At 19:09 06-09-99 +0700, you wrote:
>Halo..
>saya lagi ingin tahu soal keamanan di Web :
>1. sebenarnya apa sih yang hack oleh hacker??
>2. kok bisa???
>3. lalu katanya suatu web site juga bisa diserang oleh virus, gimana
>tuh???
>4. gimana solusinya....
>thanks...
this is a b r o a d, BIG question. :)
saya coba jawab ah, meski tentu tidak lengkap.
pada dasarnya yang dimanfaatkan (*exploit*) oleh *cracker* (note, bedakan
hacker dengan cracker - http://www.tuxedo.org/~esr/faqs/hacker-howto.html)
adalah BUG. bug di OS, bug di web server, bug di CGI script, *bug* dalam
setting sistem.
kok ngga bisa? programmer, scripter, sysadmin, semua manusia juga kan?
bisa melakukan kesalahan juga kan? bisa membuat bug juga kan? kadang
(baca: sering) programmer tidak mengerti isu keamanan dan membuat program
yang 'naif', tidak mengecek kesalahan, dan ngaco/tewas jika diberi input
yang aneh-aneh. sysadmin kadang kurang mengenal sistem, dan tidak mengeset
security dengan baik (ini dipengaruhi OS-nya juga. di NT misalnya setting
default permission itu *all access for all*. di Unix setidaknya sysadmin
lebih sadar permission dan setting default cukup aman). ada juga programmer
yang jahat dan sengaja meninggalkan lubang keamanan rahasia sebagai jalan
masuk untuk dirinya nanti.
beberapa exploit umum yang terpikir oleh saya:
- meng-crack password login untuk masuk ke sistem lalu mengganti halaman-
halaman website.
- mengganti entri DNS sehingga orang lain melihat website lain.
- mencari skrip2 CGI yang diketahui memiliki bug, lalu menginputkan
input yang sesuai agar skrip menampilkan page yang tidak diinginkan,
menghapus file yang seharusnya tidak dihapus, dll.
menangkis exploit 100% tentu tidak mungkin, karena bug pasti ada. namun
bisa diminimalkan. prinsipnya:
- gunakan software yang memiliki sedikit bug, hindari software yang
banyak mengandung bug.
- kenali sistem Anda sebaik mungkin.
- usahakan selalu update software, karena software yang baru kemungkinan
menutup bug yang ada di versi lama (meski memang memiliki bug baru).
- ikuti perkembangan security, terutama yang menyangkut produk yang
anda pakai.
sebagai pengantar, bacalah dokumen-dokumen berikut:
- WWW security FAQ
http://www-genome.wi.mit.edu/WWW/faqs/www-security-faq.html
- http://olympus.cs.ucdavis.edu/~bishop/secprog.html
- (buat yang make perl)
perlsec(1)
- dan semua manual produk yang Anda pakai :)
HTH
--
mailto:[EMAIL PROTECTED]
http://steven.haryan.to
Bandung Perl Mongers: http://bandung.pm.org
Layanan Pertukaran Banner - http://www.indobanner.co.id
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
To unsubscribe, e-mail : [EMAIL PROTECTED]
To subscribe, e-mail : [EMAIL PROTECTED]
Netika BerInternet : [EMAIL PROTECTED]
UNLIMITED POP3 Account @ http://www.indoglobal.com
