MAKALAH KEAMANAN SISTEM INFORMASI KEAMANAN WEBSITE
Nama Kelompok: 1. Nur Fajar 2. Pera Lesviana 3. Suprihatin 4. Rizal
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER (STMIK) DIAN CIPTA CENDIKIA LAMPUNG 2018
Kata Pengantar
Daftar Isi
BAB I PENDAHULUAN
1.1 Latar Belakang Keamanan web, sangat erat kaitannya dengan jaringan, karena untuk mengakses sebuah website pasti dibutuhkan koneksi jaringan. Saat ini sangat pesat sekali perkembangan teknologi website, jaringan dan bermacam ancaman keamanan yang dihadapi, seperti ancaman terhadap kerahasiaan yang sering dihadapi adalah hacker, Masquerader,virus virus dari internet maupun dari media transfer data seperti flasdisk, hardisk eksternal, melalui jaringan LAN, download file tanpa proteksi, Trojan horse, Aktifitas user yang tidak terotorisasi dan masih banyak lagi ancaman keamanan yang kadang tidak kita sadari. Keamanan suatu website atau web security system merupakan salah satu prioritas yang sangat utama bagi seorang webmaster. Tetapi kebanyakan para webmaster hanya mengutamakan design dan topik apa yang harus disediakan supaya menarik pengunjung sebanyak-banyaknya. Padahal jika seorang webmaster mengabaikan keamanan suatu website, maka yang dirugikan adalah webmaster itu sendiri karena seorang hacker dapat mengambil data-data penting pada suatu website dan bahkan pula dapat mengacak-acak tampilan website(deface) tersebut.
1.2 Rumusan masalah
Rumusan masalah pada makalah ini adalah Apa yang dimaksud dengan sebuah keamanan website dan beberapa ancaman dan cara menanganinya.
1.3 Batasan Masalah
Batasan masalah dari makalah ini adalah pembahasan tentang leamanan website dan cara menanganinya.
1.4 Tujuan
1. Mengetahui apa yang dimaksud dengan web, web browser dan web server 2. Mengetahui keamanan pada website 3. Mengetahui cara menangani ancaman pada website.
BAB II PEMBAHASAN
2.1 Pengertian Website
Website adalah sebutan bagi sekelompok halaman web (webpage) yang umumnya merupakan bagian dari suatu nama domain atau subdomain di WWW di internet. Website juga dapat diartikan sebagai kumpulan halaman yang menampilkan informasi data teks, data gambar diam atau gerak, data animasi, suara atau video atau gabungan dari semuanya. Baik yang bersifat statis maupun dinamis yang membentuk 1 rangkaian bangunan yang saling terkait, dimana masing-masing dihubungkan dengan jaringan (hyperlink). Bersifat statis apabila isi informasi tetap, jarang berubah dan informasinya searah hanya dari pemilik website. Bersifat dinamis apabila isi informasi website selalu berubah-ubah.
Pengertian Web browser
Webrowser adalah suatu program yang digunakan untuk menjelajahi dunia internet atau untu mencari informasi tentang suatu halaman web yang tersimpan di komputer. Awalnya, web browser hanya berorientasi pada teks dan belum dapat menampilkan gambar. Namun web browser sekarang tidak hanya menampilkan gambar dan teks dan belum dapat menampilkan gambar dan teks saja, tetapi sudah memutar tes multimedia. Browser juga dapat mengirim dan menerima email, mengolah bahasa HTML sebagai input dan menjadikan halaman web sebagai output yang informatif. Contoh Web browser antara lain:
a. Internet explorer b. Mozila Firefox c. Opera d. Netscape, dll. Pengertian Web Server Web Server adalah software yang menjadi tulang belakang dari WWW (World Wide Web). Web server menunggu permintaan dari client yang menggunakan browser, seperti Microsoft Internet Explorer, Mozilla Firefox, dan browser lainnya. Jika ada permintaan
dari browser, maka web server akan memproses permintaan itu kemudian memberikan hasil prosesnya berupa data yang diinginkan kembali ke browser. Data ini mempunyai format yang standar, disebut dengan format SGML (Standar General Markup Language). Data yang berupa format ini kemudian akan ditampilkan oleh browser sesuai dengan kemampuan browser tersebut. Contohnya, bila data yang dikirim berupa gambar, browser yang hanya mampu menampilkan teks (misalnya lynx) tidak akan mampu menampilkan gambar tersebut, dan jika ada akan menampilkan alternatifnya saja. Web server, untuk berkomunikasi dengan client-nya (web browser) mempunyai protokol sendiri, yaitu HTTP (HyperText Transfer Protocol). Dengan protokol ini, komunikasi antar web server dengan client-nya dapat saling dimengerti dan lebih mudah. Seperti telah dijelaskan diatas, format data pada world wide web adalah SGML. Tapi para pengguna internet saat ini lebih banyak menggunakan format HTML (HyperText Markup Language) karena penggunaannya lebih sederhana dan mudah dipelajari. Serangan Terhadap Web
Berikut adalah beberapa metode yang biasa sering digunakan para hacker untuk menyerang suatu website: a. Remote File Inklusi (RFI) Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan RFI seorang attacker dapat menginclude kan file yang berada di luar server yang bersangkutan. Salah satu tehnik paling aman bagi seorang administrator adalah selalu memperhatikan usaha-usaha infiltrasi dan usaha eksploitasi lokal. Gunakan firewall guna mencegah penyusupan orang-orang yang tidak bertanggung jawab dan memperhatikan port-port server yang sedang terbuka.
b.
Local File Inclusion (LFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
c.
SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.
d.
Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna lain. lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang untuk mem-bypass mekanisme klien-sisi keamanan biasanya dikenakan pada konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi kode.
XSS data diatasi dengan menggunakan Open Source Libraries mengenai pencegahan XSS attack seperti PHP AntiXSS, HTML Purifier , xssprotect , XSS HTML Filter
Paket Keamanan Web
a.
SSL (Secure Sockets Layer)
Sebuah protokol yang dikembangkan oleh Netscape untuk komunikasi dokumen yang membutuhkan privasi melalui Internet. SSL menggunakan suatu sistem enkripsi yang menggunakan dua kunci untuk melakukan enkripsi data. SSL terdiri dari 4 jenis, yaitu: ·
SSL web server certificate with EV
SSL jenis ini digunakan bila pengunjung harus input data sensitif seperti credit cards, PIN number, dst yang membutuhkan keamanan ekstra. Bila menggunakan SSL jenis ini, address bar pada browser akan berwarna hijau dan menunjukan nama ogranisasi bersangkutang yang telah diverifikasi. ·
SSL web server certificates
SSL jenis ini digunakan bila pengunjung harus log in atau sign in. SSL jenis ini menggunakan enkripsi sekuat SSL web server certificate with EV namun tidak adanya warna hijau pada address bar browser. ·
SGC SuperCerts
SSL ini digunakan untuk kompatibilitas browser lama. Jika pengunjung menggunakan browser lama, atau cara lain untuk mengunjungi suatu website, maka SSL jenis ini cocok untuk diterapkan di browser tersebut, karena SSL jenis ini memungkinkan kompatibilitas browser lama untuk enkripsi 128 atau 256 bit. ·
SSL 123 Certificate
SSL ini digunakan untuk komunikasi internal dan intranet private. SSL ini melakukan enkripsi unutk pegawai dan user di dalamnya. Hanya nama domain yg diverifikasi.
b.
IDS (Intrusion Detection System)
Intrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak diinginkan yang mengganggu konfidensialitas, integritas dan atau ketersediaan dari informasi yang terdapat di sebuah sistem. IDS akan memonitor lalu lintas data pada sebuah jaringan atau mengambil data dari berkas log. IDS akan menganalisa dan dengan algoritma tertentu akan memutuskan untuk memberi peringatan kepada seorang administrator jaringan atau tidak
c.
IPS (Intrusion Prevention System)
Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS).
2. Macam Serangan Penanggulangan Web Web Service memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem
terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Penerapan Web Service akan memudahkan proses integrasi dan kolaborasi antar aplikasi pada lingkungan platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service. Pada makalah ini dibahas berbagai arsitektur keamanan dan spesifikasi standard keamananan untuk Web Service.
Walaupun Web Service menjanjikan solusi untuk mengatasi kelemahan teknologi berbasis Web pada umumnya, namun demikian masih banyak yang merasa ragu untuk segera menerapkan Web Service, khususnya pada lingkungan Internet (publik), misalnya untuk mendukung transaksi e-business. Keraguan ini disebabkan oleh faktor jaminan keamanan dari teknologi Web Service. Survey menunjukkan bahwa faktor keamanan merupakan masalah utama yang menjadi perhatian dalam mengimplementasikan Web Service.
Teknologi keamanan yang biasa digunakan untuk mengatasi aspek keamanan pada sistem berbasis Web pada umumnya, seperti Secure socket Layer (SSL)/ Transport Secure Layer (TSL), tidak cukup memadai jika diterapkan pada system berbasis Web Service. Hal ini dikarenakan SSL/TLS menyediakan solusi kemanan dengan konteks point-to-point pada level transport layer. Sementara karakteristik transaksi Web Service, membutuhkan pengamanan dalam konteks end-to-end pada level application layer. Teknologi Firewall yang menyediakan pengamanan pada level Network Layer juga tidak cukup memadai, karena karakteristik transaksi Web Service yang menggunakan standard internet (HTTP,
SMTP, FTP) akan dilewatkan oleh Firewall karena dianggap Sebagai trafik Internet pada umumnya (firewall friendly). Walaupun teknologi keamanan yang ada saat ini masih memegang peranan penting, namun demikian masih diperlukan suatu mekanisme keamanan pada level appplication layer yang dapat diterima luas oleh berbagai pihak yang terlibat dalam implementasi Web Service, dan mendukung aspek interoperabilitas dalam mengimplementasikan Web Service. Keberadaan standard kemananan Web Service tersebut akan sangat mempengaruhi prospek penerapan Web Service secara luas.
STANDAR PENGAMANAN WEB
XML signatures merupakan dokumen XML yang berisi informasi mengenai tanda tangan digital. Tanda tangan digital dapat dilakukan terhadap dokumen dengan tipe apapun, termasuk dokumen XML. XML signatures dapat ditambahkan pada dokumen XML yang ditandatangani ataupun dapat berupa sebuah dokumen XML tersendiri. Secara garis besar, struktur XML signatures adalah sebagaimana (dimana “?” menandakan nol atau satu kemunculan, “+” menandakan satu atau lebih kemunculan, dan “*” menandakan nol atau lebih kemunculan) ditampilkan pada Kode XML
Salah satu keuntungan penggunaan standar XML signature adalah dapat dilakukannya penandatanganan sebuah dokumen XML oleh lebih dari satu pihak. Pihak tertentu hanya akan menandatangani elemen XML yang menjadi tanggung jawabnya.
XML Encryption
Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan yang muncul pada proses pertukaran data. W3C telah merekomendasikan Enkripsi XML sebagai metode alternatif untuk pengamanan data dengan menggunakan format XML. Namun demikian, Enkripsi XML dirancang untuk dapat diterapkan
baik pada data XML maupun data non XML. Implementasi Enkripsi XML memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi maupun dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan saja.
Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada level parser. Pada level aplikasi, implementasi Enkripsi XML paling banyak dibuat dengan menggunakan DOM, Document Object Model.
Sementara pada level parser, implementasi Enkripsi XML di antaranya dibuat dengan menggunakan parser Xerces. Enkripsi XML secara umum dapat dianggap sebagai proses transformasi dokumen XML yang belum terenkripsi ke dokumen XML yang sudah terenkripsi. W3C telah merekomendasikan XSLT, Extensible Stylesheet Language Transformations, sebagai bahasa transformasi untuk dokumen XML. Dengan demikian, maka XSLT sebagai bahasa transformasi untuk XML dapat digunakan untuk mengimplementasikan Enkripsi XML.
Xml Key Management Specification
XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada web services digunakan format komunikasi data berbasis XML dan untuk keamanan Pengelolaan
data-data terhadap
tersebut
digunakan
kunci-publik
teknik
ditentukan
kriptografi
dengan
kunci-publik.
adanya
public-key
infrastructure (PKI).
XKMS merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini (PKIX) dan juga melakukan perubahan standar PKI sebagai salah satu bentuk web services. Dengan demikian XKMS dapat melakukan proses registrasi pasangan kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan
(recover) kuncipublik. Oleh karena itu, keseluruhan struktur PKI akan dikembangkan ke dalam lingkungan berbasis XML. XML Key Management Specification yang diterapkan sebagai web service akan mengurangi bentuk “ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi.
Sebelumnya penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang diterapkan pada produk aplikasi yang akan digunakan sedangkan dengan adanya XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibuat fungsi untuk menentukan pengguna (client) yang mengakses fungsi/layanan yang disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi: v Registration (registrasi). Layanan pada XKMS dapat digunakan untuk mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”. Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang dibangkitkan oleh server ataupun client. v Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan kembali kunci-publik yang terdaftar. v Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak kadaluarsa ataupun telah dicabut.
Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server. Dengan demikian pihak client hanya perlu mengetahui cara mengakses antarmuka yang disediakan. Sebagai pengembangan lebih lanjut dari PKI yang ada saat ini, XKMS memiliki karakteristik kompatibel (selaras) dengan infrastruktur kunci publik yang menggunakan X.509 (PKIX); dapat mendukung perubahan struktur dasar kebijakan yang akan digunakan pada PKI, contohnya Federal Bridge CA, ataupun perpaduan X.509 dengan non-509; proses pembangkitan dengan menggunakan XML signature dan encryption; dapatdikembangluaskan. Untuk produk aplikasi yang akan menggunakan spesifikasi XKMS haruslah melakukan implementasi operasi penandaan ataupun verifikasi paling dasar (basic) dan juga
dapat mengelola kunci-privat yang dimiliki oleh client kemudian dapat melakukan pembangkitan dan pemrosesan terhadap transaksi-transaksi berbasis XML. Selain itu, berbeda dengan produk aplikasi pada PKIX, produk aplikasi yang akan menerapkan XKMS tidak perlu melakukan pemrosesan terhadap protokol ASN.1 ataupun sertifikasi X.509. Dengan bentuk penggunaan XKMS sebagai web service, maka produk aplikasi “terbebaskan” dari kebutuhan untuk memahami dan
menerapkan
PKI
tradisional
(PKIX) – cukup
dengan
memanggil
dan
menggunakan layanan yang disediakan oleh web service XKMS.
WEB SCIENCE SECURITY
WS-Security atau juga dikenal sebagai Web Service Security Core Language (WSS-Core) merupakan spesifikasi keamanan Web Service yang mendefinisikan mekanisme pengamanan pada level pesan SOAP untuk menjamin message integrity & confidentiality. Standard WS-Security saat ini dikembangkan secara resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-Security dengan
menetapkan
beberapa
spesifikasi
teknis
terpisah,
seperti
Core
Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile. Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.
Disamping 2 organisasi tersebut, ada organisasi lain yang juga aktif mengembangkan standard keamanan Web Service yang disponsori oleh Sun Microsystem yaitu Liberty Alliance Technology Group. Namun pada akhirnya lembaga ini juga mengumumkan untuk memfokuskan diri pada pengembangan spesifikasi WS-Security dan berkerjasama dengan OASIS untuk maksud tersebut. Dengan
demikian,
WS-Security
pengamanan Web Service.
akan
menjadi
standard
de-facto
untuk
Secara umum standard WS-Security (versi orisinal) mendefinisikan suatu spesifikasi mengenai bagaimana mengamankan pesan SOAP secara end-to-end, dengan cara menyertakan (attach) digital signature, enkripsi dan security token pada bagian Header dari pesan SOAP. Spesifikasi WSS-Core versi terbaru menyediakan 3 mekanisme untuk memproteksi pesan dari ancaman terhadap upaya gangguan keamanan pesan SOAP, yaitu (1)Kemampuan untuk mengirim security token sebagai bagian dari pesan SOAP, (2) Message integrity dan (3) Message confidentiality. Namun demikian, mekanisme tersebut tidak memberikan solusi keamanan yang lengkap untuk Web Service. Spesifikasi ini merupakan building block yang digunakan untuk mengakomoda- sikan berbagai variasi model keamanan dan teknologi kemanan.
Dengan kata lain, WS-Security tidak menspesifikasikan suatu mekanisme keamanan baru, tetapi menyediakan fleksibilitas untuk menggunaan teknologi keamanan yang sudah ada (X.509, Karberos, XML Encryption), sehingga dapat mengakomodasi berbagai pendekatan keamanan secara umum. Hal baru yang ditambahkan oleh WS-Security adalah suatu spesifikasi untuk
3. Paket Pemgamanan Web 1. Remote File Inklusi (RFI)
Remote File Inklusi (RFI) adalah jenis kerentanan paling sering ditemukan di situs Web, memungkinkan penyerang untuk menyertakan file jarak jauh yang biasanya melalui sebuah script di server web. Kerentanan terjadi karena penggunaan input yang diberikan pengguna tanpa validasi yang tepat. Hal ini dapat mengakibatkan sesuatu yang minimal keluaran isi file, tetapi tergantung pada
beratnya,
untuk
daftar
beberapa
itu
bisa
mengarah
pada:
* Kode eksekusi pada server web * Kode eksekusi di sisi-klien seperti Javascript yang dapat menyebabkan serangan lain seperti situs cross scripting (XSS). * Denial of Service (DoS) * Pencurian Data / Manipulasi
Dalam PHP penyebab utama adalah karena penggunaan unvalidated variabel eksternal seperti $ _GET, $ _POST, $ _COOKIE dengan fungsi filesystem, yang paling menonjol adalah meliputi dan membutuhkan laporan. Sebagian besar kerentanan dapat dikaitkan dengan programmer pemula tidak akrab dengan semua kemampuan
bahasa
pemrograman
PHP.
Bahasa
PHP
memiliki
direktif
allow_url_fopen dan jika diaktifkan memungkinkan fungsi filesystem untuk menggunakan URL yang memungkinkan mereka untuk mengambil data dari lokasi terpencil. Seorang penyerang akan mengubah variabel yang dilewatkan ke salah satu fungsi-fungsi ini menyebabkan itu untuk memasukkan kode berbahaya dari sumber daya remote. Untuk mengatasi ini, semua input pengguna harus divalidasi sebelum digunakan.
2. Local File Inclusion (LFI)
Metode yang memanfaatkan kelemahan script PHP include(), include_once(), require(), require_once() yang variabel nya tidak dideklarasikan dengan sempurna. Dengan LFI seorang attacker dapat menginclude kan file yang berada di dalam server yang bersangkutan.
3. SQL injection
SQL Injection adalah kode injeksi teknik yang memanfaatkan kelemahan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna tidak benar baik disaring untuk menghindari karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak kuat diketik dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau script yang tertanam di dalam yang lain. serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL.
4. Cross Site Scripting (XSS)
Cross-site scripting (XSS) adalah jenis kerentanan keamanan komputer biasanya ditemukan di aplikasi web yang memungkinkan penyerang berbahaya untuk menyuntik script sisi klien ke dalam halaman web dilihat oleh pengguna lain. Sebuah kerentanan dieksploitasi scripting lintas situs dapat digunakan oleh penyerang untuk mem-bypass akses kontrol seperti kebijakan asal-usul yang sama. Cross-site scripting dilakukan di situs Web adalah sekitar 80% dari semua kerentanan keamanan didokumentasikan oleh Symantec pada 2007. Dampak beragam, mulai dari gangguan kecil dengan risiko keamanan yang signifikan, tergantung pada kepekaan data ditangani oleh situs rentan, dan sifat dari setiap mitigasi keamanan dilaksanakan oleh pemilik situs.
Lubang Cross-site scripting adalah kelemahan aplikasi web yang memungkinkan penyerang
untuk
mem-bypass
mekanisme
klien-sisi
keamanan
biasanya
dikenakan pada konten web oleh browser modern. Dengan mencari cara suntik script jahat ke dalam halaman web, penyerang bisa mendapatkan hak akses diangkat ke konten halaman sensitif, cookie sesi, dan berbagai informasi lainnya yang dikelola oleh browser atas nama pengguna. serangan Cross-site scripting Oleh karena itu kasus khusus injeksi kode.
Ekspresi "cross-site scripting" pada awalnya merujuk pada tindakan loading aplikasi, web diserang pihak ketiga dari sebuah situs serangan yang tidak berhubungan, dengan cara yang mengeksekusi sebuah fragmen JavaScript disusun oleh penyerang dalam konteks keamanan dari domain yang ditargetkan (a dipantulkan atau non-persistent kerentanan XSS). Definisi ini secara bertahap diperluas untuk mencakup modus lain injeksi kode, termasuk vektor persisten dan non-JavaScript (termasuk Jawa, ActiveX, VBScript, Flash, HTML atau bahkan murni), menyebabkan kebingungan untuk pendatang baru dalam bidang keamanan informasi.