TIPE TIPE PENYERANGAN WEBSITE TERBARU 2018

TIPE – TIPE PENYERANGAN WEBSITE

     A.   INJECTION

1.     Pengertian SQL Injection

Sql Injection adalah sebuah teknik hacking pada keamanan komputer yang bertujuan untuk menyalah gunakan sebuah celah keamanan dalam sebuah lapisan basis data sebuah aplikasi web server. Sehingga seorang penyerang/attacker bisa mendapatkan akses ke basisdata dalam sistem.

2.     Teknik Penyerangan

a.      Inband

Yaitu mengekstrak data dengan menggunakan saluran yang sama yang digunakan untuk menyuntikan kode SQL

b.     Out-of-band

Mengambil data dengan saluran yanga berbeda.

c.      Inferential / Blind

Tester merekonstruksi iformasi dengan mengirimkan permintaan tertentu dan

mengamati perilaku yang dihasilkan dari  DB Service.

    B.   BROKEN AUTHENTICATION AND SESSION MANAGEMENT

1. Pengertian Broken Authentication And Session Management

Broken Authentication And Session Management adalah fungsi dari aplikasi yang berkaitan dengan otentikasi dan manajemen sesi yang tidak di terapkan dengan benar, sehingga memungkinkan bagi seorang penyerang untuk mengkompromikan password, key atau memanfaatkan kelemahan penerapan lainya untuk mengasumsikan identitas pengguna. Dengan demikian penyerang mendapatkan akses pengguna yang tidak sah karena

kekurangan dalam implementasinya.

2. Teknik Penyerangan

Dengan mencuri dan memanfaatkan password serta data pribadi lainya. Hal ini terjadi akibat fungsi pada aplikasi berbasis web yang berkaitan dengan autentikasi dan manajemen sesi sering tidak terimplementasikan dengan baik.

C.   CROSS-SITE SCRIPTING (XSS)

Cross-site Scripting adalah salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

D.   INSERCURE DIRECT OBJECT REFERENCES

Terjadi ketika sebuah aplikasi menyediakan akses langsung ke objek berdasarkan input yang disediakan developer untuk pengguna.Objek langsung disini berkaitan ketika developer mengekspos referensi ke dalam implementasi objek internal, yang memungkinkan seorang attacker mengakses ke sumber daya secara langsung dengan memodifikasi nilai dari

parameter yang digunakan sebagai input untuk langsung menunjuk ke suatu objek tanpa proses otoriasi. Misalnya ke file, direktori, atau database key. Tanpa memiliki access control check dan perlindungan lain, penyerang dapat memanipulasi referensi ini untuk mengakses

data rahasia.

E.    SECURITY MISCONFIGURATION

Selama ini, sistem keamanan yang bagus membutuhkan konfigurasi yang terjamin guna mengakses aplikasi, framework, web server, aplikasi server, database server, hingga platform. Sebab, setingan default seringkali tidak aman. Selain itu, pembaruan rutin terhadap software pun menjadi sebuah keharusan.

F.    SENSITIVE DATA EXPOSE

Banyak aplikasi berbasis web yang belum melindungi data sensitif secara layak. Misalnya data kartu kredit hingga data autentifikasi. Penyerang sistem sangat mungkin mencuri atau memodifikasi data bersistem pengamanan lemah tersebut untuk melakukan tindakan penipuan, pencurian identitas, atau kriminalitas lain.

G . MISSING FUNCTION LEVEL ACCESS CONTROL

Mayoritas aplikasi berbasis web akan memverifikasi fungsi akses sebelum membuat fungsi tersebut ada di user interface. Faktanya, aplikasi juga perlu melakukan kontrol akses yang sama ke server tiap kali fungsi itu dijalankan. Apabila permintaan tidak terverifikasi, maka penyerang bisa dengan mudah mengakses fungsi privat tanpa izin.

H. CROSS-SITE REQUEST FORGERY (CSRF)

Cara kerja CSRF adalah dengan memaksa masuk ke browser pengguna yang kemudian mengirimkan permintaan HTTP, termasuk cookies, serta berbagai informasi rahasia yang tersimpan di browser, ke aplikasi web gadungan. Hal ini akan membuat pengguna seolah-olah mengakses aplikasi tersebut secara langsung, padahal tidak.

I.  USING COMPONENTS WITH KNOWN VULNERABILITIES

Komponen dasar seperti database, famework, dan berbagai modul software kebanyakan dijalankan dengan hak penuh. Apabila komponen yang riskan dieksploitasi, bisa menyebabkan kehilangan data dan pengambil-alihan server.

J. Unvalidated Redirect and Forwards

Aplikasi berbasis web yang digunakan user seringkali melakukan redirect dan forward ke halaman lain atau bahkan website lain. Tindakan semacam ini, tanpa validasi yang benar, dapat mengarahkan user ke laman phishing, malware, maupun menggunakannya untuk mengakses laman berbahaya lain.