Kemanan Web Definisi Statis ◦ Kerahasiaan ◦ Keutuhan ◦ Dapat dipertanggung jawabkan Defenisi Dinamis ◦ ◦ ◦ ◦ Taksiran Proteksi Deteksi Reaksi Dari sisi user : Dari sisi Network : Dari sisi proses Serangan terhadap HTTP. Tipe-tipe serangan yg mungkin terjadi : Apache vulnerable Serangan pada programming model Serangan Brute-force Serangan terhadap Network ◦ Sangat sedikit yg bisa kita lakukan pada level webserver ◦ Beberapa memang dapat dicegah menggunakan firewall ◦ Meng-enable cookie merupakan persoalan tersendiri ◦ Selalu siap (tau kapan anda di serang) Brute Force Yaitu proses untuk mengetahui password dan user name seseorang dengan menggunakan metode trial and error Content Spoofing Teknik serangan dengan cara membuat halaman palsu yg menyerupai halaman aslinya Denial of Service Serangan yg dimaksudkan untuk menghalagi servis web terhadap aktivitas user. Yang menjadi objek serangan biasanya network layer Cross-site Scripting (XSS) Yaitu memaksa situs untuk mengeksekusi script-script tertentu yg di supply oleh penyerang melalui browser. Adapun script yg digunakan biasanya HTML/JavaScript, atau bahkan VBScript, ActiveX, Java, Flash, dll SQL Injection Serangan menggunakan perintah SQL yang dimasukkan lewat form input Web server tidak pernah tidak membagi pakai data, karena memang tujuannya untuk dapat menggunakan informasi bersama Identifikasi pemakai dan kelompok (user, group). Lihat "htpasswd". Penentuan hak atas file dan directory. Dikombinasikan dengan user dan group. Penentuan hak dapat dilakukan oleh server dalam konfigurasi utama (access.conf) Penentuan hak didelegasikan oleh dan bagi path/directory tertentu. Lihat file ".htaccess". Penentuan hak dilakukan oleh CGI atau SSI. Login melalui CGI/SSI. ◦ memeriksa input login/password dari variabel environment. ◦ menggunakan authentikasi system, RFC 2617 dari ISI.EDU atau local Pembatasan akses atas IP dan port client. Lihat contoh "access.conf" Pembatasan atas jenis method (PUT, POST, GET, dsb) User pelaku program webserver, CGI, SSI Hasanuddin, Diktat Rekayasa Web, S-1 Teknik Informatika UAD.