Sistem informasi
akademik dan keuangan atau biasa disebut SIAK di UIKA masih jauh dari kata
aman, mungkin bisa dibilang masih versi BETA. Disini saya akan menjelaskan
celah-celah yang perlu diamankan dan saya bagi menjadi 2 kategori yaitu:
I.
ONPAGE SECURITY SYSTEMS
A. Sertifikat SSL
SSL adalah kependekan dari Secure
Sockets Layer, sebuah protokol yang dikembangkan oleh Netscape untuk komunikasi
dokumen yang membutuhkan privasi melalui Internet. SSL menggunakan suatu sistem
enkripsi yang menggunakan dua kunci untuk melakukan enkripsi data. Sertifikat
SSL diperlukan untuk SIAK karena di SIAK banyak sekali data-data penting yang
perlu di enkripsi seperti data nilai mahasiswa, data keuangan mahasiswa, dan
masih banyak lagi.
Pengguna SIAK
dapat dengan mudah mendeteksi ketika mereka memiliki sesi SSL dengan Website
karena browser mereka akan menampilkan gembok emas kecil atau address bar hijau
dan alamat website dimulai dengan "https" bukan "http".
sertifikat SSL dapat digunakan pada server Web untuk keamanan Internet dan
mailservers seperti imap, pop3 dan smtp untuk keamanan pengiriman email.
Ini contoh website dengan sertifikat SSL
Website SIAK
yang belum mempunyai sertifikat SSL
Ini adalah
beberapa rekomendasi penyedia sertifikat digital terpercaya diantaranya :
1.
adalah penyedia sertifikat digital terbesar
kedua di dunia. Lebih dari 100.000 pelanggan di lebih dari 150 negara
mempercayai GeoTrust untuk mengamankan transaksi online dan melakukan bisnis
melalui Internet.
2.
VeriSign didirikan pada tahun
1995 sebagai spin-off dari bisnis jasa sertifikasi RSA Security. VeriSign
menerima lisensi untuk paten kriptografi kunci RSA. Sebelum menjual bisnis
sertifikat ke Symantec pada 2010, VeriSign memiliki lebih dari 3.000.000 sertifikat
telah beroperasi dalam segala bidang jasa keuangan dan aplikasi ritel, sehingga
CA terbesar di balik enkripsi dan otentikasi di Internet, yang kebanyakan orang
mengakui sebagai ikon gembok kecil 
di browser Web
mereka saat berbelanja online atau masuk ke situs Web aman.
VeriSign didirikan pada tahun
1995 sebagai spin-off dari bisnis jasa sertifikasi RSA Security. VeriSign
menerima lisensi untuk paten kriptografi kunci RSA. Sebelum menjual bisnis
sertifikat ke Symantec pada 2010, VeriSign memiliki lebih dari 3.000.000 sertifikat
telah beroperasi dalam segala bidang jasa keuangan dan aplikasi ritel, sehingga
CA terbesar di balik enkripsi dan otentikasi di Internet, yang kebanyakan orang
mengakui sebagai ikon gembok kecil di browser Web
mereka saat berbelanja online atau masuk ke situs Web aman.
3.
Comodo
adalah pemimpin industri dalam produk dan jasa untuk "Identity and Trust
Assurance services" di Internet. Fokus utama mereka ialah pada produk
Comodo SSL (Secure Socket Layer). Comodo adalah sebuah perusahaan swasta yang
didirikan pada tahun 1998. Perangkat lunak komputer dan produk sertifikat SSL
mereka telah diakui sebagai beberapa yang terbaik secara global. Pada tahun
2008 Comodo tercatat sebagai distributor terbesar kedua dalam bisnis sertifikat
SSL validasi dibawah VeriSign. Menurut website mereka, produk "threat
prevention" Comodo telah diinstal lebih dari 10.000.000 kali. Dan salah
satu alasan Comodo adalah pemimpin industri adalah karena jumlah dan jenis
sertifikat SSL yang mereka tawarkan.
B.
URL friendly
untuk mencegah SQL Injection
SQL injection
adalah jenis aksi hacking pada keamanan komputer di mana seorang penyerang bisa
mendapatkan akses ke basis data di dalam sistem. Aksi hacking SQL Injection
melakukan serangan melalui jalur query pada address browser, yaitu dengan
menyisipkan langsung atau menambahkan karakter-karakter tertentu pada address
browser. Cara mencegah SQL Injection adalah dengan mengubah alamat website
menjadi SEO URL Friendly. Dalam membuat URL (Uniform Resource Locator) yang friendly
atau yang lebih disukai oleh mesin pencari seperti google dan yahoo adalah
dengan cara memanfaatkan modul yang terdapat pada Apache, modul tersebut adalah
modul mod_rewrite yang dapat mengubah URL dinamis menjadi URL statis.
Contoh URL
Friendly
URL Website SIAK
SQL injection juga bisa memanfaatkan
kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa
menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data
input ke aplikasi tersebut. Biasanya penyusupan SQL Injection melalui form yang
digunakan interaktifitas pengunjung dengan website SIAK, seperti form login,
form data mahasiswa dan sebagainya. Berikut salah satu contohnya :
Saat saya
mencoba script SQL injection yang saya dapatkan dari internet di form login
website SIAK dan hasilnya “You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to
use near ';//', 'ADMIN', 'LOGIN', 'FAILED', '114.4.23.105', 'Invalid Key ')' at
line 2”. Disini celah harus ditutup agar data-data penting yang ada di
database tidak dihacker.
Lain halnya
dengan website SIAKNG Universitas Indonesia, saya mencoba script SQL injection
yang serupa, dan yang terjadi adalah security memberitahukan bahwa “Username
tidak ditemukan”.
C.
XSS(Cross Side
Scripting) Attack
XSS dikenal juga
dengan CSS adalah singkatan dari Cross Site Scripting. XSS adalah suatu metode
memasukan code atau script HTML kedalam suatu website yang dijalankan melalui
browser di client. Untuk melumpuhkan XSS Attack digunakan skrip
simpankomentar.php. Berikut adalah contoh skrip XSS yang disisipkan pada
website SIAK:
II.
HUMAN RESOURCE
SECURITY
A.
No comments:
Post a Comment