Proxy Server

Proxy Server 

Proxy server adalah sebuah komputer server atau program komputer yang dapat bertindak sebagai komputer lainnya untuk melakukan request terhadap content dari Internet atau intranet. Proxy Server bertindak sebagai gateway terhadap dunia ini Internet untuk setiap komputer klien

Simpelnya Proxy Server adalah sebuah Perangkat yang bertindak sebagai penghubung sekaligus pembatas antara Komputer Client dengan Internet. Jadi ketika seorang client mengakses internet, client tidak langsung berhubungan dengan Internet melainkan melalui perantara yaitu Proxy yang bertugas menyampaikan request dari user ke internet maupun sebaliknya. 

  

Cara Kerja Proxy

Proxy Server memberi batas yang jelas antara Jaringan Lokal dengan Jaringan Luar (Internet). Prosesnya dilakukan dengan mengubah alamat IP Jaringan Lokal, membuat pemetaan dari alamat IP jaringan lokal menuju suatu alamat IP Proxy, IP Proxy digunakan untuk berhubungan dengan Jaringan Luar atau Internet.

Sehingga hanya lamat IP Proxy yang diketahui di internet, berfungsi sebagai network address translator.

Secara umum Proxy Server memiliki 3 tugas, antara lain :

• Connection Sharing

•  Filtering

•  Caching

Connection Sharing

Seperti yang sudah tertera diatas, bahwa fungsi proxy menjadi perantara antara Client (Jaringan Lokal) dengan Internet(Jaringan Luar), maka proxy dapat diletakkan pada posisi Gateway dimana beberapa komputer dapat terhubung ke Internet secara bersamaan melalui sebuah Proxy Server.

Filtering

Karena Proxy Server bertindak sebagia pembatas maka Proxy Server dapat melakukan Filter(Penyaringan) atas paket yang berasal dari dan ke Jaringan yang terhubung dengan Proxy Server. Selain melakukan Filter, Proxy Server juga dapat digunakan untuk memblokir akses suatu website tertentu. Tujuan dari kegiatan Proxy Server ini tentunya untuk melindungi Jaringan dari Paket yang dapat merugikan.

Caching

Koneksi yang menggunakan Proxy Server tentu lebih lama prosesnya karena menggunakan perantara. Namun, untuk Koneksi selanjutnya akan lebih cepat dikarenakan Proxy menyimpang paket / data dari tujuan sebelumnya yang disimpan dalam ruang disk yang telah disediakan (cache).

Terdapat beberapa Jenis Proxy Server, antara lain : 

• Transparent Proxy Server 

•  Anonymous Proxy

• Distorting Proxy

• High Anonymity Proxy

Transparent Proxy Server

Client yang menggunakan Proxy Jenis ini dapat langsung menggunakan Layanan Proxy hanya dengan terhubung dengan Proxy, karena Proxy jenis ini memberikan pengaturan Otomatis kepada Clientnya dengan Port Standar WWW Port:80.

Anonymous Proxy

Ketika Client menggunakan Proxy Server Jenis ini maka beberapa identitas dari Client akan disembunyikan oleh Proxy Server hal ini bertujuan untuk mencegah akses komputer client secara ilegal. Namun IP dari si Proxy Server masih terdeteksi. Beberapa identitas Client yang disembunyikan, antara lain : IP Address, Browser yang Digunakan, Sistem Operasi, Beserta Lokasi kita.

Distorting Proxy

Jenis Proxy ini menyembunyikan alamat IP dari Client, mengidentifikasi dirinya sebagai Proxy Server. dapat digunakan untuk semua jenis layanan web. Namun Proxy jenis ini memberitahu Tujuan Client bahwa client menggunakan Proxy Server.

High Anonymity Proxy

Proxy ini merupakan tingkatan yang lebih tinggi dari Anonymous Proxy dari segi fungsi, Bedanya Proxy Jenis ini menyembunyikan alamat IP nya sendiri.

Kelebihan Proxy Server

• Dapat memblok suatu website sekaligus mengakses situs yang diblok

• Lebih lama terlacak atau mungkin tidak terlacak.

• Respon yang lebih cepat (apabila data direquest untuk kedua kalinya, karena Client hanya menghubungi Proxy diawal).

• Adanya Fitur Filtering, baik Filter pengguna, waktu, dan content yang diakses.

Kekurangan Proxy Server

• Bandwith berkurang, ini karena terjadi perpindahan IP.

• Proses request terhadap suatu data untuk pertama kalinya akan lebih lama, karena harus melalui Proxy Server terlebih dahulu.

• Pencurian username dan password bisa saja terjadi.

Read More

SQL INJECTION

SQL INJECTION

Pengertian SQL Injection

1)    SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara      memodifikasi perintah SQL yang ada di memori aplikasi client.

2)    SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya    menggunakan database untuk penyimpanan data.

Sebab terjadinya SQL Injection

1)     Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter  double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.

2)   Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun  suatu form.

Bug SQL Injection berbahaya ?

1)  Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.

2)  Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.

3)     Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.

Apa saja yang diperlukan untuk melakukan SQL Injection ?

1)      Internet Exploler / Browser

2)      PC yang terhubung internet

3)      Program atau software seperti softice

Contoh sintaks SQL Injection

Contoh sintak SQL dalam PHP

1)     $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }

2)      isikan password dengan string ’ or ’’ = ’

3)    hasilnya maka SQL akan seperti ini = “select   * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }

4)      maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL

Gambar contoh SQL Injection

Contoh sintaks SQL Injection

1)      Sintaks SQL string ‘-- setelah nama username

2)      Query database awal :

Berubah menjadi :

Contoh sintaks SQL Injection

SQL Injection melalui URL, contohnya :

Penanganan SQL Injection

1)      Merubah script php

2)      Menggunakan MySQL_escape_string

3)      Pemfilteran karakter ‘ dengan  memodifikasi php.ini

1. Merubah script php

Contoh script php semula :

$query = "select id,name,email,password,type,block from user " .

"where email = '$Email' and password = '$Password'";

$hasil = mySQL_query($query, $id_mySQL);

while($row = mySQL_fetch_row($hasil))

{

$Id = $row[0];

$name = $row[1];

$email = $row[2];

$password = $row[3];

$type = $row[4];

$block = $row[5];

}

if(strcmp($block, 'yes') == 0)

{

echo "<script>alert('Your account has been blocked');

 document.location.href='index.php';</script>\n";

exit();

}

else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));

Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or ’’ = ’ kedalam form email dan password maka akan terbentuk query sebagai berikut :

Maka dilakukan perubahan script menjadi :

$query = "select id,name,email,password,type,block from user".

"where email = '$Email'";

$hasil = mySQL_query($query, $id_mySQL);

while($row = mySQL_fetch_row($hasil))

{

$Id = $row[0];

$name = $row[1];

$email = $row[2];

$password = $row[3];

$type = $row[4];

$block = $row[5];

}

if(strcmp($block, 'yes') == 0)

{

echo "<script>alert('Your account has been blocked');

document.location.href='index.php';</script>\n";

exit();

}

$pass = md5($Password);

else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));

2. Menggunakan MySQL_escape_string

Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion

Contoh :          $kar = “SQL injec’tion”;

                        $filter = mySQL_escape_string($kar);

                        echo”Hasil filter : $filter”;

Hasilnya :

3. Pemfilteran karakter ‘ dengan memodifikasi php.ini

Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php

Contoh :

Contoh script yang membatasi karakter yang bisa masukkan :

function validatepassword( input )
good_password_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"

validatepassword = true
for i = 1 to len( input )

c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function

Implementasi SQL Injection

1)      Masuk ke google atau browse yg lain

2)      Masukkan salah satu keyword berikut

"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}

3)      Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name danpassword).

4)      Masukkan kode berikut :

User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)

5)      Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.

6)      Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.

7)      Banyak variasi kode yang mungkin, antara lain :

User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :

‘ or 0=0 --  ;  “ or 0=0 -- ;  or 0=0 -- ;  ‘ or 0=0 # ;

 “ or 0=0 # ;  ‘ or’x’=’x ;  “ or “x”=”x  ;  ‘) or (‘x’=’x

8)      Cobalah sampai berhasil hingga anda bisa   masuk ke admin panel

Cara pencegahan SQL INJECTION

1)      Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.

2)      Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).

3)      Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.

4)      Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.

5)      Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.

Read More

Kebijakan Pengguna Jaringan

Kebijakan Pengguna Jaringan

1. Kebijakan Organisasi
            Kebijakan Organisasi, Instansi atau lembaga dalam ruang lingkup keamanan jaringan untuk akses pada sistem jaringan di tempat tersebut
Contoh Kebijakan Organisasi :
·         Tata kelola sistem komputer
·         Pengaturan kerapian pengkabelan
·         Pengaturan akses wi-fi
·         Manajemen data organisasi
·         Sinkronisasi antar sub-organ
·         Manajemen Sumber Daya
·         Maintenance &amp; Checking berkala

2.   Etika menggunakan Jaringan computer
·         Memahami Akses Pengguna
·         Memahami kualitas daya Organisasi
·         Pengaturan penempatan sub-organ

3.   Kebijakan mengakses komputer
·         Manajemen pengguna
·         Manajemen sistem komputer
·         Manajemen waktu akses


  Kemungkinan Ancaman dan Serangan Terhadap Keamanan Jaringan

1.   Serangan fisik terhadap keamanan jaringan

  a. Terjadi gangguan pada Kabel
  b. Kerusakan Harddisk
  c. Konsleting
  d. Data tak tersalur dengan baik
  e. Koneksi tak terdeteksi
  f. Akses bukan pengguna

2.   Serangan logik terhadap keamanan jaringan

  a. SQL Injection adalah Hacking pada sistem komputer dengan mendapat akses Basis Data

      pada Sistem.

  b. DoS (Denial of Service) adalah Serangan pada Sistem dengan mengabiskan Resource \

      pada Sistem.

  c. Request Flooding adalah Serangan dengan membanjiri banyak Request pada Sistem yang

      dilayani Host sehingga Request banyak dari pengguna tak terdaftar dilayani oleh

      layanan tersebut.

  d. Deface adalah adalah Serangan pada perubahan tampilan.

  f.  Social Engineering adalah Serangan pada sisi sosial dengan memanfaatkan kepercayaan

      pengguna. Hal ini seperti fake login hingga memanfaatkan kelemahan pengguna dalam

      social media.

  g. Malicious Code adalah Serangan dengan menggunakan kode berbahaya dengan

      menyisipkan virus, worm atau Trojan Horse.

  h. Packet Sniffer adalah Serangan Menangkap paket yang lewat dalam sebuah Jaringan.

Read More