Daftar Isi:
Video: Cara Mengamankan WIFI IndiHome dan Speedy Rumah dari Pembobol 2024
Menjaga aplikasi web Anda aman memerlukan kewaspadaan terus menerus dalam upaya hacking etis Anda dan pada pihak pengembang dan vendor web Anda. Ikuti hacks, alat pengujian, dan teknik terbaru dan biarkan pengembang dan vendor Anda mengetahui bahwa keamanan perlu menjadi prioritas utama organisasi Anda.
Anda bisa mendapatkan pengalaman langsung dalam pengujian dan peretasan aplikasi web dengan menggunakan sumber daya berikut:
-
OWASP webGoat Project
-
Foundstone's Hacme Tools
Praktik keamanan oleh ketidakjelasan
Bentuk keamanan berikut ini sebagai ketidakjelasan - menyembunyikan sesuatu dari pandangan yang jelas menggunakan metode sepele - dapat membantu mencegah serangan otomatis dari worm atau skrip yang diberi kode keras untuk menyerang jenis skrip tertentu atau port HTTP default:
-
Untuk melindungi aplikasi web dan database terkait, gunakan mesin yang berbeda untuk menjalankan setiap server web, aplikasi, dan server database..
Sistem operasi pada mesin individual ini harus diuji keamanannya dan dikeraskan berdasarkan praktik terbaik.
-
Gunakan fitur keamanan server web built-in untuk menangani kontrol akses dan isolasi proses, seperti fitur isolasi-aplikasi di IIS. Praktik ini membantu memastikan bahwa jika satu aplikasi web diserang, aplikasi ini tidak perlu dimasukkan ke aplikasi lain yang berjalan pada server yang sama berisiko.
-
Gunakan alat untuk mengaburkan identitas server web Anda - yang pada dasarnya menganonimkan server Anda. Contohnya adalah Port 80 Software's ServerMask.
-
Jika Anda khawatir tentang serangan spesifik platform yang dilakukan terhadap aplikasi web Anda, Anda dapat mengelabui penyerang untuk berpikir bahwa server web atau sistem operasi adalah sesuatu yang sama sekali berbeda. Berikut adalah beberapa contohnya:
-
Jika Anda menjalankan server dan aplikasi Microsoft IIS, Anda dapat mengganti nama semua skrip ASP Anda untuk dimiliki. ekstensi cgi
-
Jika Anda menjalankan server web Linux, gunakan program seperti IP Personality untuk mengubah sidik jari OS sehingga sistem terlihat seperti menjalankan sesuatu yang lain.
-
-
Ubah aplikasi web Anda agar berjalan di port yang tidak standar. Ubah dari port HTTP default 80 atau port HTTPS 443 ke nomor port yang tinggi, seperti 8877, dan, jika mungkin, atur server agar berjalan sebagai pengguna yang tidak berpengalaman - yaitu, sesuatu selain sistem, administrator, root, dan sebagainya. di.
Tidak pernah pernah mengandalkan ketidakjelasan saja; itu tidak mudah. Penyerang yang berdedikasi mungkin menentukan bahwa sistem tidak sesuai dengan klaimnya.Meski begitu, meski dengan para penentang, bisa lebih baik daripada tidak sama sekali.
Memasang firewall
Pertimbangkan untuk menggunakan kontrol tambahan untuk melindungi sistem web Anda, termasuk yang berikut ini:
-
Firewall berbasis jaringan atau IPS yang dapat mendeteksi dan memblokir serangan terhadap aplikasi web. Ini termasuk firewall komersial dan IPS Generasi Berikutnya yang tersedia dari perusahaan seperti SonicWall, Check Point, dan Sourcefire.
-
Aplikasi web berbasis host IPS, seperti SecureIIS atau ServerDefender.
Program ini dapat mendeteksi aplikasi web dan serangan basis data tertentu secara real time dan memotongnya sebelum mereka memiliki kesempatan untuk melakukan kerusakan.
Analisis kode sumber
Pengembangan perangkat lunak adalah tempat lubang keamanan dimulai dan seharusnya berakhir tapi jarang. Jika Anda merasa yakin dengan usaha hacking etis Anda sampai saat ini, Anda dapat menggali lebih dalam untuk menemukan kelemahan keamanan dalam kode sumber Anda - hal-hal yang mungkin tidak akan pernah ditemukan oleh pemindai tradisional dan teknik hacking tapi itu masalah. Jangan takut!
Ini sebenarnya jauh lebih sederhana daripada kedengarannya. Tidak, Anda tidak perlu melewati baris kode demi baris untuk melihat apa yang terjadi. Anda bahkan tidak memerlukan pengalaman pengembangan (meski memang membantu).
Untuk melakukan ini, Anda dapat menggunakan alat analisis kode sumber statis, seperti yang ditawarkan oleh Veracode dan Checkmarx. Checkmarx's CxSuite (lebih khusus lagi CxDeveloper) adalah alat mandiri yang harganya terjangkau dan sangat komprehensif dalam pengujian aplikasi web dan aplikasi seluler.
Dengan CxDeveloper, Anda cukup memuat Enterprise Client, masuk ke aplikasi (kredensial default adalah admin @ cx / admin), jalankan Create Scan Wizard untuk mengarahkannya ke kode sumber dan pilih kebijakan pindaian Anda, klik Next, klik Jalankan, dan Anda tidak aktif dan berjalan.
Saat pemindaian selesai, Anda dapat meninjau temuan dan solusi yang disarankan.
CxDeveloper cukup banyak yang Anda butuhkan untuk menganalisis dan melaporkan kerentanan di kode sumber C #, Java, dan mobile Anda yang digabungkan menjadi satu paket sederhana. Checkmarx, seperti Veracode, juga menawarkan layanan analisis kode sumber berbasis cloud. Jika Anda bisa mengatasi rintangan yang terkait dengan mengunggah kode sumber Anda ke pihak ketiga, ini dapat menawarkan opsi yang lebih efisien dan sebagian besar bebas tangan untuk analisis kode sumber.
Analisis kode sumber sering menemukan kekurangan yang berbeda dari pengujian keamanan web biasa. Jika Anda menginginkan tingkat pengujian yang paling komprehensif, lakukan keduanya. Tingkat tambahan pemeriksaan yang ditawarkan oleh analisis sumber menjadi semakin penting dengan aplikasi seluler. Aplikasi ini sering penuh dengan lubang keamanan yang belum banyak pengembang perangkat lunak baru di sekolah.
Intinya dengan keamanan web adalah bahwa jika Anda dapat menunjukkan analis pengembang dan analis jaminan kualitas Anda bahwa keamanan dimulai dari mereka, Anda benar-benar dapat membuat perbedaan dalam keamanan informasi keseluruhan organisasi Anda.
