- Pengamanan Website
Keamanan website adalah sebuah upaya untuk melindungi dan menjaga website dari serangan virus maupun hacker yang terkoneksi melalui sebuah jaringan. Keamanan website ini tidak hanya terdiri dari satu hal, namun berbagai macam jenis perlindungan dan pencegahan. Seperti yang kita ketahui, virus dapat menjangkiti perangkat software komputer melalui berbagai macam cara, diantaranya melalui jaringan LAN, melalui media transfer seperti harddisk eksternal dan flashdisk, download file tanpa memastikan keamanan web download terlebih dahulu, dari sisi faktor pengguna sendiri yang kurang berhati-hati, dan masih banyak yang lainnya.
Keamanan website melingkupi sebuah cakupan yang cukup besar. Hal ini karena keamanan website terkoneksi dengan berbagai macam perangkat keras dan lunak seperti komputer, jaringan dan koneksi internet, serta Operating System (OS) itu sendiri. OS berfungsi sebagai otak yang mengatur prosesor, memory, dan lain sebagainya sehingga sebuah perangkat komputer dapat dioperasikan dengan sebagaimana mestinya oleh seorang pengguna. OS sendiri ada bermacam-macam jenisnya seperti Windows, dan Linux.
Sebuah jaringan komputer memiliki beberapa sistem keamanan yang dapat dibagi-bagi dan ditingkatkan. Jaringan komputer ini sendiri terkoneksi dan terintegrasi antara PC, desktop, harddisk, kabel LAN, server, wireless, internet, bluetooth, printer, dan lain sebagainya.
Sql Injaction
SQL Injection adalah salah satu teknik yang menyalahgunakan celah keamanan yang ada di SQL pada lapisan basis data suatu 3aplikasi. Celah ini terjadi karena input dari user tidak difilter secara benar dan dalam pembuatannya menggunakan form yang salah. Jadi sampai saat ini SQL Injection masih menjadi favorit hacker untuk melakukan serangan pada website. Apalagi sekarang ini hacking melalui jaringan internet sudah tidak semudah zaman dulu.
Contoh mudah teknik SQL Injection melalui form username harusnya username diisi dengan karakter saja, tetapi form tersebut bisa diisi dengan karakter lain, jadi hacker bisa menyisipkan karakter seperti (:;-,=’) sehingga hacker bisa memasukan query SQL Injection, akibatnya yang pasti website Anda sudah bisa ditembus oleh hacker tersebut.
Tujuan SQL Injection
SQL Injection yang dilakukan oleh hacker pasti memiliki tujuan, tidak mungkin hanya sebatas iseng saja. Berikut beberapa tujuan SQL Injection yang sering banyak ditemui:
Bypass Otentikasi
Jika berhasil masuk kedalam sistem, hacker akan mudah melakukan bypass tanpa perlu menggunakan username dan password yang benar untuk bisa mendapatkan akses. Cukup dengan memasukan script SQL Injection pada form yang masih terbuka.
Pencurian Informasi
Hacker memungkinkan untuk mengambil semua informasi yang ada pada website terutama informasi yang bersifat sensitif seperti username dan password.
Delete Data
SQL Injection memungkinkan untuk hacker menghapus semua data yang tersimpan di database, jika sudah terjadi seperti ini dan tidak ada backup database maka akan sangat berbahaya. Jadi Anda perlu melakukan backup data secara berkala untuk tujuan keamanan data.
Modify Data
Selain menghapus data, hacker dengan mudah mengubah data yang tersimpan di database sehingga menyebabkan data tidak valid. Jadi Anda perlu memiliki backup data jika sewaktu-waktu data dirubah oleh orang yang tidak bertanggung jawab.
Command Execution
Pada beberapa database, Anda sebagai user bisa mengakses operating system menggunakan server database, kalau sudah seperti ini hacker bisa dengan mudah menyerang semua yang ada pada website Anda.
Cara Mencegah SQL Injaction
Untuk meminimalisir semua efek yang diakibatkan dari serangan SQL Injection, Anda bisa melakukan beberapa tindakan seperti berikut ini, yaitu:
1. Sesuaikan input box
Jika form input box tujuannya untuk menuliskan nama, maka berikan khusus untuk karakter saja, jika untuk mengisikan nomor telepon maka isilah dengan numbering saja sehingga tindakan SQL Injection bisa dihindarkan.
2. Batasi input box
Untuk lebih amannya dalam setiap box dibatasi jumlah karakternya, contoh saja untuk nama paling tidak diberikan 30 karakter atau disesuaikan sesuai dengan kebutuhan, sehingga jika ada percobaan SQL Injection yang masuk akan terkendala oleh jumlah karakter yang tersedia.
3. Filter user
Melakukan filter kepada inputan setiap user, terutama yang menggunakan karakter kutip tunggal (Validation Input) karena ini menjadi salah satu trik yang dilakukan hacker untuk SQL Injection.
4. Mematikan error handling
Jika terjadi error, Anda perlu mematikan fitur notifikasi pesan error yang keluar dari SQL Server. Jika sampai ada, ini bisa menjadi celah bagi hacker untuk melakukan eksploitasi lebih dalam percobaan SQL Injection.
5. Nonaktifkan fitur standart SQL
Fitur-fitur standart yang ada di SQL seperti Stored Procedures dan Extend Stored Procedures lebih baik untuk dimatikan saja, karena rawan terkena SQL Injection.
6. Setting Privilege
Silahkan Anda rubah pada bagian ‘Stratup and run SQL Server’ dengan setting low privilege user pada menu SQL Server Security tab.
- Syntax SQL Injaction
1 SELECT * FROM pengguna WHERE nama = 'a' or 't'='t';
Jika kode ini akan digunakan dalam sebuah prosedur untuk melakukan otentikasi, maka contoh ini dapat dipakai untuk memaksakan pemilihan sebuah nama pengguna yang sah karena evaluasi 't'='t' akan selalu bernilai benar.
Secara teori, perintah SQL sah apapun bisa diinjeksi melalui metode ini, termasuk menjalankan banyak pernyataan. Nilai "namaPengguna" berikut ini pada pernyataan di atas akan menyebabkan dihapusnya tabel "pengguna" dan juga pengambilan semua data dari tabel "data":
2 pernyataan:= "SELECT * FROM data WHERE id = " + variabel_a + ";"
Terlihat jelas dari pernyataan ini pengarang memaksudkan variabel_a menjadi sebuah nomor yang berhubungan dengan unsur "id". Namun begitu, jika pada kenyataannya itu adalah sebuah string, maka pengguna akhir dapat memanipulasi pernyataan tersebut sesukanya, dan karena itu mengabaikan kebutuhan akan karakter-karakter pelolos. Sebagai contoh, mengeset variabel_a sebagai1;DROP TABLE pengguna
akan menghapus tabel "pengguna" dari basis data karena hasil akhir SQL-nya akan menjadi sebagai berikut:
SELECT * FROM data WHERE id = 1;DROP TABLE pengguna;
Hacking Pada Cookies
Session hijacking atau bisa juga disebut cookie theft adalah aksi pengambilan kendali session milik user lain setelah sebelumnya “pembajak” berhasil memperoleh autentifikasi ID session yang biasanya tersimpan dalam cookies. Singkatnya si hacker ini berusaha untuk nyusup ke komputer korban buat ngambil cookie website. Nantinya cookie website ini akan dapat dipergunakan sebagai alat yang sah untuk membuka akun korban.
Cara mencegahnya session hacking
Teknik Hacking Session Hijacking Dan Cara Mengatasinya
Cara mencegahnya atau cara mengatasi session hijacking adalah dengan memastikan kalian login pada situs yang menggunakan HTTPS pada halaman loginnya. Mengapa harus https? Karena https menerapkan pengamanan ekstra yang membuat seorang hijacker sulit untuk mengambil cookies dari web tersebut.
Teknik Hacking Session Hijacking Dan Cara Mengatasinya
Apabila situs yang kalian kunjungi tidak memenyediakan https untuk halaman loginnya, sebagai solusinya kalian bisa menggunakan software yang bernama https everywhere yang tersedia untuk di download pada situs eff.org.
Kesimpulan
Dari semua penjelasan di atas itu hanya sedikit dari banyaknya cara untuk membobol sistem keamanan yang sudah di rancang sekompleks mungkin dan kita bisa juga bisa memahami betapa banyaknya cara yang bisa dilakukan untuk meng-hacking.
walaupun begitu masih banyak cara untuk mengatasi kejahatan-kejahatan di dunia komputer dan sama seperti teknik-teknik hacking yang terus berkembang, cara pencegahan hacking juga terus berkembang. Yang paling terpenting kita harus teliti dalam merancang Software.
Refrensi
https://www.dewaweb.com/blog/beberapa-tips-untuk-mengamankan-website-anda-dari-ancaman-ancaman-digital/#
http://socialcategory.blogspot.com/2017/03/teknik-hacking-session-hijacking-dan-cara-mengatasinya.html
http://binelteam.blogspot.com/2015/10/metode-hijacking-dan-cara-pencegahanya.html
https://id.wikipedia.org/wiki/Injeksi_SQL
Komentar
Posting Komentar