DANI SUKARSAH

A2.0700408

TI – VII Database
Abstraksi

Berbagai macam kemampuan meng-hack web server dan database  Membuktikkan bahwa
keamanan web merupakan hal terpenting dalam sebauh bisnis yang bergerak dengan
menggunakkan website beserta system operasinya. Web server merupakan salah satu target public
yang menyangkut sebuah organisasi. Keamanan web server sama pentingnya dengan keamanan
website atau aplikasi web tersebut dan jaringan disekitarnya. Jika anda memiliki aplikasi keamanan
web dan sebuah server yang tidak kokoh, hal tersebut masih memiliki resiko yang tinggi. Keamanan
perusahaan iu sama kuatnya dengan titik lemah dari perusahaan tersebut.
Meskipun menjaga keamanan web server merupakan hal yang cukup sulit dan membutuhkan
kemampuan khusus, hal tersebut masih dapat dilakukan. Oleh karena itu ada beberapa tips untuk
memperketat keamanan web server anda. Berikut beberapa hal yang dapat anda lakukan :
Membuang layanan-layanan yang tidak berguna.

Pendahuluan
Berjuta-juta halaman Web dapat kita temui saat ini di Internet. Perkembangannya sangat cepat.
Telah banyak perusahaan yang menampilkan diri di Internet melalui Web. Begitu juga dengan
berbagai jenis Web yang lain yang kini telah menjadi bagian tak terpisahkan dari Internet. Web
sedemikian populer karena mudah dibuat dan banyak menawarkan keuntungan. Banyak sekali
informasi yang disediakan oleh Web-Web yang ada dan dapat diakses oleh siapa saja. Bahkan saat
ini banyak pula perusahaan-perusahaan yang menyediakan transaksi melalui Web mereka. Web
telah dijadikan satu bagian penting untuk promosi maupun layanan kepada pelanggan.

Berkaitan dengan perkembangan ini, maka kemanan mulai menjadi masalah penting. Lebih lagi
dengan kemunculan Web-Web e-commerce. Demikian juga dengan penggunaan Web oleh
perusahaan-perusahaan sebagai tempat promosi dan pusat layanan mereka yang tentunya
membutuhkan jaminan keamanan.

Keamanan Web menjadi lebih lagi dibutuhkan dengan adanya kasus-kasus pencurian melalui Web,
penipuan, perusakan, virus, worm, dan lain-lain. Karena pentingnya masalah kemanan ini maka bagi
setiap orang yang ingin mengembangkan Webnya sudah selayaknya mempersiapkan diri sebaik-
baiknya. Apalagi jika dalam pengembangan Web akan digunakan untuk aplikasi-aplikasi yang rentan
atau kritis, maka kemanan yang baik akan menghindarkan kerugian yang mungkin didapat yang
jumlahnya mungkin bisa sangat besar, baik secara material maupun non-material.

Dalam paper ini akan penulis coba uraikan secara ringkas mengenai keamanan Web server.
Pembahasan dilihat dari sisi server terutamanya mengenai titik-titik kelemahan yang dapat
dimanfaatkan oleh pihak luar. Web server yang akan dibahas adalah Apache dan IIS karena
keduanya yang paling banyak digunakan saat ini.
 ISI

1. Instalasi dan konfigurasi system operasi yang standar , adalah kurang aman. Pada standar
instalasi, banyak layanan jaringan yang tidak digunakan / diperlukan dalam konfigurasi server yang
diinstall, seperti layanan remote registry, layanan print server, dll. Semakin banyak layanan yang
dilakukan system operasi, semakin banyak celah yang terbuka, dan menyebabkan terbukanya pintu
untuk penyalahgunaan pemakai. Matikan layanan yang tidak dibutuhkan sehingga akan
menghasilkan performa yang lebih maksimal untuk server anda.
2. Remote access. Meskipun saat ini tidak praktis, ketika dimungkinkan, administrator server harus
login ke server web lokal. Jika akses remote diperlukan, kita harus memastikan bahwa sambungan
remote dijamin dengan benar, dengan menggunakan protokol tunneling dan enkripsi.
Menggunakan tanda keamanan dan penunjuk lainnya pada peralatan dan perangkat lunak, adalah
praktik keamanan yang sangat baik. Remote akses juga harus dibatasi pada jumlah tertentu dan IP
hanya untuk account tertentu. Hal ini juga sangat penting untuk tidak
menggunakan komputer publik atau jaringan publik untuk mengakses server perusahaan jarak jauh,
seperti di kafe internet atau jaringan nirkabel.
3. Perkembangan terpisah / pengujian / lingkungan produksi. Karena lebih mudah dan lebih cepat
bagi pengembang untuk mengembangkan versi terbaru dari aplikasi web pada server produksi,
sangat umum bahwa pembangunan dan pengujian aplikasi web dilakukan langsung pada server
produksi itu sendiri. Ini biasaynya terjadi pada internet dalam menemukan versi-versi terbaru dari
sebuah situs web tertentu, atau beberapa konten yang tidak boleh tersedia bagi publik dalam
direktori seperti / test /, / new / atau direktori sub serupa lainnya. Karena aplikasi web seperti
berada dalam tahap perkembangan awal, mereka cenderung memiliki sejumlah kelemahan, yaitu
kurangnya validasi input dan tidak menangani pengecualian dengan baik. Aplikasi ini dapat dengan
mudah ditemukan dan dieksploitasi oleh pemakai yang kurang baik, dengan menggunakan alat gratis
yang tersedia di internet. Untuk lebih memudahkan pengembangan dan pengujian aplikasi web,
pengembang Cenderung untuk mengembangkan aplikasi internal tertentu yang memberi mereka
akses istimewa untuk aplikasi web, web server database dan sumber daya lainnya, yang tidak dimiliki
pengguna lain. Aplikasi ini biasanya tidak memiliki batasan, karena mhanya dapat digunakkan oleh
pengembang aplikasi tersebut saja. Sayangnya, jika pengembangan dan pengujian dilakukan pada
server produksi, aplikasi tersebut dapat dengan mudah ditemukan oleh pengguna yang memiliki niat
buruk, yang mana bisa menolong mereka mengembangkan dan kompromi sehingga mendapatkan
akses pada server produksi. Idealnya, pengembangan dan pengujian aplikasi web harus selalu
dilakukan pada server-server terisolasi dari internet, dan seharusnya tidak pernah menggunakan
atau menyambung ke kehidupan nyata dan database.
4. AplikasiWeb konten dan server-side scripting Aplikasi web atau berkas website dan script harus
selalu berada pada partisi terpisah atau drive lain selain itu sistem operasi, log dan file sistem
lainnya. Melalui pengalaman, kita telah belajar bahwa hacker yang memperoleh akses ke root
direktori web, yang mampu mengeksploitasi kelemahan-kelemahan, dan mampu memperoleh akses
ke seluruh data pada disk, termasuk sistem operasi dan file-file sistem lainnya. Dan seterusnya,
pengguna yang memiliki niat jahat memiliki akses untuk melaksanakan setiap perintah sistem
operasi, menghasilkan kendali penuh dari web server.
5. Perizinan dan hak. Perijinan file/berkas dan layanan jaringan memainkan peranan penting dalam
keamanan server web. Jika mesin server web dikompromikan melalui software servis jaingan,
pengguna yang memiliki niat buruk dapat menggunakan account pada servis jaringan yang sedang
berjalan untuk melaksanakan tugas, seperti mengeksekusi file spesifik . Oleh karena itu sangat
penting untuk selalu memberikan hak yang minim untuk servis jaringan tertentu untuk dijalankan,
seperti perangkat lunak server web. Hal ini juga sangat penting untuk menetapkan hak-hak
minimum kepada pengguna kebanyakan untuk mengakses situs, aplikasi web dan juga berkas
backup data dan database.
6. Menginstal semua tambahaan keamanan pada waktunya. Walaupun telah sepenuhnya perangkat
lunak yang ditambah tidak selalu berarti server anda sepenuhnya aman, masih sangat penting untuk 
memperbarui sistem operasi dan perangkat lunak lain berjalan di atasnya dengan patch keamanan
terbaru. Hingga hari ini, masih terjadi insiden hacking hacker Karena mereka mencari celah 
kelemahan keamanan
sehingga dapat dimanfaatkan demi kepentingan mereka.
7. Memantau dan audit server. Semua log yang ada dalam sebuah server web, idealnya harus
disimpan dalam area terpisah. Semua layanan jaringan log, log akses web, server database log
(misalnya  Microsoft SQL Server, MySQL, Oracle) dan log sistem operasi harus dipantau dan diperiksa
sering . Orang harus selalu waspada terhadap entri log yang aneh. Log file Cenderung untuk
memberikan semua informasi tentang catatan hacking sebelumsebelumnya, dan bahkan dari
serangan yang sukses, tapi sebagian besar diabaikan. Jika ada salah satu aktivitas aneh dari catatan
log, maka harus segera diselisiki masalahnya sehingga dapat siambil tindakan preventif apabila
berbahaya bagi server.
8. Account pengguna akun pengguna yang belum digunakkan yang diciptakan selama menginstal
sistem operasi harus dinonaktifkan. Ada juga daftar panjang software yang jika diinstal, akun user
dibuatkan pada system operasi. Akun tersebut juga harus diperiksa dengan benar dan perlu
perizinan hak aksesnya harus dirubah sesuai dengan yang dibutuhkan. pembuatan pada account
administrator harus diganti namanya dan tidak dapat digunakan, sama halnya yang terjadi pada root
user ketika instalasi linux / unix. Setiap administrator mengakses server web harus memiliki akun
sendiri, dengan hak yang seperlunya. Hal tersebut juga contoh menjaga keamanan yang baik dengan
cara tidak berbagi satu sama lain akun pengguna.
9. Menghapus semua modul dan aplikasi yang tidak terpakai ekstensi
Instalasi default Apache memiliki sejumlah modul yang telah ditetapkan sebelum diaktifkan, yang
mana tipikal scenario web server tidak digunakan, kecuali mereka diperlukan secara spesifik.
Matikan modul untuk mencegah serangan tersebut ditargetkan terhadap modul-modul tersebut.
Secara default, IIS dikonfigurasi untuk melayani sejumlah besar jenis aplikasi, misalnya, ASP, ASP.NET
dan banyak lagi. Daftar ekstensi aplikasi hanya berisi daftar ekstensi website atau aplikasi web yang
akan digunakan. Setiap ekstensi aplikasi juga harus dibatasi untuk hanya menggunakan script HTTP
tertentu ketika memungkinkan.
10. Gunakan alat-alat keamanan yang disediakan dengan perangkat lunak web server.
Microsoft merilis sejumlah alat bantu untuk membantu administrator mengamankan instalasi IIS
web server, seperti URL scan. Ada juga modul dengan sebutan mod_security untuk Apache.
Meskipun konfigurasi toolsnya merupakan proses yang membosankan dan memakan waktu cukup
lama, terutama dengan pengaturan aplikasi web, mereka menambahkan sedikit tambahan
keamanan dan gagasan ide agar diperoleh hasil yang maksimal.
11. Stay informed. Saat ini, banyak informasi dan tips tentang perangkat lunak dan sistem operasi
yang dapat ditemukan secara bebas di internet. Hal ini sangat penting untuk memperluas
pengetahuan dan belajar mengenai serangan-serangan baru dan peralatan-peralatannya dengan
membaca majalah yang terkait keamanan dan berlangganan newsletter, forum atau jenis
masyarakat lainnya.
12. Gunakan Scanners. Scanner adalah alat-alat praktis yang membantu Anda mengotomatisasi dan
mempermudah proses mengamankan web server dan aplikasi web. Acunetix Web Vulnerability
Scanner juga dikirim dengan port scanner, yang mana ketika diaktifkan akan port scan server web
hosting aplikasi web tidak dipindai. Serupa ke pemindai keamanan jaringan, Acunetix WVS akan
meluncurkan sejumlah pemeriksaan keamanan yang canggih terhadap port yang terbuka dan
layanan jaringan berjalan pada server Web Anda.
Acunetix Web Vulnerability Scanner website Memastikan keamanan dan web server dengan
memeriksa SQL injection, Cross site scripting, masalah konfigurasi server web dan kerentanan yang
lain. Ia memeriksa kekuatan password pada halaman otentikasi dan audit secara otomatis shopping
cart, form, konten dinamis dan situs Web 2.0 aplikasi. Saat scanselesai, perangkat lunak rinci
menghasilkan laporan yang menunjukkan di mana kerentanan tersebut berada.
KESIMPULAN

Kesimpulan yang dapat diambil dari pembahasan makalah ini antara lain sebagai berikut:

Teknologi Web server merupakan inti setiap desain aplikasi Web. Tanpa memberi perhatian khusus
pada keamanannya, konfigurasi defaultnya justru akan menjadi sejumlah jalan penyerangan bagi
para penyerang. Konfigurasi default biasanya memberikan berbagai kemudahan dan fitur tambahan,
namun tidak selalu diperlukan. Untuk itu perlu diperhatikan sekali lubang-lubang keamanannya.

Web server seperti IIS dan Apache memiliki kelemahan-kelemahan, namun mereka secara
memberikan keleluasaan bagi kita untuk mematikan fungsi-fungsi atau program-program di
dalamnya yang tidak kita inginkan.

Dalam mengembangkan aplikasi Web, sangat penting untuk dipahami bagaimana kerja masing-
masing teknologi Web yang dipakai agar dapat diantisipasi kelemahan-kelemahan kemanannya.
Daftar Isi
Abstrak ………………………………………………………………………………………………………….. 1

Pendahuluan …………………………………………………………………………………………………. 2

Isi ………………………………………………………………………………………………………………….. 3

Kesimpulan …………………………………………………………………………………………………… 6