Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Peretasan Peladen Web

stwn
May 21, 2012
Technology
1
220

Peretasan Peladen Web

Materi kuliah Ethical Hacking tahun ajaran 2011/2012.

Saya diminta mengajar mata kuliah ini di program studi Teknik Informatika[1], Unsoed. Tadinya menempatkan diri sebagai "ban serep" saja, ternyata memang tidak ada yang "berani".

Jadi, akhirnya saya mengajar dengan riang gembira, membaca buku serta menuliskan dan menceritakan sedikit pengalaman saya di dunia keamanan.

[1] Program studi "rumah" saya adalah Teknik Elektro

stwn

May 21, 2012
Tweet

More Decks by stwn

See All by stwn
iFogSim: Case Study 1
stwn
0
330
iFogSim: Case Study 2
stwn
0
250
iFogSim: Introduction
stwn
0
540
Navigating Through the Literature
stwn
0
91
IoT Cloud Platform: ThingSpeak
stwn
0
180
IoT Experiments: Temperature Sensing
stwn
0
190
IoT Experiments: LED Switching
stwn
0
210
IoT Devices: Raspberry Pi
stwn
0
240
IoT Tutorials: Overview
stwn
0
95

Other Decks in Technology

See All in Technology
反実仮想機械学習とは何か
usaito
PRO
9
3.3k
コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える / Scalable and Secure Infrastructure as Code Pipeline for a Compound Startup
yuyatakeyama
4
4.7k
Janus
bkuhlmann
1
490
本当のAWS基礎
toru_kubota
0
490
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.3k
DevOpsDays History and my DevOps story
kawaguti
PRO
9
2.4k
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
150
20分で完全に理解するGrafanaダッシュボード
hamadakoji
1
180
JSON攻略法.pdf
miyakemito
8
4.9k
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
27
5.8k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
250
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
820

Featured

See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
60
5k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
30
6k
How STYLIGHT went responsive
nonsquared
92
4.8k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
YesSQL, Process and Tooling at Scale
rocio
164
13k
The Mythical Team-Month
searls
216
42k
Done Done
chrislema
178
15k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
Atom: Resistance is Futile
akmur
259
25k
Designing the Hi-DPI Web
ddemaree
276
33k
Faster Mobile Websites
deanohume
299
30k

Transcript

  1. Tahun Ajaran 2011/2012 Peretasan Peladen Web Ethical Hacking and Countermeasures

    (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id>

  2. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Peladen dan aplikasi web sangat potensial. (untuk diretas dan dikuasai)

  3. Mengapa?

  4. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Layanan web pasti terbuka untuk umum. (setiap organisasi memiliki web untuk diakses khalayak)

  5. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Pintu atau jendela terbuka ;-)

  6. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Peladen dan aplikasi web.

  7. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Informasi target: basis data. Tim Morgan, CC BY

  8. Peladen Web

  9. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

  10. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Stallings, W. 2003. Data and Computer Communications, 7th Edition.

  11. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Stallings, W. 2003. Data and Computer Communications, 7th Edition.

  12. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed HTTP dan HTTPS

  13. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

  14. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Operasi Protokol HTTP • Klien web membuka koneksi ke alamat IP peladen web menggunakan porta TCP 80. • Peladen web menunggu metode GET dari klien untuk meminta sumber daya web. • Peladen merespon dengan sumber daya web yang diminta, misal kode HTML. • Klien memproses kode HTML dan menerjemah­ kannya melalui peramban web klien.

  15. Tipe-Tipe Kerentanan Peladen Web

  16. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Tipe-Tipe Kerentanan Peladen Web • Kerentanan pada pemasangan SO/perangkat lunak default. • Konfigurasi SO dan program peladen web setelah pemasangan perlu diubah dan dimutakhirkan. • Konfigurasi perangkat lunak peladen web yang keliru. • Contoh: IIS mengijinkan semua orang/publik mempunyai kendali terhadap direktori web default. – Berhubungan dengan ijin akses. – Perlu mematikan konfigurasi default. – Periksa dan mutakhirkan konfigurasi secara berkala. • Kelemahan/bug pada SO atau/dan aplikasi. • Perlu ditambal dan dimutakhirkan secara berkala. • Menggunakan program penjadwal seperti cron atau aplikasi pengelola dan pemutakhiran paket bawaan SO. • Isu Free Software/Open Source?

  17. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Given enough eyeballs, all bugs are shallow. – Linus Torvalds

  18. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Demilitarized Zone, DMZ. (bagian infrastruktur yang “netral” dan dapat diakses publik, umumnya berada di antara dua/lebih dingap)

  19. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed “batu loncatan”

  20. Web Cloaking

  21. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Teknik untuk menyembunyikan sumber daya/isi situs web. (dapat berdasarkan alamat IP klien)

  22. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Periksa URL, bila perlu halaman webnya.

  23. Serangan Peladen Web

  24. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Serangan Peladen Web • Porta HTTP: TCP 80 dan HTTPS: TCP 443. • Dingap akan mengijinkan lalu lintas ke/dari peladen web. • Program aplikasi web berada di atas peladen web dan mempunyai akses ke port layanan lain, misal basis data MySQL (porta TCP 3306). • Penggunaaan teknik banner­grabbing. • telnet [target] 80; HEAD/HTTP/1.0. • Mendapatkan nama dan versi program peladen web. • Tipe serangan web yang digemari adalah defacement. • Mengubah tampilan situs web dengan mengganti halaman dan/atau isi/sumber daya yang ada di sana.

  25. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Contoh Serangan Web • Menangkap informasi privat administrator melalui MiTM. • Melakukan serangan brute­force terhadap kata sandi administrator. • Mengalihkan pengguna ke peladen web berbeda dengan serangan DNS. • Mengalihkan rute lalu lintas web melalui router/dingap, atau serangan penyisipan URL. • Menguasai peladen FTP, surel, telnet, SSH, dll. • Mengeksploitasi kelemahan peladen (+ekstensi) dan aplikasi web.

  26. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed

  27. Pengelolaan Tambalan (patch-management)

  28. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Pengelolaan Tambalan/Perbaikan • Mencegah dan mengurangi risiko serangan pada peladen dan aplikasi web. • Proses memutakhirkan tambalan dan perbaikan dari vendor/produsen perangkat lunak. • Memilih bagaimana perbaikan dipasang dan diverifikasi. • Mengujicoba perbaikan tersebut di mesin pengujian. • Menyimpan catatan/log perbaikan pada setiap sistem di dalam jaringan. • Menggunakan perangkat lunak yang ditujukan untuk pengelolaan tambalan/perbaikan.

  29. Metode Pertahanan Peladen Web

  30. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Metode Pertahanan Peladen Web • Mengubah nama pengguna/administrator dan menggunakan kata sandi yang kuat. • Mematikan layanan web/ FTP default . • Mematikan akses jarak jauh. • Menghapus program/paket yang tidak diperlukan. • Sesuaikan dengan tujuan sistem. • Mematikan “perambanan direktori” pada konfigurasi peladen web. • Memutakhirkan tambalan dan perbaikan pada sistem. • Melakukan validasi pada masukan borang di aplikasi web dan memeriksa potensi­potensi serangan dari permintaan web yang dikirimkan oleh klien. • Mengaktifkan audit dan pencatatan kejadian­kejadian yang terjadi di dalam sistem. • Mengoptimalkan dingap dan memasang IDS. Periksa kinerja akses webnya. • Gunakan metode POST untuk menggantikan GET ketika mengirim data ke peladen web. • Menambahkan pemberitahuan legal tentang implikasi serangan pada sistem ;­)

  31. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Daftar Bacaan • Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex