Investigating Web Attack

Investigating web attack.. Hah? Attack yg deterjen ituh? Ada varian baru? Pfiuuh.. Bukan lah, gak ada hubungannya. Lha terus apaan dong? Ini niih, lagi mau belajarin serangan yg bisa mengancam server ato halaman web. Berikut juga cara menginvestigasinya.

Wiih, ngeri.. Emang apa aja macam serangannya?

1. XSS (Cross Site Scripting)

Salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Sumber: Wikipedia

Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk Cascade Style Sheet.

2. SQL Injection

Teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari kategori celah keamanan yang lebih umum, yang dapat terjadi setiap kali sebuah bahasa pemrograman atau script diimbuhkan di dalam bahasa yang lain.

Sumber: Wikipedia

3. Parameter Tampering

Teknik yang didasarkan pada manipulasi parameter yang dipertukarkan antara client dan server untuk mengubah data aplikasi, seperti kredensial, izin pengguna, harga & kuantitas produk, dll. Biasanya, informasi ini disimpan dalam cookie, form yang tersembunyi, atau string permintaan URL, dan digunakan untuk meningkatkan fungsionalitas dan kontrol aplikasi.

Sumber: OWASP

Cookie = sepotong kecil data yang dibuat dan disimpan di browser pengguna yang melacak informasi penting mengenai informasi sesi mereka untuk situs tertentu

4. Cookie Poisoning

Teknik memanipulasi atau memalsukan cookie untuk tujuan melewati langkah-langkah keamanan atau mengirim informasi palsu ke sebuah server. Penyerang yang menggunakan cookie poisoning dapat memperoleh akses yang tidak sah ke akun pengguna di situs tertentu yang dibuat oleh cookie, atau berpotensi menipu server untuk menerima versi baru dari cookie asli dengan nilai yang dimodifikasi.

Sumber: Radware

5. Buffer Overflow

Buffer overflow adalah kesalahan umum yang dibuat oleh pengembang perangkat lunak yang dapat digunakan oleh penyerang untuk mendapatkan akses ke sistem komputer. Buffer sendiri adalah bagian berurutan dari memori yang kemungkinan berisi apapun, dari array bilangan bulat ke string karakter. 

Dalam buffer overflow, data yang lebih banyak dialokasikan ke buffer dengan panjang tetap dari yang dapat diakomodasi oleh buffer itu sendiri. Kelebihan (overflow) data tersebut menempati ruang memori yang berdekatan, menimpa atau merusak data yang sudah ada di sana. Kerusakan sistem adalah hasil yang umum, tetapi buffer overflow juga menghadirkan peluang bagi penyerang untuk menjalankan kode atau menggunakan kesalahan pengkodean ini untuk memulai tindakan jahat.

Sumber: Veracode

Terus, kalo semisal sebuah website terkena serangan ataupun memang terjadi kesalahn teknis ato konfugrasi, maka ketika diakses, website tersebut akan memunculkan error. Error yg muncul pada halaman web yang diakses tersebut, juga akan muncul pada web log. Error-error yang dapat terjadi antara lain:

  • Error 403 : Forbidden
  • Error 404 : Not Found
  • Error 500 : Internal Server Error
  • Error 502 : Bad Gateway

Selain web log, terdapat juga application log yg terdiri dari semua event yg dicatat oleh program. Event ini ditentukan oleh si pembuat program. Misalnya:

  • Client request & server response
  • Account information
  • Usage information
  • Significant operational actions

Contohnya pada format file log IIS (web server pada Windows Server) yg merekam aktivitas aplikasi web seperti:

  • Connection time
  • IP address
  • User account
  • Browsing pages
  • Actions

Terus balik lagi ke pembahasan forensiknya. Cara untuk menginvestigasi serangan pada web gimana? OK, simak berikut ini ya..

  1. Menganalisis web server, FTP, dan log-log pada sistem lokal untuk mengkonfirmasi adanya serangan web.
  2. Mengecek informasi file log dengan meneliti timestamp, IP address, kode status HTTP, dan sumber yg di-request oleh client.
  3. Mengidentifikasi sifat serangan, misalnya apakah dia DDoS (Distributed Denial of Service) atau yg lainnya.
  4. Melokalisir sumber serangan (titik mana yg pertama kali diserang).
  5. Menggunakan firewall dan IDS (Intrusion & Detection System) untuk mengetahui dari mana serangan berasal.
  6. Memblok serangan.
  7. Jika sudah mengidentifikasi mesin tertentu yg terkena serangan, nonaktifkan mesin tsb dari jaringan sampai mesin tsb dibersihkan dari serangan dan dapat berfungsi dgn normal seperti sedia kala.
  8. Jika serangan teridentifikasi dari luar jaringan, segera blok akses ke jaringan dari IP address luar tsb.
  9. Memulai investigasi serangan dari IP address yg dicurigai tsb.

Berikut adalah beberapa checklist dasar untuk keamanan web:

  • Cek kekuatan password (weak or strong). Biasanya digunakan minimal karakter, dengan kombinasi karakter berupa huruf kecil, kapital, angka, dan simbol.
  • Validasi login menggunakan enkripsi SSL (Secure Socket Layer).
  • Memblok atau menutup port yg tidak digunakan.

Sekian pembahasan, sekarang saatnya.. *drum roll, tarak dung ces*

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, segitu dulu ya.. Semoga bermanfaat. Insya Allah dilanjutin lagi.. ?

Terima kasih.

SUMBER

 

Leave Comment

Your email address will not be published. Required fields are marked *