TIPE – TIPE PENYERANGAN WEBSITE
A.
INJECTION
1.
Pengertian SQL
Injection
Sql Injection adalah
sebuah teknik hacking pada keamanan komputer yang bertujuan untuk menyalah
gunakan sebuah celah keamanan dalam sebuah lapisan basis data sebuah aplikasi web
server. Sehingga seorang penyerang/attacker bisa mendapatkan akses ke basisdata
dalam sistem.
2.
Teknik
Penyerangan
a.
Inband
Yaitu mengekstrak data
dengan menggunakan saluran yang sama yang digunakan untuk menyuntikan kode SQL
b.
Out-of-band
Mengambil data dengan saluran yanga
berbeda.
c.
Inferential /
Blind
Tester merekonstruksi
iformasi dengan mengirimkan permintaan tertentu dan
mengamati perilaku yang dihasilkan dari DB Service.
B.
BROKEN
AUTHENTICATION AND SESSION MANAGEMENT
1. Pengertian
Broken Authentication And Session Management
Broken Authentication And Session Management adalah
fungsi dari aplikasi yang berkaitan dengan otentikasi dan manajemen sesi yang
tidak di terapkan dengan benar, sehingga memungkinkan bagi seorang penyerang
untuk mengkompromikan password, key atau memanfaatkan kelemahan penerapan
lainya untuk mengasumsikan identitas pengguna. Dengan demikian penyerang
mendapatkan akses pengguna yang tidak sah karena
kekurangan dalam
implementasinya.
2. Teknik
Penyerangan
Dengan mencuri dan memanfaatkan password serta data
pribadi lainya. Hal ini terjadi akibat fungsi pada aplikasi berbasis web yang
berkaitan dengan autentikasi dan manajemen sesi sering tidak terimplementasikan
dengan baik.
C.
CROSS-SITE
SCRIPTING (XSS)
Cross-site Scripting adalah salah satu jenis serangan
injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara
memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan
ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara
lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi
sensitif, atau menyimpan aplikasi berbahaya.
D.
INSERCURE DIRECT
OBJECT REFERENCES
Terjadi ketika sebuah aplikasi menyediakan akses
langsung ke objek berdasarkan input yang disediakan developer untuk
pengguna.Objek langsung disini berkaitan ketika developer mengekspos referensi
ke dalam implementasi objek internal, yang memungkinkan seorang attacker
mengakses ke sumber daya secara langsung dengan memodifikasi nilai dari
parameter yang
digunakan sebagai input untuk langsung menunjuk ke suatu objek tanpa proses
otoriasi. Misalnya ke file, direktori, atau database key. Tanpa memiliki access
control check dan perlindungan lain, penyerang dapat memanipulasi referensi ini
untuk mengakses
data rahasia.
E.
SECURITY MISCONFIGURATION
Selama ini, sistem keamanan yang bagus membutuhkan
konfigurasi yang terjamin guna mengakses aplikasi, framework, web server,
aplikasi server, database server, hingga platform. Sebab, setingan default
seringkali tidak aman. Selain itu, pembaruan rutin terhadap software pun
menjadi sebuah keharusan.
F.
SENSITIVE DATA
EXPOSE
Banyak aplikasi berbasis web yang belum melindungi
data sensitif secara layak. Misalnya data kartu kredit hingga data
autentifikasi. Penyerang sistem sangat mungkin mencuri atau memodifikasi data
bersistem pengamanan lemah tersebut untuk melakukan tindakan penipuan,
pencurian identitas, atau kriminalitas lain.
G . MISSING FUNCTION
LEVEL ACCESS CONTROL
Mayoritas aplikasi berbasis web akan memverifikasi
fungsi akses sebelum membuat fungsi tersebut ada di user interface. Faktanya,
aplikasi juga perlu melakukan kontrol akses yang sama ke server tiap kali
fungsi itu dijalankan. Apabila permintaan tidak terverifikasi, maka penyerang
bisa dengan mudah mengakses fungsi privat tanpa izin.
H. CROSS-SITE REQUEST
FORGERY (CSRF)
Cara kerja CSRF adalah dengan memaksa masuk ke
browser pengguna yang kemudian mengirimkan permintaan HTTP, termasuk cookies,
serta berbagai informasi rahasia yang tersimpan di browser, ke aplikasi web
gadungan. Hal ini akan membuat pengguna seolah-olah mengakses aplikasi tersebut
secara langsung, padahal tidak.
I. USING COMPONENTS WITH KNOWN VULNERABILITIES
Komponen dasar seperti database, famework, dan
berbagai modul software kebanyakan dijalankan dengan hak penuh. Apabila
komponen yang riskan dieksploitasi, bisa menyebabkan kehilangan data dan
pengambil-alihan server.
J. Unvalidated Redirect
and Forwards
Aplikasi
berbasis web yang digunakan user seringkali melakukan redirect dan forward ke
halaman lain atau bahkan website lain. Tindakan semacam ini, tanpa validasi yang
benar, dapat mengarahkan user ke laman phishing, malware, maupun menggunakannya
untuk mengakses laman berbahaya lain.
Komentar
Posting Komentar