.gif "Solusi Pembayaran Tagihan dan Transaksi Online - BebasBayar")
Vulnerabilities atau kelemahan keamanan pada aplikasi berbasis web menggunakan PHP merupakan hal yang tak habis-habisnya dibahas. Tulisan kali ini berisi tip dan trik membuat aplikasi PHP yang aman.
* Perhatikan Register Global selalu dalam kondisi OFF.
Sebenarnya tidaklah selalu benar bahwa jika register global berkondisi on lantas aplikasi PHP yang dibuat tidak aman. Ini semua bergantung kepada bagaimana seorang programmer membuat script-nya.
Berikut contoh kelemahan keamanan yang disebabkan oleh kesalahan dalam penulisan script yang mengakibatkan penyerang dapat dengan mudah memanfaatkan register global berkondisi on.
Sekilas kode script diatas adalah kode yang aman, tetapi sebenarnya sama sekali tidak dengan kondisi register global on. Mengapa? Halaman Admin bisa diakses oleh siapa pun tanpa proses authentifikasi melalui alamat http://localhost/login.php?oke=true.
Bagaimana memperbaiki script diatas? Anda cukup menambahkan inisialisasi diawal seperti berikut:
atau
Contoh script diatas adalah salah satu dari kelemahan keamanan yang disebabkan oleh register global berkondisi on. Di sisi lain, programmer juga harus turut menanggung dosa akibat teknik programmingnya yang membuka kesempatan penyerang untuk mengeksploitasi kelemahan keamanan.
Teknik lain untuk mengamankan aplikasi dari ancaman register global berkondisi on adalah menerapkan apa yang disebut Security Throuh Obscurity (keamanan dengan teknik penyembunyian). Hanya saja, kelemahan keamanan akan segera ditemukan jika aplikasi dibuat menjadi aplikasi opensource, dimana calon penyerang dapat melihat sourcecode-nya secara langsung.
Jadi memang tidak benar 100% kalau kelemahan keamanan aplikasi PHP bermula dari register global berkondisi on. Ekploitasi kelemahan keamanan sistem hanya terjadi akibat kesalahan teknik dalam pembuatan program, dan karena aplikasi dibuat menjadi opensource yang memungkinkan calon penyerang melihat sourcecode nya secara langsung.
* Perhatikan Register Global selalu dalam kondisi OFF.
Sebenarnya tidaklah selalu benar bahwa jika register global berkondisi on lantas aplikasi PHP yang dibuat tidak aman. Ini semua bergantung kepada bagaimana seorang programmer membuat script-nya.
Berikut contoh kelemahan keamanan yang disebabkan oleh kesalahan dalam penulisan script yang mengakibatkan penyerang dapat dengan mudah memanfaatkan register global berkondisi on.
<?php
// lokasi script: http://localhost/login.php
// script login yang dipanggil dari sebuah form untuk masuk kedalam halaman Admin
// set variable $oke manjadi true jika autentifikasi sukses
if (authentifikasi($_POST['user'],$_POST['password']) {
$oke=true;
}
if ($oke) {
// masuk ke halaman admin
}
?>
// lokasi script: http://localhost/login.php
// script login yang dipanggil dari sebuah form untuk masuk kedalam halaman Admin
// set variable $oke manjadi true jika autentifikasi sukses
if (authentifikasi($_POST['user'],$_POST['password']) {
$oke=true;
}
if ($oke) {
// masuk ke halaman admin
}
?>
Sekilas kode script diatas adalah kode yang aman, tetapi sebenarnya sama sekali tidak dengan kondisi register global on. Mengapa? Halaman Admin bisa diakses oleh siapa pun tanpa proses authentifikasi melalui alamat http://localhost/login.php?oke=true.
Bagaimana memperbaiki script diatas? Anda cukup menambahkan inisialisasi diawal seperti berikut:
<?php num=5
// Inisialisasi variable $oke
$oke=false;
if (authentifikasi($_POST['user'],$_POST['password']) {
$oke=true;
}
?>
// Inisialisasi variable $oke
$oke=false;
if (authentifikasi($_POST['user'],$_POST['password']) {
$oke=true;
}
?>
atau
<?php num=5
if (authentifikasi($_POST['user'],$_POST['password']) {
$oke=true;
} else { // jika authentifikasi gagal, set variable $oke menjadi false
$oke=false;
}
?>
if (authentifikasi($_POST['user'],$_POST['password']) {
$oke=true;
} else { // jika authentifikasi gagal, set variable $oke menjadi false
$oke=false;
}
?>
Contoh script diatas adalah salah satu dari kelemahan keamanan yang disebabkan oleh register global berkondisi on. Di sisi lain, programmer juga harus turut menanggung dosa akibat teknik programmingnya yang membuka kesempatan penyerang untuk mengeksploitasi kelemahan keamanan.
Teknik lain untuk mengamankan aplikasi dari ancaman register global berkondisi on adalah menerapkan apa yang disebut Security Throuh Obscurity (keamanan dengan teknik penyembunyian). Hanya saja, kelemahan keamanan akan segera ditemukan jika aplikasi dibuat menjadi aplikasi opensource, dimana calon penyerang dapat melihat sourcecode-nya secara langsung.
Jadi memang tidak benar 100% kalau kelemahan keamanan aplikasi PHP bermula dari register global berkondisi on. Ekploitasi kelemahan keamanan sistem hanya terjadi akibat kesalahan teknik dalam pembuatan program, dan karena aplikasi dibuat menjadi opensource yang memungkinkan calon penyerang melihat sourcecode nya secara langsung.
...:::Semoga Bermanfaat:::...
.jpg "Solusi Pembayaran Tagihan dan Transaksi Online - BebasBayar")
4 komentar:
thank gan tutorialnya
main balik ya ke blog ane, disana ada tutorial keamanan php juga yang membahas crsf
ini linknya
http://djaksu.blogspot.com/2013/05/mencegah-csrf-pada-php.html
Terimakasih, artikelnya sangat bermanfaat .. lumayan buat referensi neh ..
Sekalian ijin share gan ...
Bagi kalian mahasiswa Teknik Informatika yang membutuhkan Source Code Contoh Program Visual Basic kalian dapat membelinya di www.SkripVb.com dengan harga yang sangat terjangkau, programnya lengkap dengan database dan contoh datanya sehingga kalian tinggal menggunakannya saja dan diterapkan pada makalah yang sedang kalian tulis. Source Code programnya juga dapat kalian modifikasi lagi dan kalian dapat mengembangkannya lagi sesuai dengan makalah yang sedang kalian tulis.
Untuk lebih jelasnya silahkan kunjungi www.SkripVb.com
Apa yang Anda cari kami adalah solusinya.
Terimakasih, artikelnya sangat bermanfaat ..
sekalian ijin share gan ..
Kami menawarkan Jasa Pembuatan Program (Source Code) jurusan Teknik Informatika, Sistem Informasi dan Manajemen Informatika dengan harga terjangkau. Programnya lengkap dengan database dan contoh datanya, sehingga kalian tinggal menggunakannya saja dan diterapkan pada makalah yang sedang kalian tulis. Source Code programnya juga dapat kalian modifikasi lagi dan kalian dapat mengembangkannya lagi sesuai dengan makalah yang sedang kalian tulis.
Untuk lebih jelasnya silahkan kunjungi www.SkripVb.com
Apa yang Anda cari kami adalah solusinya.
Post a Comment