Contributed by Rahmat Hidayat
Wednesday, 12 December 2007
Last Updated Wednesday, 12 December 2007
Ada beberapa teknologi yang dapat mendukung web hosting : Windows Hosting Windows hosting berarti hosting
pada suatu server yang menggunakan sistem operasi Windows. Anda dapat memilih Windows hosting jika anda
berencana menggunakan ASP (Active Server Pages) sebagai script di sisi server, atau jika anda berniat menggunakan
database yang mendukung windows seperti Microsoft Access atau Microsoft SQL Server. Windows hosting juga
merupakan pilihan terbaik jika anda ingin membangun website menggunakan Microsoft Front Page. Unix Hosting
Unix hosting berarti hosting pada sebuah server yang berjalan pada sistem Unix. Unix adalah sistem pertama yang
mendukung web server. Sistem ini sangat stabil dan aman bagi data anda. Bagi anda yang mengutamakan keamanan
data lebih baik mengambil jenis ini. Dari segi biaya software lebih murah daripada Windows. Linux Hosting Linux
hosting berarti hosting atau web services yang mana servernya menggunakan sistem operasi Linux. Sistem ini terkenal
aman, handal dan berkembang paling pesat. Ia dibangun oleh para ahli secara terbuka yang melibatkan ribuan orang
dan terus menerus dilakukan pengembangan. Sebagai penulis, saya sangat merekomendasikan penggunaan server ini.
CGI Web page dapat dijalankan sebagai CGI script. CGI script adalah scrip yang dapat dijalankan pada server guna
menghasilkan tampilan web page yang dinamis dan interaktif. Kebanyakan Internet service providers telah mendukung
beberapa macam CGI. Aplikasi web seperti buku tamu, penghitung halaman, chat-forum adalah sebagian aplikasi yang
banyak dibuat dengan CGI script. CGI banyak digunakan oleh server yang berjalan dalam lingkungan Unix atau Linux.
ASP - Active Server Pages Active Server Pages adalah teknologi server-side scripting technology yang dibangun oleh
Microsoft. Dengan menggunakan ASP anda dapat membuat halaman web yang dinamis. ASP dapat disisipkan pada file
web kita lalu akan berjalan pada sisi server, kemudian menghasilkan susunan HTML baru yang dapat dilihat oleh
browser. Kebanyakan browser internet saat ini sudah mendukung ASP. ASP menggunakan bahasa standar visual basic.
Dapat berjalan pada platform Windows 95,98, 2000, dan XP. Dia dapat juga dijalankan pada semua komputer yang
menggunakan sistem Windows. Kebanyakan web hosting providers telah mendukung ASP, karena ia merupakan
teknologi yang mudah digunakan dan paling populer. Chili!Soft ASP Teknologi Microsoft's ASP hanya dapat berjalan
pada platform Windows. Tetapi, Chili!Soft ASP merupakan produk baru yang memungkinkan ASP dapat berjalan di
UNIX dan sistem yang lainnya. JSP JSP adalah suatu teknologi script server-side yang hampir sama dengan ASP.
JSP dibangun oleh perusahaan software Sun. Dengan JSP anda dapat membuat halaman web yang dinamis dengan
menambahkan kode program ke dalam halaman HTML. Kode itu akan dijalankan dulu di server sebelum ia berjalan
pada sisi pengguna. FrontPage FrontPage adalah produk buatan Microsoft, yang merupakan software spesial untuk
merancang halaman web. Ia sangat populer karena sangat mudah pemakaiannya dan memiliki tools yang cukup
lengkap. Dengan FrontPage memungkinkan para perancang web tidak harus memiliki pengetahuan yang mendalam
tentang pemrograman web. Kebanyakan Windows hosting mendukung FrontPage server extension yang memberi
dukungan penuh FrontPage sebagai alat pembuat halaman web. Jika anda berencana membangun web menggunakan
FrontPage, anda sebaiknya memilih Windows hosting (dalam arti bukan Unix / Linux). PHP Seperti halnya ASP, PHP
juga merupakan server-side scripting yang mana ia juga digunakan untuk membuat halaman web yang dinamis dengan
cara meletakkan kode program pada halaman HTML. Kode itu dijalankan di sisi server sebelum terbaca oleh browser di
sisi pemakai. Cold Fusion Cold Fusion adalah jenis lain server-side scripting yang digunakan untuk membangun
halaman web yang dinamis. Cold Fusion dibangun oleh perusahaan software Macromedia. Keamanan Server Server
yang aman bisa menjaga keamanan data baik dari segi keasliannya maupun kerahasiaannya, sekaligus menjaga
keutuhan data sepanjang perjalanan dari server ke client atau sebaliknya. Server yang aman sangat diperlukan untuk
mengolah data yang sifatnya rahasia seperti : - Transaksi credit card ; keamanan account dan nilai transaksi - Private
Web communication ; kerahasiaan komunikasi - Internet Virtual Money Payment ; pembayaran digital melalui internet -
Dan lain-lain
Revolusi teknologi pada dekade terakhir ini memberi dampak yang sangat signifikan dalam cara melakukan bisnis. Berbagai istilah seperti e-commerce, e-business, B2B (Business-to-Business) dan B2C (Business to Consumer) mulai sering muncul di media bisnis dan pada literatus-literatur produk. Tren dan praktek bisnis mulai berubah secara drastis. Daya kekuatan yang mendorongnya adalah pergeseran teknologi, termasuk internet. Internet bertindak sebagai daya kekuatan yang mempersatukan semua entitas logika bisnis hosting dengan para pelanggan. Internet mampu memperluas jangkauan bisnis dan dengan demikian perusahaan mulai mengubah strategi bisnisnya serta tetap kompetitif.
Vendor-vendor seperti IBM, BEA, Netscape, Sun dan Microsoft, mulai memunculkan beragam teknologi infrastruktur yang mendukung strategi bisnis. Akhirnya, para praktisi bisnis dan manajer mulai memperluas penggunaan teknologi tersebut dan mulai menjalankan bisnis melalui internet. Akan tetapi, bertepatan dengan dibukanya pintu bisnis secara elektronik tersebut , maka terbuka juga pintu bagi para pelaku kejahatan, yakni dengan cara membobol sistem dan mengambil banyak keuntungan dari usaha orang lain. Jalan tol informasi kini menjadi jalan tol perampokan. Pada tulisan ini nantinya akan dibahas tentang trik-trik yang digunakan para perampok di internet dalam melakukan pencurian pada sebuah e-store, dimana hal ini dinamakan dengan e-shoplifting
I. Teknik-teknik Hacking pada Web aplikasi
Ada beberapa teknik hacking pada web aplikasi diantaranya adalah sebagai berikut:
1. Hidden Manipulation
Field-field tersembunyi sering digunakan untuk menyimpan informasi tentang sesi klien, untuk menjaga kompleksitas database pada server side. Seorang klien biasanya tidak melihat field tersembunyi dan juga tidak berusaha untuk mengubahnya. Bagaimanapun juga memodifikasi form field sangatlah sederhana. Sebagai contoh , marilah kita anggap bahwa harga sebuah produk disimpan dalam field tersembunyi. Seorang hacker dapat mengubah harganya, seperti berikut ini :
· Membuka sebuah halaman html dengan HTML editor.
· Menempatkan sebuah field tersembunyi (contoh., "
value=99.95>")
- Memodifikasi nilainya dengan nilai yang berbeda (contoh. "
value=1.00>")
- Menyimpan file html ditempat itu dan mem-browse-nya.
- Mengklik tombol "buy" untuk menampilkan e-shoplifting melalui hidden manipulation.
2. Parameter Tampering (Perusakan Parameter)
Kegagalan untuk mengkonfirmasi kebenaran dari parameter-parameter Common Gateway Interface (CGI) yang tersimpan dalam hyperlink., dapat dengan mudah digunakan untuk mematahkan keamanan situs. Seperti di bawah ini :
Search.exe?template=result.html&q=security
Dengan mengganti parameter template, seorang hacker dapat memperoleh akses menuju file yang diinginkannya,
seperti /etc/passwd atau private key situs contoh : Search.exe?template=/etc/passwd&q=security
3. Cookie Poisoning
Umumnya Web aplikasi menggunakan cookie dengan tujuan untuk menyimpan informasi (user id, time stamp, dan lain-lain.) pada sisi klien. Sebagai contoh, ketika seorang user log ke beberapa situs, sebuah login CGI memvalidasi user name-nya dan password-nya dan mengeset sebuah cookie dengan identifier numerik-nya. Ketika user mengecek preference-nya kemudian, CGI yang lain (sebut saja, preferences.asp) me-retrive cookie dan menampilkan catatan-catatan user information sesuai dengan user-nya. Data-data yang tersimpan dalam cookie tidaklah aman, seorang hacker dapat memodifikasi-nya, jadi informasi yang terdapat pada cookie tersebut dapat dicuri dan dimanfaatkan oleh hacker.
II. Perampokan Acme Fashion, Inc.
Pada pertengahan th 1990an, ketika popularitas Web sedang menanjak, wakil manajer pemasarannya memutuskan untuk membuat situs www.acme-fashions.com bagi perusahaannya dan meletakkan dan meletakkan semua katalog di
Tetapi, begitu ada penjualan melalui situs Web tersebut, muncul juga keluhan-keluhan pelanggan. Kebanyakan keluhan ditujukan kepada departemen keuangan dan gudang. Departemen keuangan sering menerima keluhan mengenai produk yang dijual berharga lebih rendah daripada harga yang ditetapkan, padahal tidak ada diskon atau promosi yang ditawarkan. Karyawan di bagian pengiriman sering bingung sewaktu mereka mendapat order pengiriman dengan jumlah barang tertulis dalam angka negatif. Ketika kerugian hampir mencapai 100.000 dolar, akhirnya pihak direksi memanggil tim ahli sekuriti.
3.1. Melacak Masalah
Toko Web Acme – www.acme-fashions.com – telah menerapkan beberapa teknologi berikut ini:
Sistem Operasi Microsoft Windows NT 4.0
Web Server Microsoft Internet Information Server (IIS) 4.0
Katalog Online Template dan Active Server Page (ASP)
Database back-end Microsoft Access 2.0
Shopping Troli Shopcart.exe
Katalog HTML dibuat dengan menggunakan template dan Active Server Pages. Tim pemasaran pernah menggunakan FoxPro untuk database-nya dan menghasilkan halaman katalog HTML secara otomatis. Kemudian database Fox-Pro itu dikonversi ke dalam database Microsoft Access dan antarmukanya memakai ASP. Aplikasi trolli belanjanya, Shocart.exe, di setup pada server, serta template ASP didesain untuk menghasilkan HTML yang terhubung dengan aplikasi troli belanja. Troli belanja mengambil informasi produk dari HTML tersebut. Saat itu, kelihatannya semua cara itu sangat mempermudah dan mempercepat kesiapan toko elektronis dan bisa online sebelum deadline.
Shopcart.exe mempunyai sistem session management-nya sendiri, untuk menjalankan sesi troli belanja, yang bergantung pada cookie dan server-side session identifier. Karena tidak dimungkinkan untuk memodifikasi Shopcart.exe, tugas-tugas untuk memvalidasi input diserahkan ke JavaScript yang bekerja pada browser pelanggan.
3.2. Bahaya Tersembunyi pada Field-Field Tersembunyi
Setelah dipelajari ternyata ditemukan sebuah lubang pada cara penerapan sistem troli belanja. Dimana satu-satunya cara untuk menghubungkan harga dengan produknya melalui tag-tag tersembunyi pada halaman HTML. Gambar 3.1. menunjukkan halaman yang menampilkan baju-baju dan katalog di http://www.sceme-fashions.com.
Sumber : http://www.cert.or.id/~budi/courses/ec7010/2004-2005/yefriadi-report2.doc
Tidak ada komentar:
Posting Komentar