WWW Security

WWW merupakan singkatan dari World Wide Web. WWW merupakan tempat berkumpulnya seluruh halaman web yang biasanya terangkum dalam suatu domain atau subdomain. Halaman-halaman web tersebut  semuanya dapat diakses oleh public. Halaman web tersebut berisi berbagai macam informasi, berupa tulisa, gambar, video, dan lain-lain. Halaman web biasanya dibuat berbasis HTML (Hyper Text Markup Language). Dan untuk bisa mengakses halaman web, kita menggunakan protocol HTTP (Hyper Text Transfer Protocol) yang berfungsi untuk meminta layanan dari server website untuk diberikan kepada client atau penguna layanan.

Dalam membangun sebuah layanan web, ada 2 pihak yang selalu ada dalam sebuah layanan web, yaitu pihak server dan pihak client. Server bertugas untuk memberikan dan menyediakan layanan kepada pihak client. Dan pihak client yang menerima layanan tersebut. Selain dari 2 pihak tersebut, kita juga membutuhkan jaringan komputer yang menghubungkan kedua pihak tersebut untuk dapat saling berkomunikasi. Server yang paling umum digunakan oleh pihak penyedia server yaitu server Apache. Pihak client hanya membutuhkan web browser agar layanan server dapat diakses. Contoh browser yang biasa digunakan yaitu Internet Explorer, Google Chrome, Mozilla Firefox, Safari dan lain-lain.

Sekarang ini, banyak pengembang-pengembang sistem berusaha membangun sistem aplikasi yang berbasis web karena banyaknya kelebihan yang dimiliki sistem berbasis web. Kelebihan-kelebihan dari sistem berbasis web tersebut antara lain :

·         Bagi pengguna sistem tersebut hanya membutuhkan browser untuk dapat mengakses sistem tersebut

·         Jika pengembang ingin melakukan update sistem tersebut, maka update hanya dilakukan pada sistem yang ada di servernya

·         Browser client dapat ditambahkan plugin untuk dapat menambah fitur yang diinginkan

·         Sistem berbasis web dapat bekerja di sistem operasi manapun selama client memiliki browser yang terpasang di sistemnya

Selain beberapa kelebihan tersebut, ada beberapa asumsi-asumsi dari pihak pengguna dan server yang menimbulkan ancaman dan serangan bagi keamanan web.

·         Dari sisi pengguna

o   Pengguna biasanya berasumsi bahwa server yang digunakan tersebut benar-benar dimiliki dan dicontrol langsung oleh pemiliki server tersebut sehingga pengguna tidak memeriksa servernya lagi

o   Pengguna biasanya berasumsi bahwa dokumen yang ada dan ditampilkan dari server tersebut bebas dari virus sehingga pengguna membuka-bukanya saja tanpa ada perasaan waspada

o   Pengguna biasanya berasumsi bahwa server tidak akan mencatat atau mendistribusikan informasi tentang user sehingga pengguna bebas melakukan apa saja

·         Dari sisi server

o   Pemilik biasanya berasumsi bahwa pengguna webnya selalu beritikad baik dan tidak beritikad untuk merusak web atau mengubah isinya

o   Pemilik biasanya berasumsi bahwa pengguna web hanya mengakses dokumen-dokumen yang diperkenankan diakses

o   Pemilik biasanya berasumsi bahwa identitas pengguna yang dimasukan selalu benar dan pasti

·         Dari kedua belah pihak

o   Sama-sama berasumsi bahwa komunikasi yang mereka lakukan hanya melibatkan dua pihak saja

o   Sama-sama berasumsi bahwa data-data atau informasi yang diberikan sifatnya benar dan tidak dimodifikasi

Dari asumsi-asumsi seperti itulah, eksploitasi web dapat dilakukan, seperti :

·         Tampilan web diubah-ubah yang dapat menimbulkan kerugian bagi pemilik web dan orang-orang yang membacanya. Ekspolitasi ini dikenal dengan nama web defacement . Ada dua jenis ekspolitasi ini berdasarkan dampak pada web yang menjadi target. Yang pertama, penyerang merubah semua tampilan webnya. Jenis ini biasanya dilakukan langsung ke komputer web  server yang telah ditembusi oleh si penyerang dengan mengubahnya langsung pada filenya. Yang kedua, penyerang hanya merubah sebagian tampilan webnya atau menambahi web tersebut dengan menambahkan script atau perintah yang dapat merubah tampilan web tersebut.

·         Data-data pada server diubah. Caranya dengan si penyerang masuk ke server dan diubah manual atau mengubah data-data tersebut pada database server tersebut. Salah satu contohnya dengan SQL injection. SQL injection ini dilakukan jika web menggunakan login dengan memasukkan karakter string  SQL sehingga query SQL yang dipasang untuk mengecek user bernilai true dan berhasil dibobol namun seharusnya tidak boleh.

·         Penyerangan dengan DoS Attack

·         Penyadapan informasi. Penyadapan informasi ini sangat banyak dilakukan melalui internet dengan cara si penyerang berusaha membuat dirinya agar si target tidak mencurigai si penyerang sehingga si target memberikan informasinya

Dengan begitu banyaknya eksploitasi yang dapat dilakukan, seharus kita menerapkan berbagai macam antisipasi-antisipasi yang dapat mengurangi ancaman tersebut agar web kita tidak dieksploitasi oleh pihak yang tak bertanggungjawab dan agar kita tidak menerima kerugian yang besar akibat eksploitasi itu. Berikut adalah beberapa antisi pasi yang dapat dilakukan :

·         Menerapkan akses control, misalnya web tersebut hanya bisa diakses oleh IP Address tertentu saja,  menerapkan login , penggunaan  token  atau melakukan enkripsi sehingga kita dapat mengontrol siapa-siapa yang mengakses komputer kita.

·         Mengamankan media transmisi dengan menlakukan enkripsi pada data-data yang dikirim

Sumber :

·         E-book 0132856204 - Computer Networking oleh Prof.   Richardus Eko Indrajit   

·         http://www.proweb.co.id/articles/web_design/website_adalah.html