kedua adalah aplikasi yang menghandle permintaan data ke server oleh browser tersebut, contohnya seperti : ASP ( active server pages ) , Java servlets, dan lain-lain.

Bagian ketiga : adalah database dari aplikasi website tersebut yang berfungsi sebagai penyedia data, dan juga penyimpan data atas permintaan dari aplikasi bagian kedua tadi.

Contoh-contoh Aplikasi website adalah : Shopping cart, Formulir order, halaman login, Forum, Blogs, dan lain-lain.

Modus Operandi, Bagaimana Hacker Menembus sistem keamanan website Anda.



Seorang hacker yang ingin melakukan serangan ke sebuah situs, mereka mempunyai tahap-tahap dalam melakukan hacking, modus operandi mereka selalu hampir sama. sebagian besar adalah :

1. Mengumpulkan Informasi.

ini adalah tahap awal untuk melakukan hacking, Hacker biasanya mengumpulkan informasi-informasi terhadap target terlebih dahulu, misalnya mencari informasi terhadap Operating System terhadap server target tersebut, apakah target memakai server berbasikan linux, atau window. Juga melakukan Port scanning pada website tersebut, untuk mengetahui port tersebut di gunakan untuk apa saja, dan port apa saja yang terbuka. lalu memeriksa aplikasi dari server tersebut.

misalnya apakah menggunakan PHP, atau CGI, atau ASP sebagai bahasa program untuk aplikasi situsnya.


2. Melakukan Survey
.
Jika sudah mendapatkan informasi-informasi tersebut di atas, hacker akan melakukan survey untuk mencari kelemahan terhadap informasi yang dia dapat tadi, apakah memiliki kelemahan atau tidak.


3. Memeriksa Input Validation.

Bila sudah di tahap ini, hacker akan melakukan uji coba atas input validation yang di gunakan website tersebut. dan mencari tahu, Input apa yang di butuhkan oleh server tersebut agar bisa melakukan perubahan.


4. Memulai Serangan.

Setelah mengumpulkan informasi terhadap situs target, maka hacker akan memulai serangannya.

Metode serangan favorit yang sering di lakukan oleh hacker

SQL Injection : Penyerang akan menjalankan perintah SQL melalui website tersebut, ini bisa di lakukan dengan dua cara, yakni melalui pengeditan Form , atau pun melalui pengeditan link url.

Cross site scripting ( CSS attack ) : Dengan serangan ini, Input yang di masukan pengguna lainnya dalam website tersebut akan di transfer ke website nya si penyerang.

Directory traversal Attack : Juga di kenal dengan ../ ( dot dot slash ) attack. Dengan serangan ini, directory yang tadinya tidak bisa di lihat ( forbiden ) akan bisa di akses. Dengan cara melakukan penambahan ../ di link target.

Parameter manipulation : Melakukan manipulasi terhadap data yang di transfer antara browser dengan aplikasi website tersebut. hal ini bisa di lakukan dengan beberapa cara :

- Cookie manipulation : Cookie yang menyimpan data login dalam suatu sesi, dengan adanya cookie, seorang user tidak perlu lagi melakukan login ke website tersebut, selama dia belum melakukan logout. karena cookie ini di simpan di dalam komputer klient, penyerang dengan mudah memanipulasi data cookie tersebut.

- HTTP Header Manipulation : HTTP headers yang mengontrol informasi dari jaringan klien ke server situs, di karenakan HTTP header ini berasal dari komputer client ( pelanggan ) . Penyerang dengan mudah mengubah dan memanipulasi data tersebut.

- HTLM Form Field manipulation : Sebuah form login, form pendaftaran, Form transfer, yang biasanya ada di suatu situs bisa di modifikasi dengan mudah, dan melancarkan serangan dengan memakai form yang sudah di ubah tersebut.

- URL manipulation : Sebuah situs yang menampilkan parameter perintah di bagian link situs tersebut di browser, akan dengan mudah di baca oleh penyerang tersebut untuk melakukan perubahan.

- Directory enumeration : Menganalisa directori dan struktur dari website tersebut, dan mencari directory tersembunyi, maupun mencari direktori yang memiliki write akses.

Dan masih banyak lagi metode serangan lainnya seperti :

File Inclusion, Script Source Code Disclosure, CRLF Injection Cross Frame Scripting (XFS), PHP Code Injection, XPath Injection, LDAP Injection, Blind SQL/XPath Injection, Authentication attacks, Buffer overflows.

Beberapa kejadian akibat bisa di tembus nya aplikasi website suatu perusahaan.



- Pada tahun 2000, seorang remaja berumur 17 tahun yang berasal dari norwegia, menembus sebuah bank lokal terkenal di negaranya. Pada saat dia sedang melakukan transaksi online di bank tersebut, dia menyadari bahwa aplikasi website ini menggunakan nomor accountnya sebagai bagian parameter di link url. Kemudian dia mencoba memasukkan secara acak nomor account lainnya di link url tersebut, dan hasilnya data account bank yang dia tulis tersebut muncul di layar komputernya lengkap dengan informasi detail lainnya.

- Pada tanggal 31 oktober 2001, Website Acme Art Inc, berhasil di tembus dan informasi kartu kredit customer yang pernah melakukan order lewat website ini di ambil, dan di tampilkan di Usenet Groups. Informasi hacking ini pun di beritakan kembali oleh media secara gencar, yang membuat perusahaan tersebut mengalami kerugian ratusan ribuan dollar di karenakan kehilangan kepercayaan customernya, dan banyak yang membatalkan order pembeliannya.

Perusahaan ini juga kehilangan pinjaman keduanya, yang di batalkan secara sepihak oleh Venture Capital Firm.

- Pada bulan juni 2003, Perusahaan Fashion dengan merk Guess, dan pet supply retailer PetCo. Keamanan website mereka di tembus dan sebagai hasilnya, hampir setengah juta data informasi kartu kredit customernya di curi.


- Di Indonesia sendiri, tentu kita masih ingat dengan situs KPU ( komisi pemilihan umum ), yang di serang dengan metode SQL injection. Yang mengakibatkan nama-nama partai yang ada di situs tersebut berubah.

- Choice Point inc, akibat tindakan hacking yang dilakukan seseorang, mengalami kerugian kurang lebih 15 Juta dollar

- University of Southern California ($140k +)

- Microsoft (Website defacement)

- PayPal (Account information stolen; cost unknown)

- Victoria’s Secret ($50k fine)

- Hotmail (Vulnerability detected – not fixed)

- Amazon (Vulnerability detected – not fixed)

- Petco (credit cards of 500k customers stolen)

Acunetix Website Aplikasi Scanner, Solusi untuk meminimalisir kejadian hacking atas situs perusahaan Anda

Apa itu Acunetix website aplikasi scanner ?

Acunetix Website aplikasi scanner adalah sebuah software yang berfungsi untuk melakukan scanning atas kelemahan yang bisa terjadi di situs Anda. Dengan memakai software ini, anda akan mengetahui apa saja kelemahan yang terdapat di situs anda beserta dengan saran apa yang harus Anda lakukan atas kelemahan yang di temukan tersebut.

Fasilitas apa yang terdapat di Acunetix website aplikasi scanner ?

Software ini secara otomatis akan memeriksa situs Anda terhadap kelemahan, metode nya antara lain :

  • Version Check : Vulnerable Web Servers, Vulnerable Web Server Technologies – such as “PHP 4.3.0 file disclosure and possible code execution, CGI Tester, Checks for Web Servers Problems – Determines if dangerous HTTP methods are enabled on the web server (e.g. PUT, TRACE, DELETE), Verify Web Server Technologies.

  • Parameter Manipulation : Cross-Site Scripting (XSS) – over 25 different XSS variations are tested, SQL Injection, Code Execution, Directory Traversal, File Inclusion, Script Source Code Disclosure, CRLF Injection, Cross Frame Scripting (XFS), PHP Code Injection, XPath Injection, Full Path Disclosure, LDAP Injection, and Cookie Manipulation.

  • MultiRequest Parameter Manipulation : Blind SQL/XPath Injection.

  • File Checks : Checks for Backup Files or Directories - Looks for common files (such as logs, application traces, CVS web repositories), Cross Site Scripting in URI, Checks for Script Errors.

  • Directory Checks : Looks for Common Files (such as logs, traces, CVS), Discover Sensitive Files/Directories, Discovers Directories with Weak Permissions, Cross Site Scripting in Path and PHPSESSID Session Fixation, Web Applications.

  • Text Search : Directory Listings, Source Code Disclosure, Check for Common Files, Check for Email Addresses, Microsoft Office Possible Sensitive Information, Local Path Disclosure, Error Messages.

  • GHDB Google Hacking Database : Over 1200 GHDB Search Entries in the Database.

  • Other vulnerability tests may also be preformed using the manual tools provided, including: Input Validation, Authentication attacks, Buffer overflows.

Diposting oleh posku di 9/10/2007 04:32:00 AM