Cara untuk Melindungi Website Anda Dari Hacker
Posted by Dhani yuliawan on Friday, April 15, 2011
Under: Cara untuk Melindungi Website Anda Dari Hacker
How To Protect Your Website from Hackers
Cara untuk Melindungi Website Anda Dari Hacker
Hacker penguji etis untuk menemukan kesalahan dalam sistem sehingga mereka dapat diperbaiki sebelum hacker tidak etis (kerupuk) mengeksploitasi mereka. Jadi, ini benar-benar tentang bagaimana melindungi situs Anda dari kerupuk.
Simpan file Anda up to date
Jika situs Anda menggunakan skrip sendmail yang populer, pastikan versi Anda adalah yang sekarang. Kunjungi Ketentuan Anti-Spam di Sendmail 8.8 untuk mengedit script FormMail. Kami memiliki sendmail diperbarui di gunakan untuk situs Keranjang Belanja Harley. FormMail adalah script lain yang populer digunakan untuk mengirim hasil formulir ini untuk alamat email atau database. Kami menggunakan file yang untuk formulir di website kami. Script ini berlokasi di bin-cgi pada server web host.
Sign up update untuk script (program) menggunakan situs Anda akan memberitahu Anda jika ada. Anda harus menggunakan update terbaru untuk melindungi diri sendiri. Hal ini sering alasan pembaruan dilepaskan. Jika Anda tidak yakin script yang digunakan pada website Anda, hubungi pengembang web Anda.
Hapus file yang tidak perlu
perubahan website Anda, file lama diabaikan. Mereka harus dihapus. Simpan salinan offline jika anda ingin menambahkannya lagi, tapi ingat untuk memperbarui script. file Lama sering diindeks oleh search engine. Jadi bahkan jika Anda tidak link ke halaman-halaman lagi, mesin pencari daftar mereka bagi para pengguna internet untuk menemukan dan mengunjungi. program otomatis untuk mencari file-file ini dapat menemukan mereka untuk mengeksploitasi mereka.
Melaksanakan password
Setiap file sensitif, database atau script harus dilindungi. Harap gunakan password yang sulit ditebak. Gunakan huruf DAN angka, tapi hati-hati untuk menjaga jumlah karakter dalam batas-batas diprogram dan ingat bahwa password adalah case-sensitive.
Sertakan robots.txt
Buat file untuk memberitahu mesin pencari tidak untuk mengindeks file yang dibatasi untuk pengguna tertentu. Anda juga dapat melarang pengindeksan gambar, sehingga orang-orang yang mencari gambar menggunakan ilegal tidak mencuri gambar Anda.
Periksa hak akses dari file upload
Klik kiri setiap nama file di server web host Anda, kemudian klik kanan dan pilih CHMOD untuk membuat file memastikan ditetapkan untuk izin yang tepat. Periksa dengan host web Anda jika Anda tidak yakin. Ingatlah untuk upload gambar sebagai biner dan kebanyakan file lain sebagai file ASCII. Auto Memilih untuk pemilihan otomatis mungkin tidak benar jika ekstensi tertentu tidak ditentukan.
Melindungi alamat email
Jika Anda pernah mendapat email aneh yang diuji formulir Anda atau hanya mengirimi Anda email ke diri sendiri, salah satu program spammer menemukan alamat email Anda dari situs Anda atau orang lain. Ada skrip untuk membagi alamat email Anda, sehingga program perangkat lunak spammer tidak bisa membacanya. Cara lain adalah dengan menempatkan alamat email Anda dalam gambar atau hanya memiliki "Email kami" link. Aku tidak melakukan ini, tapi aku tidak punya masalah sampai saat ini. Aku masih ingin membuat informasi kontak saya terlihat untuk audiens target saya.
Jika Anda sign guestbook, pergi ke forum atau newsgroup, atau berbagi alamat email Anda dengan orang lain, alamat email Anda dapat diposting dan bersama seluruh Internet. Saya sering menggunakan alamat email beberapa saat membuat posting, karena ada spammer mencari pertama untuk alamat email. Untuk spammer, buku tamu adalah sebuah basis data alamat email. Jadi gunakan account Hotmail untuk email Anda, namun Anda masih dapat menyertakan alamat web Anda dalam tanda tangan Anda. Jika pengguna internet mengunjungi situs Anda, pengguna dapat menghubungi Anda menggunakan link pada situs Anda. Para spammer mungkin tidak akan mengunjungi situs Anda, sehingga spam berjalan ke alamat email yang diposting.
Melindungi kode sumber anda
Beberapa orang menggunakan yang bodoh klik kanan script untuk melindungi kode sumber mereka. Tidak hanya itu tidak melindungi kode Anda, Anda menonaktifkan fungsi browser seperti menambahkan situs Anda ke favorit mereka atau pencetakan. Meskipun banyak orang yang "dipinjam" kode sumber saya, saya tidak ingin menonaktifkan fungsi target saya ingin menggunakan. Ada script untuk membuat kode sumber Anda tersembunyi. Ini lebih efektif, tetapi rasa sakit bagi siapa saja yang ingin untuk mengedit situs Anda. Metode yang dipilih adalah file eksternal seperti style sheet eksternal atau file javascript.
Sertakan informasi hak cipta pada halaman dan dalam meta tag untuk setiap halaman web. Watermark semua gambar. Menyimpan salinan dari versi sebelumnya situs Anda dengan informasi terakhir diubah utuh. Simpan file pada disk, sehingga mereka dapat diambil. jika perlu. Kunjungi Machineo Wayback menemukan versi sebelumnya dari situs web, jika Anda tidak dapat menemukan file Anda. Meskipun informasi yang tidak lengkap, itu lebih baik daripada tidak sama sekali. Membeli hak cipta untuk file penting untuk melindungi diri dari pesaing atau pihak lain.
========================================================
Top Ten Reasons by which Websites Get Hacked
1. Cross site scripting (XSS)
Masalah: The "yang paling umum dan jahat" kerentanan keamanan aplikasi Web, XSS kekurangan terjadi ketika aplikasi mengirim data pengguna ke web browser tanpa terlebih dahulu validasi atau pengkodean konten. Hal ini memungkinkan hacker jahat mengeksekusi skrip di browser, membiarkan mereka membajak sesi pengguna, situs Web merusak, konten masukkan bermusuhan dan melakukan phishing dan serangan malware.
Serangan biasanya dilakukan dengan JavaScript, membiarkan hacker memanipulasi segala aspek dari halaman. Dalam skenario terburuk, hacker bisa mencuri informasi dan berkedok sebagai pengguna di situs Web sebuah bank.
Dunia nyata contoh: PayPal menjadi sasaran tahun lalu ketika penyerang PayPal pengunjung diarahkan ke halaman peringatan pengguna account mereka telah terbongkar. Korban diarahkan ke situs phishing dan diminta untuk memasukkan informasi login PayPal, nomor Jaminan Sosial dan rincian kartu kredit.
Bagaimana melindungi pengguna: Gunakan daftar putih untuk memvalidasi semua data yang masuk, yang menolak setiap data yang tidak ditentukan pada daftar putih sebagai yang baik. Pendekatan ini adalah kebalikan dari daftar hitam, yang menolak masukan hanya diketahui buruk. Selain itu, menggunakan pengkodean yang tepat semua data keluaran. Validasi memungkinkan deteksi serangan, dan pengkodean mencegah setiap injeksi skrip sukses dari berjalan di browser.
2. Injection flaws
Masalah: Bila data yang disediakan pengguna akan dikirim ke penerjemah sebagai bagian dari perintah atau query, trik hacker penafsir yang menafsirkan perintah berbasis teks ke dalam melaksanakan perintah yang tidak diinginkan. kekurangan Injeksi memungkinkan penyerang untuk menciptakan, membaca, memperbarui, atau menghapus data yang sewenang-wenang yang tersedia untuk aplikasi. Dalam skenario terburuk, kekurangan ini memungkinkan seorang penyerang untuk sepenuhnya kompromi aplikasi dan sistem yang mendasari, bahkan melewati firewall lingkungan sangat bersarang.
Dunia nyata contoh: hacker Rusia pecah menjadi pemerintah Rhode Island situs Web untuk mencuri data kartu kredit pada bulan Januari 2006. Hacker mengklaim serangan injeksi SQL mencuri 53.000 nomor kartu kredit, sedangkan penyedia layanan hosting klaim itu hanya 4.113.
Bagaimana melindungi pengguna: interpreter menggunakan Hindari jika memungkinkan. Jika Anda harus memanggil seorang juru bahasa, metode kunci untuk menghindari suntikan adalah penggunaan API yang aman, seperti parameter query strongly typed dan pemetaan relasional obyek perpustakaan.
3. Berbahaya file eksekusi
Masalah: Hacker dapat melakukan eksekusi kode jauh, instalasi jarak jauh rootkit, atau benar-benar kompromi sistem. Setiap jenis aplikasi Web adalah rentan jika menerima nama file atau file dari pengguna. kerentanan mungkin yang paling umum dengan PHP, bahasa scripting banyak digunakan untuk pengembangan Web.
Dunia nyata contoh: Seorang programmer remaja ditemukan pada tahun 2002 yang Guess.com yang rentan terhadap serangan yang bisa mencuri lebih dari 200.000 data pelanggan dari database Guess, termasuk nama, nomor kartu kredit dan tanggal kadaluwarsa. Tebak setuju untuk meningkatkan keamanan informasi pada tahun depan setelah diselidiki oleh Federal Trade Commission.
Bagaimana melindungi pengguna: Jangan menggunakan input yang diberikan oleh pengguna dalam setiap nama berkas yang berbasis sumber daya server, seperti gambar dan inklusi script. Set aturan firewall untuk mencegah koneksi baru ke situs Web eksternal dan sistem internal.
4. Tidak aman referensi langsung objek
Masalah: Penyerang memanipulasi referensi objek langsung untuk mendapatkan akses tidak sah ke objek lain. Hal ini terjadi ketika URL atau bentuk parameter berisi referensi ke objek seperti file, direktori, catatan database atau kunci.
Perbankan situs Web biasa menggunakan nomor account pelanggan sebagai kunci utama, dan mungkin mengekspos nomor rekening di antarmuka web.
Referensi kunci database sering terkena. Seorang penyerang dapat menyerang parameter ini hanya dengan menebak atau mencari kunci lain yang valid. Seringkali, ini adalah berurutan di alam.
Dunia nyata contoh: Sebuah situs Australian Taxation Office hacked pada tahun 2000 oleh seorang pengguna yang berubah hadiah ID pajak di URL untuk mengakses rincian 17.000 perusahaan. hacker e-mail yang 17.000 usaha untuk memberitahu mereka tentang pelanggaran keamanan.
Bagaimana melindungi pengguna: Gunakan indeks, peta referensi tidak langsung atau tidak langsung metode lain untuk menghindari paparan referensi objek langsung. Jika Anda tidak dapat menghindari referensi langsung, wewenang pengunjung situs Web sebelum menggunakannya
5. Cross situs permintaan pemalsuan
Masalahnya sederhana dan menghancurkan serangan ini mengambil kendali dari browser korban ketika login ke sebuah situs Web, dan mengirimkan permintaan berbahaya untuk aplikasi Web. situs Web ini sangat rentan, sebagian karena mereka cenderung untuk mengotorisasi permintaan berdasarkan session cookies atau "ingat saya" fungsionalitas. Bank adalah target potensial.
Sembilan puluh sembilan persen dari aplikasi di Internet rentan untuk menyeberang pemalsuan situs permintaan.
Dunia nyata contoh: Seorang hacker dikenal sebagai Samy mendapatkan lebih dari satu juta "teman" di MySpace.com dengan cacing pada akhir tahun 2005, secara otomatis termasuk pesan "Samy adalah pahlawan saya" dalam ribuan halaman MySpace. Serangan itu sendiri tidak mungkin telah yang berbahaya, tapi dikatakan untuk menunjukkan kekuatan menggabungkan scripting lintas situs dengan pemalsuan permintaan lintas situs. Contoh lain yang terungkap satu tahun yang lalu terkena kerentanan Google memungkinkan situs luar untuk mengubah preferensi bahasa pengguna Google.
Bagaimana melindungi pengguna: Jangan mengandalkan kredensial atau token secara otomatis disampaikan oleh browser. Satu-satunya solusi adalah dengan menggunakan tanda khusus bahwa browser tidak akan 'ingat'.
6. Informasi kebocoran dan penanganan kesalahan yang tidak tepat
Masalah: Pesan kesalahan bahwa aplikasi menghasilkan dan menampilkan kepada pengguna adalah berguna untuk hacker ketika mereka melanggar privasi atau tidak sengaja membocorkan informasi tentang konfigurasi program dan kerja internal.
aplikasi Web akan sering membocorkan informasi tentang keadaan internal mereka melalui pesan kesalahan rinci atau debug. Sering kali, informasi ini dapat dimanfaatkan untuk memulai atau bahkan mengotomatisasi serangan lebih kuat.
Dunia nyata contoh: Informasi kebocoran melampaui error handling, berlaku juga untuk pelanggaran terjadi ketika data rahasia yang tersisa di depan mata. The bencana ChoicePoint pada awal tahun 2005 sehingga jatuh di suatu tempat di kategori ini. Catatan dari 163.000 konsumen terganggu setelah penjahat berpura-pura menjadi pelanggan sah ChoicePoint dicari rincian tentang individu yang terdaftar dalam database perusahaan informasi pribadi. ChoicePoint kemudian terbatas penjualan produk informasi berisi data sensitif.
Bagaimana melindungi pengguna: Gunakan alat pengujian seperti OWASP'S WebScarab Proyek untuk melihat apa kesalahan aplikasi Anda menghasilkan. Aplikasi yang belum diuji dengan cara ini akan hampir pasti menghasilkan keluaran error yang tidak terduga.
7. Broken otentikasi dan manajemen sesi
Masalah: Pengguna dan rekening administratif bisa dibajak ketika aplikasi gagal untuk melindungi kepercayaan dan token sesi dari awal hingga akhir. Watch out for pelanggaran privasi dan merusak kontrol otorisasi dan akuntabilitas.
Kesalahan dalam mekanisme otentikasi utama yang tidak biasa, tetapi kelemahan lebih sering diperkenalkan melalui fungsi otentikasi tambahan seperti logout, manajemen password, timeout, ingat saya, pertanyaan rahasia dan memperbarui account.
Dunia nyata contoh: Microsoft harus menghilangkan kerentanan di Hotmail yang bisa membiarkan programmer JavaScript berbahaya mencuri password pengguna pada tahun 2002. Diungkapkan oleh seorang reseller produk-produk jaringan, cacat itu rentan terhadap e-mail yang berisi Trojan mengubah antarmuka pengguna Hotmail, memaksa pengguna untuk berulang kali masuk kembali password mereka dan tanpa disadari mengirimkannya ke hacker.
Bagaimana melindungi pengguna: Komunikasi dan penyimpanan mandat harus aman. Protokol SSL untuk mentransmisikan dokumen pribadi harus menjadi satu-satunya pilihan untuk bagian otentik dari aplikasi, dan mandat harus disimpan dalam bentuk hash atau dienkripsi.
Tip lain: menyingkirkan cookies kustom yang digunakan untuk manajemen otentikasi atau sesi.
8. Penyimpanan tidak aman kriptografi
Masalah: Banyak web developer gagal untuk mengenkripsi data sensitif dalam penyimpanan, walaupun kriptografi adalah bagian penting dari aplikasi web yang paling. Bahkan ketika enkripsi hadir, itu sering kurang didesain, menggunakan cipher tidak pantas.
Kekurangan ini dapat menyebabkan pengungkapan data sensitif dan pelanggaran kepatuhan.
Dunia nyata contoh: Data TJX pelanggaran yang terkena 45,7 juta nomor kartu kredit dan debit. Penyelidikan pemerintah Kanada disalahkan TJX karena gagal untuk meng-upgrade sistem enkripsi data sebelum itu ditargetkan oleh menguping elektronik mulai pada bulan Juli 2005.
Bagaimana melindungi pengguna: Jangan menciptakan algoritma kriptografi Anda sendiri. Hanya gunakan disetujui umum algoritma seperti AES, RSA kriptografi kunci publik, dan SHA-256 atau lebih baik untuk hashing.
Selanjutnya, menghasilkan offline kunci, dan tidak pernah mengirimkan kunci privat melalui saluran tidak aman.
9. Komunikasi tidak aman
Masalah: Serupa dengan No 8, ini adalah kegagalan untuk mengenkripsi lalu lintas jaringan saat itu diperlukan untuk melindungi komunikasi sensitif. Penyerang dapat mengakses percakapan tidak terlindungi, termasuk transmisi dari kepercayaan dan informasi sensitif. Untuk alasan ini, standar PCI memerlukan enkripsi informasi kartu kredit dikirimkan melalui Internet.
Dunia nyata contoh: TJX lagi. Peneliti berpendapat hacker menggunakan antena berbentuk teleskop dan komputer laptop untuk mencuri pertukaran data secara nirkabel antara perangkat harga-pemeriksaan portabel, dan komputer cash register toko, Wall Street Journal melaporkan.
"Jaringan nirkabel pengecer $ 17,4 miliar sudah keamanan kurang dari banyak orang di jaringan rumah mereka," tulis Journal. TJX menggunakan sistem penyandian WEP, WPA daripada lebih kuat.
Bagaimana melindungi pengguna: Gunakan SSL pada setiap koneksi disahkan atau selama transmisi data sensitif, seperti kredensial pengguna, rincian kartu kredit, catatan kesehatan dan informasi pribadi lainnya. SSL atau protokol enkripsi yang sama juga harus diterapkan kepada klien, mitra, staf dan akses administratif ke sistem online. Menggunakan transportasi lapisan keamanan atau enkripsi protokol tingkat untuk melindungi komunikasi antara bagian dari infrastruktur, seperti server web dan sistem database.
10. Kegagalan untuk membatasi akses URL
Masalah: Beberapa halaman web seharusnya terbatas pada sebagian kecil dari pengguna khusus, seperti administrator. Namun sering kali tidak ada perlindungan real dari halaman-halaman, dan hacker dapat menemukan URL dengan membuat dugaan.
Serangan menargetkan kerentanan ini disebut terpaksa browsing, yang meliputi link menebak dan teknik kekerasan untuk menemukan halaman yang tidak dilindungi.
Dunia nyata contoh: Sebuah lubang di Macworld Conference & Expo situs web tahun ini memungkinkan pengguna mendapatkan "Platinum" melewati senilai hampir $ 1.700 dan khusus akses ke sebuah pidato keynote Steve Jobs, semuanya gratis. Cacat yang adalah kode yang hak dievaluasi pada klien tetapi tidak di server, orang-orang membiarkan ambil tiket gratis melalui JavaScript di browser, bukan server.
Bagaimana melindungi pengguna: Jangan mengasumsikan pengguna akan menyadari URL tersembunyi. Semua fungsi URL dan bisnis harus dilindungi oleh suatu mekanisme kontrol akses yang efektif yang memverifikasi peran pengguna dan hak istimewa. Pastikan hal ini dilakukan ... setiap langkah, tidak hanya sekali terhadap awal setiap proses bertingkat.
Quote pesan ini di balasan
Cara untuk Melindungi Website Anda Dari Hacker
Hacker penguji etis untuk menemukan kesalahan dalam sistem sehingga mereka dapat diperbaiki sebelum hacker tidak etis (kerupuk) mengeksploitasi mereka. Jadi, ini benar-benar tentang bagaimana melindungi situs Anda dari kerupuk.
Simpan file Anda up to date
Jika situs Anda menggunakan skrip sendmail yang populer, pastikan versi Anda adalah yang sekarang. Kunjungi Ketentuan Anti-Spam di Sendmail 8.8 untuk mengedit script FormMail. Kami memiliki sendmail diperbarui di gunakan untuk situs Keranjang Belanja Harley. FormMail adalah script lain yang populer digunakan untuk mengirim hasil formulir ini untuk alamat email atau database. Kami menggunakan file yang untuk formulir di website kami. Script ini berlokasi di bin-cgi pada server web host.
Sign up update untuk script (program) menggunakan situs Anda akan memberitahu Anda jika ada. Anda harus menggunakan update terbaru untuk melindungi diri sendiri. Hal ini sering alasan pembaruan dilepaskan. Jika Anda tidak yakin script yang digunakan pada website Anda, hubungi pengembang web Anda.
Hapus file yang tidak perlu
perubahan website Anda, file lama diabaikan. Mereka harus dihapus. Simpan salinan offline jika anda ingin menambahkannya lagi, tapi ingat untuk memperbarui script. file Lama sering diindeks oleh search engine. Jadi bahkan jika Anda tidak link ke halaman-halaman lagi, mesin pencari daftar mereka bagi para pengguna internet untuk menemukan dan mengunjungi. program otomatis untuk mencari file-file ini dapat menemukan mereka untuk mengeksploitasi mereka.
Melaksanakan password
Setiap file sensitif, database atau script harus dilindungi. Harap gunakan password yang sulit ditebak. Gunakan huruf DAN angka, tapi hati-hati untuk menjaga jumlah karakter dalam batas-batas diprogram dan ingat bahwa password adalah case-sensitive.
Sertakan robots.txt
Buat file untuk memberitahu mesin pencari tidak untuk mengindeks file yang dibatasi untuk pengguna tertentu. Anda juga dapat melarang pengindeksan gambar, sehingga orang-orang yang mencari gambar menggunakan ilegal tidak mencuri gambar Anda.
Periksa hak akses dari file upload
Klik kiri setiap nama file di server web host Anda, kemudian klik kanan dan pilih CHMOD untuk membuat file memastikan ditetapkan untuk izin yang tepat. Periksa dengan host web Anda jika Anda tidak yakin. Ingatlah untuk upload gambar sebagai biner dan kebanyakan file lain sebagai file ASCII. Auto Memilih untuk pemilihan otomatis mungkin tidak benar jika ekstensi tertentu tidak ditentukan.
Melindungi alamat email
Jika Anda pernah mendapat email aneh yang diuji formulir Anda atau hanya mengirimi Anda email ke diri sendiri, salah satu program spammer menemukan alamat email Anda dari situs Anda atau orang lain. Ada skrip untuk membagi alamat email Anda, sehingga program perangkat lunak spammer tidak bisa membacanya. Cara lain adalah dengan menempatkan alamat email Anda dalam gambar atau hanya memiliki "Email kami" link. Aku tidak melakukan ini, tapi aku tidak punya masalah sampai saat ini. Aku masih ingin membuat informasi kontak saya terlihat untuk audiens target saya.
Jika Anda sign guestbook, pergi ke forum atau newsgroup, atau berbagi alamat email Anda dengan orang lain, alamat email Anda dapat diposting dan bersama seluruh Internet. Saya sering menggunakan alamat email beberapa saat membuat posting, karena ada spammer mencari pertama untuk alamat email. Untuk spammer, buku tamu adalah sebuah basis data alamat email. Jadi gunakan account Hotmail untuk email Anda, namun Anda masih dapat menyertakan alamat web Anda dalam tanda tangan Anda. Jika pengguna internet mengunjungi situs Anda, pengguna dapat menghubungi Anda menggunakan link pada situs Anda. Para spammer mungkin tidak akan mengunjungi situs Anda, sehingga spam berjalan ke alamat email yang diposting.
Melindungi kode sumber anda
Beberapa orang menggunakan yang bodoh klik kanan script untuk melindungi kode sumber mereka. Tidak hanya itu tidak melindungi kode Anda, Anda menonaktifkan fungsi browser seperti menambahkan situs Anda ke favorit mereka atau pencetakan. Meskipun banyak orang yang "dipinjam" kode sumber saya, saya tidak ingin menonaktifkan fungsi target saya ingin menggunakan. Ada script untuk membuat kode sumber Anda tersembunyi. Ini lebih efektif, tetapi rasa sakit bagi siapa saja yang ingin untuk mengedit situs Anda. Metode yang dipilih adalah file eksternal seperti style sheet eksternal atau file javascript.
Sertakan informasi hak cipta pada halaman dan dalam meta tag untuk setiap halaman web. Watermark semua gambar. Menyimpan salinan dari versi sebelumnya situs Anda dengan informasi terakhir diubah utuh. Simpan file pada disk, sehingga mereka dapat diambil. jika perlu. Kunjungi Machineo Wayback menemukan versi sebelumnya dari situs web, jika Anda tidak dapat menemukan file Anda. Meskipun informasi yang tidak lengkap, itu lebih baik daripada tidak sama sekali. Membeli hak cipta untuk file penting untuk melindungi diri dari pesaing atau pihak lain.
========================================================
Top Ten Reasons by which Websites Get Hacked
1. Cross site scripting (XSS)
Masalah: The "yang paling umum dan jahat" kerentanan keamanan aplikasi Web, XSS kekurangan terjadi ketika aplikasi mengirim data pengguna ke web browser tanpa terlebih dahulu validasi atau pengkodean konten. Hal ini memungkinkan hacker jahat mengeksekusi skrip di browser, membiarkan mereka membajak sesi pengguna, situs Web merusak, konten masukkan bermusuhan dan melakukan phishing dan serangan malware.
Serangan biasanya dilakukan dengan JavaScript, membiarkan hacker memanipulasi segala aspek dari halaman. Dalam skenario terburuk, hacker bisa mencuri informasi dan berkedok sebagai pengguna di situs Web sebuah bank.
Dunia nyata contoh: PayPal menjadi sasaran tahun lalu ketika penyerang PayPal pengunjung diarahkan ke halaman peringatan pengguna account mereka telah terbongkar. Korban diarahkan ke situs phishing dan diminta untuk memasukkan informasi login PayPal, nomor Jaminan Sosial dan rincian kartu kredit.
Bagaimana melindungi pengguna: Gunakan daftar putih untuk memvalidasi semua data yang masuk, yang menolak setiap data yang tidak ditentukan pada daftar putih sebagai yang baik. Pendekatan ini adalah kebalikan dari daftar hitam, yang menolak masukan hanya diketahui buruk. Selain itu, menggunakan pengkodean yang tepat semua data keluaran. Validasi memungkinkan deteksi serangan, dan pengkodean mencegah setiap injeksi skrip sukses dari berjalan di browser.
2. Injection flaws
Masalah: Bila data yang disediakan pengguna akan dikirim ke penerjemah sebagai bagian dari perintah atau query, trik hacker penafsir yang menafsirkan perintah berbasis teks ke dalam melaksanakan perintah yang tidak diinginkan. kekurangan Injeksi memungkinkan penyerang untuk menciptakan, membaca, memperbarui, atau menghapus data yang sewenang-wenang yang tersedia untuk aplikasi. Dalam skenario terburuk, kekurangan ini memungkinkan seorang penyerang untuk sepenuhnya kompromi aplikasi dan sistem yang mendasari, bahkan melewati firewall lingkungan sangat bersarang.
Dunia nyata contoh: hacker Rusia pecah menjadi pemerintah Rhode Island situs Web untuk mencuri data kartu kredit pada bulan Januari 2006. Hacker mengklaim serangan injeksi SQL mencuri 53.000 nomor kartu kredit, sedangkan penyedia layanan hosting klaim itu hanya 4.113.
Bagaimana melindungi pengguna: interpreter menggunakan Hindari jika memungkinkan. Jika Anda harus memanggil seorang juru bahasa, metode kunci untuk menghindari suntikan adalah penggunaan API yang aman, seperti parameter query strongly typed dan pemetaan relasional obyek perpustakaan.
3. Berbahaya file eksekusi
Masalah: Hacker dapat melakukan eksekusi kode jauh, instalasi jarak jauh rootkit, atau benar-benar kompromi sistem. Setiap jenis aplikasi Web adalah rentan jika menerima nama file atau file dari pengguna. kerentanan mungkin yang paling umum dengan PHP, bahasa scripting banyak digunakan untuk pengembangan Web.
Dunia nyata contoh: Seorang programmer remaja ditemukan pada tahun 2002 yang Guess.com yang rentan terhadap serangan yang bisa mencuri lebih dari 200.000 data pelanggan dari database Guess, termasuk nama, nomor kartu kredit dan tanggal kadaluwarsa. Tebak setuju untuk meningkatkan keamanan informasi pada tahun depan setelah diselidiki oleh Federal Trade Commission.
Bagaimana melindungi pengguna: Jangan menggunakan input yang diberikan oleh pengguna dalam setiap nama berkas yang berbasis sumber daya server, seperti gambar dan inklusi script. Set aturan firewall untuk mencegah koneksi baru ke situs Web eksternal dan sistem internal.
4. Tidak aman referensi langsung objek
Masalah: Penyerang memanipulasi referensi objek langsung untuk mendapatkan akses tidak sah ke objek lain. Hal ini terjadi ketika URL atau bentuk parameter berisi referensi ke objek seperti file, direktori, catatan database atau kunci.
Perbankan situs Web biasa menggunakan nomor account pelanggan sebagai kunci utama, dan mungkin mengekspos nomor rekening di antarmuka web.
Referensi kunci database sering terkena. Seorang penyerang dapat menyerang parameter ini hanya dengan menebak atau mencari kunci lain yang valid. Seringkali, ini adalah berurutan di alam.
Dunia nyata contoh: Sebuah situs Australian Taxation Office hacked pada tahun 2000 oleh seorang pengguna yang berubah hadiah ID pajak di URL untuk mengakses rincian 17.000 perusahaan. hacker e-mail yang 17.000 usaha untuk memberitahu mereka tentang pelanggaran keamanan.
Bagaimana melindungi pengguna: Gunakan indeks, peta referensi tidak langsung atau tidak langsung metode lain untuk menghindari paparan referensi objek langsung. Jika Anda tidak dapat menghindari referensi langsung, wewenang pengunjung situs Web sebelum menggunakannya
5. Cross situs permintaan pemalsuan
Masalahnya sederhana dan menghancurkan serangan ini mengambil kendali dari browser korban ketika login ke sebuah situs Web, dan mengirimkan permintaan berbahaya untuk aplikasi Web. situs Web ini sangat rentan, sebagian karena mereka cenderung untuk mengotorisasi permintaan berdasarkan session cookies atau "ingat saya" fungsionalitas. Bank adalah target potensial.
Sembilan puluh sembilan persen dari aplikasi di Internet rentan untuk menyeberang pemalsuan situs permintaan.
Dunia nyata contoh: Seorang hacker dikenal sebagai Samy mendapatkan lebih dari satu juta "teman" di MySpace.com dengan cacing pada akhir tahun 2005, secara otomatis termasuk pesan "Samy adalah pahlawan saya" dalam ribuan halaman MySpace. Serangan itu sendiri tidak mungkin telah yang berbahaya, tapi dikatakan untuk menunjukkan kekuatan menggabungkan scripting lintas situs dengan pemalsuan permintaan lintas situs. Contoh lain yang terungkap satu tahun yang lalu terkena kerentanan Google memungkinkan situs luar untuk mengubah preferensi bahasa pengguna Google.
Bagaimana melindungi pengguna: Jangan mengandalkan kredensial atau token secara otomatis disampaikan oleh browser. Satu-satunya solusi adalah dengan menggunakan tanda khusus bahwa browser tidak akan 'ingat'.
6. Informasi kebocoran dan penanganan kesalahan yang tidak tepat
Masalah: Pesan kesalahan bahwa aplikasi menghasilkan dan menampilkan kepada pengguna adalah berguna untuk hacker ketika mereka melanggar privasi atau tidak sengaja membocorkan informasi tentang konfigurasi program dan kerja internal.
aplikasi Web akan sering membocorkan informasi tentang keadaan internal mereka melalui pesan kesalahan rinci atau debug. Sering kali, informasi ini dapat dimanfaatkan untuk memulai atau bahkan mengotomatisasi serangan lebih kuat.
Dunia nyata contoh: Informasi kebocoran melampaui error handling, berlaku juga untuk pelanggaran terjadi ketika data rahasia yang tersisa di depan mata. The bencana ChoicePoint pada awal tahun 2005 sehingga jatuh di suatu tempat di kategori ini. Catatan dari 163.000 konsumen terganggu setelah penjahat berpura-pura menjadi pelanggan sah ChoicePoint dicari rincian tentang individu yang terdaftar dalam database perusahaan informasi pribadi. ChoicePoint kemudian terbatas penjualan produk informasi berisi data sensitif.
Bagaimana melindungi pengguna: Gunakan alat pengujian seperti OWASP'S WebScarab Proyek untuk melihat apa kesalahan aplikasi Anda menghasilkan. Aplikasi yang belum diuji dengan cara ini akan hampir pasti menghasilkan keluaran error yang tidak terduga.
7. Broken otentikasi dan manajemen sesi
Masalah: Pengguna dan rekening administratif bisa dibajak ketika aplikasi gagal untuk melindungi kepercayaan dan token sesi dari awal hingga akhir. Watch out for pelanggaran privasi dan merusak kontrol otorisasi dan akuntabilitas.
Kesalahan dalam mekanisme otentikasi utama yang tidak biasa, tetapi kelemahan lebih sering diperkenalkan melalui fungsi otentikasi tambahan seperti logout, manajemen password, timeout, ingat saya, pertanyaan rahasia dan memperbarui account.
Dunia nyata contoh: Microsoft harus menghilangkan kerentanan di Hotmail yang bisa membiarkan programmer JavaScript berbahaya mencuri password pengguna pada tahun 2002. Diungkapkan oleh seorang reseller produk-produk jaringan, cacat itu rentan terhadap e-mail yang berisi Trojan mengubah antarmuka pengguna Hotmail, memaksa pengguna untuk berulang kali masuk kembali password mereka dan tanpa disadari mengirimkannya ke hacker.
Bagaimana melindungi pengguna: Komunikasi dan penyimpanan mandat harus aman. Protokol SSL untuk mentransmisikan dokumen pribadi harus menjadi satu-satunya pilihan untuk bagian otentik dari aplikasi, dan mandat harus disimpan dalam bentuk hash atau dienkripsi.
Tip lain: menyingkirkan cookies kustom yang digunakan untuk manajemen otentikasi atau sesi.
8. Penyimpanan tidak aman kriptografi
Masalah: Banyak web developer gagal untuk mengenkripsi data sensitif dalam penyimpanan, walaupun kriptografi adalah bagian penting dari aplikasi web yang paling. Bahkan ketika enkripsi hadir, itu sering kurang didesain, menggunakan cipher tidak pantas.
Kekurangan ini dapat menyebabkan pengungkapan data sensitif dan pelanggaran kepatuhan.
Dunia nyata contoh: Data TJX pelanggaran yang terkena 45,7 juta nomor kartu kredit dan debit. Penyelidikan pemerintah Kanada disalahkan TJX karena gagal untuk meng-upgrade sistem enkripsi data sebelum itu ditargetkan oleh menguping elektronik mulai pada bulan Juli 2005.
Bagaimana melindungi pengguna: Jangan menciptakan algoritma kriptografi Anda sendiri. Hanya gunakan disetujui umum algoritma seperti AES, RSA kriptografi kunci publik, dan SHA-256 atau lebih baik untuk hashing.
Selanjutnya, menghasilkan offline kunci, dan tidak pernah mengirimkan kunci privat melalui saluran tidak aman.
9. Komunikasi tidak aman
Masalah: Serupa dengan No 8, ini adalah kegagalan untuk mengenkripsi lalu lintas jaringan saat itu diperlukan untuk melindungi komunikasi sensitif. Penyerang dapat mengakses percakapan tidak terlindungi, termasuk transmisi dari kepercayaan dan informasi sensitif. Untuk alasan ini, standar PCI memerlukan enkripsi informasi kartu kredit dikirimkan melalui Internet.
Dunia nyata contoh: TJX lagi. Peneliti berpendapat hacker menggunakan antena berbentuk teleskop dan komputer laptop untuk mencuri pertukaran data secara nirkabel antara perangkat harga-pemeriksaan portabel, dan komputer cash register toko, Wall Street Journal melaporkan.
"Jaringan nirkabel pengecer $ 17,4 miliar sudah keamanan kurang dari banyak orang di jaringan rumah mereka," tulis Journal. TJX menggunakan sistem penyandian WEP, WPA daripada lebih kuat.
Bagaimana melindungi pengguna: Gunakan SSL pada setiap koneksi disahkan atau selama transmisi data sensitif, seperti kredensial pengguna, rincian kartu kredit, catatan kesehatan dan informasi pribadi lainnya. SSL atau protokol enkripsi yang sama juga harus diterapkan kepada klien, mitra, staf dan akses administratif ke sistem online. Menggunakan transportasi lapisan keamanan atau enkripsi protokol tingkat untuk melindungi komunikasi antara bagian dari infrastruktur, seperti server web dan sistem database.
10. Kegagalan untuk membatasi akses URL
Masalah: Beberapa halaman web seharusnya terbatas pada sebagian kecil dari pengguna khusus, seperti administrator. Namun sering kali tidak ada perlindungan real dari halaman-halaman, dan hacker dapat menemukan URL dengan membuat dugaan.
Serangan menargetkan kerentanan ini disebut terpaksa browsing, yang meliputi link menebak dan teknik kekerasan untuk menemukan halaman yang tidak dilindungi.
Dunia nyata contoh: Sebuah lubang di Macworld Conference & Expo situs web tahun ini memungkinkan pengguna mendapatkan "Platinum" melewati senilai hampir $ 1.700 dan khusus akses ke sebuah pidato keynote Steve Jobs, semuanya gratis. Cacat yang adalah kode yang hak dievaluasi pada klien tetapi tidak di server, orang-orang membiarkan ambil tiket gratis melalui JavaScript di browser, bukan server.
Bagaimana melindungi pengguna: Jangan mengasumsikan pengguna akan menyadari URL tersembunyi. Semua fungsi URL dan bisnis harus dilindungi oleh suatu mekanisme kontrol akses yang efektif yang memverifikasi peran pengguna dan hak istimewa. Pastikan hal ini dilakukan ... setiap langkah, tidak hanya sekali terhadap awal setiap proses bertingkat.
Quote pesan ini di balasan