Web Security adalah istilah untuk mengatasi berbagai macam serangan atau attack dalam teknologi internet atau website. Ada banyak jenis dari serangan yang dilakukan oleh penjahat dunia maya “Cracker”, seperti XSS, SQL Injection atau CSRF. Berikut daftar lengkap jenis serangan yang terjadi pada bulan Maret 2012 menurut Cenzic.
37% – Cross-site scripting (XSS)
16% – SQL injection
5% – Path disclosure
5% – Denial-of-service attack
4% – Arbitrary code execution 4% – Memory corruption
4% – Cross-site request forgery (CSRF)
3% – Data breach (information disclosure)
3% – Arbitrary file inclusion
2% – Local file inclusion
1% – Remote file inclusion
1% – Buffer overflow
15% – Other, including code injection (PHP/JavaScript), etc.
Dari sekian banyak jenis serangan, yang paling sering adalah XSS atau Cross-site scripting. Cross-site scripting adalah jenis serangan yang memanfaatkan teknologi client/browser untuk menyerang sebuah website.
Umumnya yang terjadi adalah sebuah tag script yang berisikan perintah berbahaya dimasukan ke dalam database. Nanti saat dijalankan, perintah javascript tersebut akan mencuri data kita yang tersimpan pada cookie atau history browser.
Untuk mencegah terjadinya serangan XSS, kita bisa menggunakan fungsi yang dapat memfilter tag html tertentu atau tag script yang akan masuk ke dalam database. Untuk PHP kita bisa menggunakan fungsi strip_tags, trim, atau filter_var.
// menggunakan strip_tags
$str = Strip_tags($input);
Atau
// menggunakan filter_var
$str = filter_var($input, FILTER_SANITIZE_STRING);
Selain XSS, ada juga SQL injection, serangan ini memanfaatkan sebuah form. Peretas melakukan aksi dengan memasukan perintah SQL yang dapat merubah, mengupdate, atau mendelete table atau data dalam database kita.
Dalam PHP kita bisa menggunakan mysql_real_escape_string untuk mengatasi hal ini, atau menggunakan PDO dan MySQLi (object) yang sudah dilengkapi dengan proteksi SQL injection.
Kemudian Cross-site request forgery (CSRF) adalah metode serangan dengan memanfaatkan media form dan kelengahan pengguna. Peretas yang menggunakan metode ini biasanya mereka sudah mengetahui seluk beluk dalam sistem tersebut.
Misalnya url action yang digunakan untuk mengupdate data member, dan beberapa elemen form yang digunakan sebagai media untuk memasukan data mereka. Untuk mengatasi hal ini, caranya adalah dengan membuat kode token unik yang terdapat di setiap form, kode tersebut akan otomatis berubah ketika kita melakukan submit.
editor: M Dafa
Tanya & Beli Program?
0 Komentar