Security di Web 2.0

Bambang Purnomosidi D. P.STMIK AKAKOM Yogyakarta

November 22, 2007

Daftar Isi

1 Memahami Web 2.0 11.1 Definisi Web 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Teknologi Web 2.0 . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Sisi Keamanan Web 2.0 32.1 Masalah “Klasik” Keamanan Web . . . . . . . . . . . . . . . 4

2.1.1 Keamanan Sisi Server . . . . . . . . . . . . . . . . . . 42.1.2 Keamanan Sisi Klien . . . . . . . . . . . . . . . . . . . 42.1.3 Social Engineering . . . . . . . . . . . . . . . . . . . . 5

2.2 Keamanan pada Web 2.0 . . . . . . . . . . . . . . . . . . . . 5

3 Penutup 6

4 Metadata 64.1 Tentang Penulis . . . . . . . . . . . . . . . . . . . . . . . . . . 64.2 Tentang Makalah . . . . . . . . . . . . . . . . . . . . . . . . . 7

Abstraksi

Web 2.0 merupakan perkembangan lebih lanjut daru teknologi web.Istilah Web 2.0 muncul sekitar akhir tahun 2004 dan digunakan untukmenunjukkan berbagai layanan di web yang memungkinkan pemakaiweb untuk berkolaborasi dan berbagi informasi secara online. Makalahini menguraikan tentang Web 2.0 dengan titik pembahasan dari sisikeamanan.

1 Memahami Web 2.0

1.1 Definisi Web 2.0

Web 2.0 merupakan istilah yang digunakan untuk menunjukkan berbagailayanan di web yang memungkinkan pemakai untuk berkolaborasi dan berbagi

1

informasi secara online. Web 2.0 juga merupakan istilah yang digunakan un-tuk menunjukkan suatu aplikasi web yang mempunyai interaktivitas denganpemakainya sama seperti halnya dengan aplikasi desktop.

Saat ini, Web 2.0 bersama-sama dengan SOA (Service-Oriented Archi-tecture) merupakan teknologi yang “memenuhi janji” implementasi prosesbisnis yang fleksibel [2] dan memungkinkan organisasi untuk beroperasi lebihefisien meskipun menuntut perubahan budaya dan pola pikir yang lebih sig-nifikan.

Gambar 1 di halaman 2 menunjukkan hal-hal yang seringkali berada disekitar Web 2.0.

Gambar 1: Web 2.0 Meme Maps

1.2 Teknologi Web 2.0

Pembicaraan tentang web 2.0 biasanya akan melibatkan berbagai teknologiyang sering dikaitkan dengan istilah Web 2.0 antara lain adalah: 1

• Rich Internet Application. RIA merupakan aplikasi berbasis web yangmempunyai fitur dan fungsionalitas seperti hal aplikasi desktop (GUI)

1http://en.wikipedia.org/wiki/Web_2.0

2

2. RIA biasanya berjalan pada web browser atau dijalankan secaralokal di secure environment yang disebut sandbox. Teknologi RIA sebe-narnya telah muncul sekitar tahun 1998 (Microsoft Remote Scripting)serta sekitar tahun 2000 dicetuskan oleh Forrester Research denganistilah X Internet.

• XHTML dan HTML markup yang valid secara semantik.

• Microformats, memungkinkan penggunaan semantik dalam markupsehingga memungkinkan content yang “bisa dipahami mesin” selainbisa dipahami oleh manusia [1].

• Folksonomy, sering juga disebut sebagai collaborative tagging, so-cial classification, social indexing, social tagging merupakanlayanan di web yang memungkinkan pemakai untuk secara kolaboratifmembuat dan mengelola tag untuk anotasi serta kategorisasi dari con-tent 3.

• Cascading Style Sheets (CSS) yang memungkinkan pemisahan antaralapisan presentasi dengan content.

• REST dan/atau API berbasis XML dan/atau JSON. REST (Repre-sentational State Transfer) merupakan arsitektur software untuk me-dia terdistribusi (seperti WWW)4.

• Sindikasi, agregasi, dan notifikasi data menggunakan RSS / Atom.

• Mash-up, content yang berisi penggabungan dari berbagai sumber

• Publikasi weblog

• Wiki / forum yang mendukung user-generated content

2 Sisi Keamanan Web 2.0

Web 2.0 menggunakan teknologi yang sejak lama dikembangkan untuk web,ditambah dengan berbagai teknologi yang memungkinkan kolaborasi sertaberbagai informasi, sehingga secara logis bisa dikatakan bahwa Web 2.0 akanmempunyai masalah keamanan yang sama dengan aplikasi web sebelumnyabahkan lebih.

2http://en.wikipedia.org/wiki/Rich_Internet_Application3http://en.wikipedia.org/wiki/Folksonomy4http://www.ics.uci.edu/~fielding/pubs/dissertation/rest_arch_style.htm

3

2.1 Masalah “Klasik” Keamanan Web

Masalah keamanan web pada dasarnya bisa dibagi menjadi 3 bagian:5

• Sisi server

• Sisi klien

• Social Engineering

2.1.1 Keamanan Sisi Server

Keamanan pada sisi ini meliputi berbagai layanan yang disediakan olehserver serta sisi keamanan sistem operasi itu sendiri. Pada dasarnya, hal-hal yang perlu diperhatikan adalah berbagai security hole yang ada padasoftware-software penyedia layanan tersebut, diantaranya adalah:

• Web server

• Database server

• Mail server

• DNS

• Application Server (JEE, Zope, dan lain-lain)

Penyerangan biasanya diawali dengan mengumpulkan sebanyak mungkindata mengenai web yang bersangkutan, terutama berkaitan dengan software-software yang digunakan tersebut. Software yang bisa digunakan antaralain adalah nikto (http://www.cirt.net/code/nikto.shtml). Hal yangperlu diwaspadai adalah setting konfigurasi default dari software-softwaretersebut. Sebagai contoh, Apache Tomcat mempunyai user admin denganpassword default yang terdapat pada dokumentasinya.

Internet saat ini juga penuh dengan berbagai software tools yang bisa di-gunakan untuk keperluan ini. Kebanyakan software-software tersebut meru-pakan software bebas dan gratis. Informasi lengkap tentang berbagai toolstersebut tersedia antara lain di buku Security Power Tools, terbitan O’Reilly.

2.1.2 Keamanan Sisi Klien

Keamanan pada sisi ini meliputi keamanan dari sisi web browser serta trans-port data dari klien ke server. Keamanan yang berhubungan dengan hal iniadalah:

5Bagian ini hanya merupakan hasil identifikasi dari penulis, sama sekali tidak bermak-sud untuk menyatakan sebagai hal yang lengkap. Kemungkinan yang ada bisa saja jauhlebih banyak lagi

4

• Session hijacking, merupakan eksploitasi dari session yang valid untukmemperoleh akses.

• XSS (Cross-site Scripting, keamanan terutama berkaitan dengan kode-kode HTML dan client-side script seperti JavaScript, VBScript.

• Spoofing, yaitu ”menipu” dengan cara memalsukan data yang ditrans-fer antar node. Beberapa bentuk spoofing ini antara laini adalah URLspoofing, referer spoofing, poisoning of file-sharing network, caller IDspoofing, e-mail address spoofing, IP address spoofing, dan login spoof-ing.

• MITM (man-in-the-middle) attack, yaitu penyerangan dalam bentukmembaca / memasukkan / memodifikasi data antar dua pihak tanpadiketahui bahwa data yang lewat antar link tersebut telah diserang.

2.1.3 Social Engineering

Social Engineering merupakan berbagai teknik yang digunakan untuk mem-bujuk korban melakukan tindakan tertentu atau memberikan informasi ter-tentu. Berbagai teknik yang digunakan antara lain adalah:

• Pretexting, yaitu penggunaan skenario tertentu untuk membujuk kor-ban melakukan tindakan tertentu atau memberikan informasi tertentu.

• Phising, yaitu penggunaan e-mail sedemikian rupa sehingga bisa mem-bujuk orang untuk melakukan sesuatu atau memberikan informasi ter-tentu.

• Trojan Horse/Gimmes, yaitu memanfaatkan rasa ingin tahu seseorangdan memberikan malware untuk keperluan itu.

• Road Apple, yaitu menggunakan media fisik yang bisa memancing rasaingin tahu seseorang dan memberikan malware sebagai isinya.

2.2 Keamanan pada Web 2.0

Web 2.0 menggunakan teknologi Ajax serta SOA. Ajax (Asynchronous JavaScriptand XML) merupakan teknologi yang memungkinkan interaktivitas aplikasiweb seperti aplikasi desktop GUI. Pada setiap page view, bagian tertentudari page akan mengakses ke server, tanpa perlu merefresh kembali seluruhpage. Beberapa insiden yang berkaitan dengan Ajax/JavaScript, antara lainadalah:

• MySpace worm, ditulis oleh “Sammy”. Source code dari worm ini bisadiperoleh di http://namb.la/popular/tech.html, wawancara sertapenjelasan tentang cara kerja worm ini oleh pembuatnya bisa diaksesdi http://blogoscoped.com/archive/2005-10-14-n81.html.

5

• Yamanner worm, merupakan worm yang ditulis menggunakan JavaScriptdan ditujukan untuk mengksploitasi layanan mail dari Yahoo.

Beberapa kemungkinan eksploitasi kelemahan yang bisa dilakukan an-tara lain adalah:

• Vulnerability pada protokol HTTP: validasi input, autentikasi dan ses-sion management,

• XSS

• Injection vulnerability : SQL Injection, LDAP Injection, command/processinjection, DOM Injection, CSRF Cross-site Request Forgery, cross-user defacement, dan lain-lain.

• Web services security

• API yang remote-accessible (misalnya Google API, RESTful Yahoo/FlickrAPI) menuntut mekanisme keamanan yang lebih memadai.

• XMLHTTPRequest yang terdapat pada mekanisme Ajax bisa dila-cak dengan menggunakan tools plugins browser Firefox yaitu Firebug(https://addons.mozilla.org/firefox/1843/). Meskipun belumtentu merupakan masalah keamanan, bisa saja hal ini akan menuju kekelemahan sistem.

3 Penutup

Tidak ada yang perlu dibanggakan dari merusak milik orang. Merusak hala-man web (deface) serta berbagai serangan lain yang menyebabkan web tidakberfungsi, sama sekali tidak menunjukkan bahwa si pengacau adalah orangyang pandai. Security adalah masalah multidimensi di semua organisasi.

4 Metadata

4.1 Tentang Penulis

Penulis adalah dosen tetap di STMIK AKAKOM, saat ini sebagai kepalaSistem Informasi dan Jaringan STMIK AKAKOM serta lead developer diAraya Software / Media Visi. A self-educated person who loves to hack inRuby on Rails for Web 2.0-based enterprise manageability software. Kontakpenulis: e-mail (bpurnomo@akakom.ac.id) atau jabber (bpdp@jabber.no).

6

4.2 Tentang Makalah

Makalah ini dibuat menggunakan LATEX2ε pada sistem operasi Linux - Arch-linux (http://www.archlinux.org) dan dipresentasikan di seminar Virusand Computer Security di Fakultas Teknik Universitas Diponegoro.

Referensi

[1] John Allsopp, Microformats: Empowering Your Markup for Web 2.0,Apress, 2007

[2] Sandy Carter, The New Language of Business: SOA and Web 2.0, IBMPress, 2007

[3] Christopher Wells, Securing Ajax Applications, O’Reilly, 2007

7