Aplikasi Penetrasi Pengujian Web – Tindakan Keamanan – Penilaian Keamanan

By | May 29, 2020

1. Perkenalan

Apa itu aplikasi web? Mengapa aplikasi web adalah target pertama bagi peretas? Mengapa kerentanan terjadi di aplikasi web? Bagaimana kita bisa membuat aplikasi web sebagai portal penyembuhan. Seperti yang saya pahami, aplikasi web adalah portal yang tersedia di internet untuk masyarakat umum yang dapat dengan mudah memanfaatkannya secara positif untuk tujuan berbeda atau karena alasan aplikasi web itu ada. Anda harus sadar, aplikasi web adalah sasaran empuk bagi peretas untuk mendapatkan akses karena itu tersedia untuk umum, dan peretas hanya perlu tahu nama organisasi yang ingin diretas. Kerentanan adalah kelemahan atau kurangnya kontrol yang ada dalam aplikasi. Kerentanan dapat disebabkan oleh pemrograman yang tidak aman dalam aplikasi web, kurangnya tempat kontrol akses atau dikonfigurasi, kehilangan konfigurasi aplikasi dan server atau karena alasan lain,

Ada banyak cara untuk mengeraskan aplikasi web Anda atau server web Anda, kami akan membahas ini sebentar lagi. Mari kita lihat apa saja persyaratan utama yang membuat live aplikasi web?

Sebuah. Server Web

b. Konten aplikasi ditampilkan

c. Dan atau basis data

Ini adalah komponen kunci dari aplikasi web apa pun.

Server web adalah layanan yang berjalan di komputer dan melayani konten web / konten aplikasi. Server ini biasanya mendengarkan pada port 80 (http) atau pada port 443 (https). Ada banyak server web yang tersedia secara bebas atau komersial termasuk kontributor teratas

Sebuah. IIS oleh Microsoft

b. Apache oleh komunitas sumber terbuka

c. Tomcat dll

Konten aplikasi adalah apa yang Anda lihat di situs web, bisa dinamis atau statis, konten dinamis yang mengandung aplikasi web lebih berisiko dibandingkan dengan konten statis yang berisi aplikasi web. Konten dinamis yang berisi aplikasi web menggunakan database untuk menyimpan konten yang berubah. Basis data ini dapat menjadi salah satu dari jenis berikut ini.

Sebuah. Server MySql

b. SQL Sever

c. Oracle Server

d. MS Access atau yang lainnya

Kami telah membahas banyak tentang arsitektur aplikasi web sekarang saya akan menunjukkan kepada Anda bagaimana melakukan penetrasi pada technicaltalk web (apa yang kami katakan sebagai Pen-test).

2. Pengumpulan Informasi

Uji coba apa pun tidak dapat dilakukan tanpa melakukan tahap pengumpulan informasi. Ini adalah fase yang merupakan jantung dari tes pena, ada banyak cara untuk melakukan pengumpulan informasi mari kita bahas di sini.

Sebuah. Peretasan dengan mesin pencari.

Saya tidak akan mencantumkan mesin pencari tertentu yang dapat digunakan dalam tahap pengumpulan informasi, ada banyak mesin pencari yang lebih penuh kekuatan dari mana informasi rahasia / rahasia dapat dikumpulkan. Ada teknik yang dapat Anda gunakan untuk mengumpulkan informasi tentang target.

b. Sebagai contoh

Anda dapat menggunakan ‘inurl:’ di mesin pencari untuk mengetahui apa saja peta situs lengkap portal web, Anda juga dapat menggunakan intitle: admin untuk mendapatkan akses ke panel admin portal web, Anda dapat menggunakan inurl: Admin filetype: asp atau aspx untuk mencari halaman login admin atau hanya Anda dapat mengunci halaman login untuk portal apa pun.

c. Anda juga dapat mencari alamat email staf teknis, alamat email menunjukkan id pengguna untuk orang tertentu

d. Anda juga dapat menggunakan arsip untuk mengumpulkan lebih banyak informasi. Ini adalah daftar singkat tekniknya, untuk menjelaskan lebih lanjut saya akan menulis buku

3. Serangan

Di sini saya akan menjelaskan kepada Anda apa saja serangan utama yang digunakan peretas pada aplikasi web atau serangan yang berbahaya untuk aplikasi web. Kami hanya akan membahas kerentanan dan serangan tingkat aplikasi.

Sebuah. Kehilangan konfigurasi? Jika Anda adalah orang teknis yang prioritas Anda akan ketersediaan server Anda, Anda harus diminta oleh manajemen senior Anda untuk 100% waktu server Anda, ini adalah titik di mana staf teknis meninggalkan lubang keamanan dalam konfigurasi hanya untuk membuatnya hidup atau untuk memberikan 100% waktu sesuai petunjuk. Konfigurasi yang salah ini dapat menyebabkan kompromi dari server yang lengkap.

Contoh: kata sandi default, pengaturan default untuk server, kata sandi yang lebih lemah.

b. Injeksi SQL? Serangan dengan peringkat sangat tinggi yang dapat menyebabkan kompromi server web lengkap atau akses tingkat administratif lengkap ke peretas. SQL adalah bahasa query yang digunakan programmer untuk meng-query konten dari database dalam aplikasi web dinamis. Sering kali programmer yang kurang berpengalaman meninggalkan bug dalam aplikasi yang jika penyerang ditemukan bisa sangat berbahaya. Serangan injeksi SQL terjadi karena kelemahan dalam validasi input, pemrograman tidak aman atau karena arsitektur aplikasi web tidak aman. Injeksi SQL dapat digunakan untuk melewati login, mendapatkan akses tingkat admin, bisa sangat berbahaya jika peretas mendapatkan akses ke login admin. Serangan SQL Injection ‘UNION’ biasanya digunakan dalam pengujian penetrasi aplikasi web dinamis. Ada lebih banyak hal yang dapat ditulis pada injeksi sql, saya pikir info ini lebih dari cukup pada tahap ini.

c. CSS / XSS (Cross site scripting)
XSS / CSS adalah kerentanan sisi klien yang dapat digunakan dalam serangan phishing. Banyak peretas menggunakan XSS untuk mendapatkan informasi rahasia yang dapat berupa nomor kartu kredit, kata sandi masuk, informasi pribadi dan banyak lagi. Ketika XSS berjalan pada peramban peramban klien gunakan untuk menyisipkan skrip untuk mengumpulkan informasi dari pengguna. Jika XSS digunakan dalam serangan phishing, ini bisa dinilai kerentanannya.

4. Be Cure

Untuk menyembuhkan penilaian lengkap aplikasi web harus dilakukan untuk menguji aplikasi dan membuatnya bebas bug, pengujian terus menerus harus dipertahankan. Validasi input harus diterapkan. Konfigurasi default harus dihapus atau diubah, konektivitas basis data yang aman harus dipertahankan dan dalam daftar direktori terakhir pada setiap direktori harus dimatikan, izin file harus ditinjau, hak akses perlu dipertahankan.

5. Ringkasan

Ini adalah artikel singkat untuk mengembangkan kesadaran tentang keamanan aplikasi web, apa lubang yang dapat digunakan oleh peretas untuk melakukan pelanggaran keamanan. Hari-hari ini ada perang pada keberlangsungan aplikasi web. Apakah obatnya berumur panjang?

Leave a Reply

Your email address will not be published. Required fields are marked *