Chapter 13 Web Service dan Web Socket Kemanan
Chapter 13 Web Service dan Web Socket Kemanan Web Muhammad Nur Faiz Aditya Wijayanto
Web Service • Web service adalah satu komponen aplikasi • Web service dapat berkomunikasi dengan menggunakan open protocols • Web service bersifat self-contained dan self-describing • Web service dapat digunakan oleh aplikasi lain • XML merupakan basis dari Web service
Web Service (2) • Web service adalah suatu sistem perangkat lunak yang dirancang untuk mendukung interoperabilitas dan interaksi antar sistem pada suatu jaringan • Web service merupakan cara berkomunikasi antar komputer melalui World Wide Web yg tersusun dari kumpulan fungsi aplikasi pada alamat jaringan web atau cloud, dan setiap service(layanan) yng di-share bersifat "always on”
Mengapa Web Service? • Web service dapat digunakan untuk transformasi beberapa bisnis logic atau class dan objek yang terpisah, sehingga tingkat keamanan dapat ditangani dengan baik. • Web service memiliki kemudahan dalam proses deploymentnya (Deployment : semua aktivitas yang saling berkaitan dengan perubahan yang mungkin diantara mereka), karena tidak memerlukan registrasi khusus ke dalam suatu sistem operasi. • Web service berjalan di port 80 sehinggal simple (Default)
Arsitektur Web Service • Web service memiliki tiga entitas dalam arsitekturnya, yaitu: 1. Service Requester (peminta layanan) 2. Service Provider (penyedia layanan) 3. Service Registry (daftar layanan)
Arsitektur Web Service (2) • Service Provider: Berfungsi untuk menyediakan layanan/service dan mengolah sebuah registry agar layanan tersebut dapat tersedia. • Service Registry: Berfungsi sebagai lokasi central yang mendeskripsikan semua layanan/service yang telah di-register. • Service Requestor: Peminta layanan yang mencari dan menemukan layanan yang dibutuhkan serta menggunakan layanan tersebut.
Operasi-Operasi Web Service • Publish/Unpublish: Menerbitkan/menghapus layanan ke dalam atau dari registry. • Find: Service requestor mencari dan menemukan layanan yang dibutuhkan. • Bind: Service requestor setelah menemukan layanan yang dicarinya, kemudian melakukan binding ke service provider untuk melakukan interaksi dan mengakses layanan/service yang disediakan oleh service provider.
Komponen-komponen Web Service • SOAP (Simple Object Access Protocol) • UDDI (Universal Description, Discovery and Integration) • WSDL (Web Services Description Language)
Implementasi Web Service • • Java: JWSDP, Axis 2, Apache CXF, dll PHP: SOAP extensions, Nu. SOAP (3 rd party) C++: Axis 2 Microsoft: dot Net Web Service
Web Socket • Web Socket adalah standar baru untuk komunikasi realtime pada Web dan aplikasi mobile. • Aplikasi client atau server • Pada bulan Juni 2008, Nama Web. Socket diciptakan oleh Ian Hickson dan Michael Carter
Proses Web Socket
Aplikasi Web Socket • Aplikasi dengan banyak pengguna atau Multi-User Apps • Aplikasi langsung atau Realtime Apps • Aplikasi dimana data live sangat dibutuhkan, seperti pasar saham, atau kurs.
Keamanan Web • Keamanan suatu website atau web security systemsmerupakan salah satu prioritas yang sangat utama bagi seorang webmaster. • Jika seorang webmaster mengabaikan keamanan suatu website, maka seorang hacker dapat mengambil data-data penting pada suatu website dan bahkan pula dapat mengacak tampilan website(deface) tersebut
OWASP Top Ten 2017 1. Injection 2. Broken Authenfication 3. Sensitive Data Exposure 4. XML External Entities 5. Broken Access Control 6. Security Misconfiguration 7. Cross-Site-Scripting (XSS) 8. Insecure Deserialization 9. Using Components with Known Vulnerabilities 10. Insufficient Logging & Monitoring Sumber : https: //owasp. org
SQL injection • SQL injection adalah teknik yang memanfaatkan kesalahan penulisan query SQL pada suatu website sehingga seorang hacker bisa menginsert beberapa SQL statement ke ‘query’ dengan cara memanipulasi data input ke aplikasi tersebut. • EX: Situs Direktorat Jenderal Administrasi Hukum Umum, Departemen Hukum dan HAMyang dihack (9/11/2008)
Cross Site Scripting (XSS) • XSS dikenal juga dengan CSS adalah singkatan dari Cross Site Scripting. XSS adalah suatu metode memasukan code atau script HTML kedalam suatu website yang dijalankan melalui browser di client. • EX: Situs Badan Perpustakaan Jawa Timur yang terkena aksi hacking (5/11/2008)
Pengetahuan • Indonesia menempati peringkat ke-22 sebagai negara yang paling sering melakukan serangan siber di tahun 2013, menurut riset yang dilakukan perusahaan keamanan komputer Symantec.
Peristiwa Hack • Situs web resmi milik Komisi Pemilihan Umum Kota Yogyakarta diretas pada Jumat (10/2/2017) pagi, menjelang pemungutan suara Pemilihan Kepala Daerah Kota Yogyakarta. • Pada hari Sabtu, 17 April 2004, Dani Firmansyah (25 th), konsultan Teknologi Informasi (TI) PT. Danareksa di Jakarta berhasil membobol situs milik Komisi Pemilihan Umum (KPU) di http: //tnp. kpu. go. id dan mengubah nama-nama partai didalamnya menjadi nama unik seperti Partai Kolor Ijo, Partai Mbah Jambon, Partai jambu, dan lain sebagainya. Dani Menggunakan teknik SQL Injection (pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau perintah tertentu di addres bar browser) untuk menjebol situs KPU.
List Situs Hacker Indonesia • • • • www. jasakom. com www. binushacker. net www. echo. or. id www. kecoak. org www. devilzc 0 de. org www. spyrozone. net www. yogyacarderlink. web. id www. nyit-nyit. net www. indonesianhacker. or. id www. muslimhacker. net www. sekuritionline. net www. exploit-id. com www. surabayahackerlink. org www. xcode. or. id www. hacker-newbie. org
- Slides: 19