Ancaman Di Balik Banyaknya Fungsi Dan Fitur QR Code Scanner

Ancaman Di Balik Banyaknya Fungsi Dan Fitur QR Code Scanner

Mengapa aplikasi web aman Mengamankan aplikasi web perusahaan adalah aspek keamanan perusahaan yang paling diabaikan saat ini. Peretasan meningkat karena hingga 75% serangan dunia maya dilakukan di seluruh web dan melalui aplikasi web.

Sebagian besar perusahaan telah mengamankan data mereka di tingkat jaringan, tetapi mengabaikan langkah kritis untuk memeriksa apakah aplikasi web mereka rentan terhadap serangan.

Aplikasi web menimbulkan masalah keamanan tertentu. 1. Untuk memberikan layanan (dimaksudkan dengan desain) kepada pelanggan, aplikasi web harus online dan tersedia 24 jam sehari, 7 hari seminggu 2. Ini berarti bahwa mereka selalu tersedia untuk umum dan tidak dapat membedakan antara pengguna yang sah dan peretas 3 Agar aplikasi dapat bekerja, Web harus memiliki koneksi langsung untuk mengakses database back-end yang berisi informasi sensitif. 4. Sebagian besar aplikasi web dibuat sesuai pesanan dan jarang melewati pemeriksaan jaminan kualitas yang ketat untuk aplikasi siap pakai 5. Dengan sedikit kesadaran akan sifat serangan peretasan, organisasi melihat lapisan aplikasi web sebagai bagian dari lapisan jaringan ketika datang ke masalah keamanan.

Kisah Jeffrey Rubin Dalam ulasan tahun 2005 yang diterbitkan oleh Information Week, seorang pakar keamanan terkemuka bernama Jeffrey Rubin menceritakan pengalamannya dengan serangan peretasan yang sukses. Berikut kutipan dari artikelnya (referensi lengkap ada di akhir artikel ini):

“Kami seperti kebanyakan pengembang web yang menggunakan platform Microsoft… Meskipun kami mencoba untuk mengikuti patch dan paket layanan terbaru, kami tahu bahwa penyerang sering mengejar kerentanan aplikasi, daripada jaringan. Seorang rekan menyarankan agar kami memasang perangkat keras firewall untuk mencegah serangan Bukan proposisi yang buruk, tapi itu bukan obat-semua karena kami memiliki port 21, 80, 443 dan server SQL kami (pada port non-standar) terbuka lebar untuk tujuan pengembangan. bisnis pengembangan halaman web dinamis, dan klien kami ada di seluruh dunia, di seluruh negeri.”

Kisah Jeff luar biasa hanya karena (a) pengembang, seperti mereka semua, juga rawan kesalahan terlepas dari semua tindakan pencegahan yang mereka ambil untuk membersihkan aplikasi yang mereka kembangkan dan (b) sebagai seorang ahli, ia masih menikmati rasa aman yang palsu oleh menerapkan patch dan paket layanan terbaru. Kisah Jeff, sayangnya, tidak unik dan muncul dari kesalahpahaman tentang infrastruktur keamanan organisasi dan solusi yang tersedia untuk membantu orang-orang dalam perjuangan mereka untuk melindungi data mereka.

Karena banyak organisasi tidak memantau aktivitas online di tingkat aplikasi web, peretas bebas untuk mengontrol dan bahkan dengan lubang terkecil dalam kode aplikasi web perusahaan, peretas berpengalaman mana pun dapat meretasnya dengan peramban web dan dengan kreativitas dan tekad yang tinggi. Keamanan yang kendur juga berarti bahwa upaya serangan tidak diperhatikan karena perusahaan hanya bereaksi terhadap peretasan yang berhasil. Artinya, perusahaan akan memperbaiki keadaan setelah kerusakan terjadi. Akhirnya, sebagian besar serangan peretasan ditemukan beberapa bulan setelah peretasan awal hanya karena penyerang tidak mau dan tidak akan meninggalkan jejak audit.

Administrator sistem, eksekutif senior, dan pebisnis sama-sama membayangkan intrusi dunia maya sebagai intrusi fisik standar: pencuri meninggalkan tanda di rumah Anda, misalnya, jendela pecah atau kunci paksa. Dalam serangan aplikasi web, bukti fisik ini tidak ada.

Infrastruktur keamanan organisasi Lebih mudah untuk memikirkan infrastruktur perusahaan sebagai arsitektur dengan lapisan yang berbeda. Dengan cara yang sama seperti Anda melindungi dari karat dengan menerapkan berbagai cat, bahan kimia, dan antioksidan berlapis-lapis, administrator sistem mengembangkan beberapa solusi keamanan khusus, masing-masing menangani area masalah tertentu.

Lapisan keamanan ini mewakili pandangan komprehensif yang memandang keamanan sebagai tindakan ketat yang diambil untuk mengurangi risiko penyusupan dan meningkatkan perlindungan di sekitar aset utama organisasi, datanya.

Lapisan standar keamanan meliputi:

  • Lapisan pengguna yang berisi perangkat lunak termasuk firewall pribadi, suite anti-root, pembersih registri, cadangan, antivirus, anti-phishing, dan anti-spyware/adware
  • Lapisan transport termasuk enkripsi SSL, HTTPS dan protokol serupa
  • Lapisan akses dengan kontrol akses, otentikasi, pencitraan dingin, firewall, VPN, dan firewall aplikasi web
  • Lapisan jaringan dengan firewall, pemindai jaringan, VPN, dan deteksi intrusi.

Lapisan kelima adalah lapisan aplikasi dan harus mencakup Siote Web dan Pemindaian Kerentanan Web. Analisis kode sumber cocok di sini
Pemindai kerentanan web bukan pemindai jaringan Pemindai kerentanan web (seperti Acunetix WVS dan Spi Dynamics WebInspect) bukanlah pemindai jaringan (seperti Qualys dan Nessus).

Sementara pemindai keamanan jaringan menganalisis keamanan aset di jaringan untuk mengetahui potensi kerentanan, Pemindai Kerentanan Web (WVS) memindai dan menganalisis aplikasi web (misalnya, keranjang belanja, formulir, halaman login, dan konten dinamis) untuk setiap kerentanan yang disebabkan oleh pengkodean yang Tidak Pantas yang dapat dimanipulasi oleh hacker.

Misalnya, mungkin untuk mengelabui formulir login agar percaya bahwa Anda memiliki hak administratif dengan memasukkan perintah SQL yang dirancang khusus (bahasa yang dipahami database). Ini hanya mungkin jika input (misalnya bidang nama pengguna dan/atau kata sandi) tidak dibersihkan dengan benar (yaitu dibuat kebal) dan dikirim langsung dengan kueri SQL ke database. Ini adalah injeksi SQL!

Pertahanan Keamanan Jaringan tidak memberikan perlindungan apa pun terhadap serangan aplikasi web ini karena serangan ini diluncurkan pada port 80 (default untuk situs web) yang harus tetap terbuka untuk memungkinkan operasi reguler bisnis.

Yang kita butuhkan adalah pemindai aplikasi web / pemindai kerentanan web atau alat pengujian kotak hitam.

tes kotak hitam Pengujian kotak hitam hanyalah metodologi desain pengujian. Dalam pengujian kotak hitam aplikasi web, aplikasi web itu sendiri secara keseluruhan diperlakukan tanpa menganalisis logika dan struktur internal. Pemindai aplikasi web biasanya melihat apakah aplikasi web secara keseluruhan dapat dimanipulasi untuk mengakses database. Teknologi modern memungkinkan otomatisasi tingkat besar, pada kenyataannya, mengurangi input manual yang diperlukan dalam menguji aplikasi web.

Penting untuk dikatakan mengurangi, bukan mengurangi atau menghilangkan. Seperti yang akan dikatakan oleh konsultan keamanan mana pun kepada Anda, otomatisasi tidak akan pernah menggantikan kecerdasan dan kreativitas intervensi manusia.

Umumnya, pemindai otomatis pertama-tama merayapi seluruh situs web, menganalisis secara mendalam setiap file yang mereka temukan dan menampilkan seluruh struktur situs web. Setelah fase penemuan ini, pemindai melakukan audit otomatis untuk kerentanan dengan meluncurkan serangkaian serangan peretasan, yang pada dasarnya mensimulasikan peretas. Pemindai akan menganalisis setiap halaman untuk tempat di mana data dapat dimasukkan dan kemudian akan mencoba semua kombinasi input yang berbeda. Pemindai akan memeriksa kerentanan di server web (di port terbuka), semua aplikasi web, dan di konten situs web itu sendiri. Produk yang lebih kuat secara cerdik meluncurkan serangan semacam itu menggunakan berbagai tingkat heuristik.

Pemindaian web heuristik Penting untuk dipahami bahwa memeriksa kerentanan web tidak boleh terbatas pada pemindaian aplikasi yang dikenal (misalnya keranjang belanja yang siap pakai) dan/atau kerentanan modul (misalnya injeksi SQL dalam formulir login phpBB) terhadap formulir yang telah ditentukan sebelumnya. perpustakaan masalah yang diketahui. Jika ini harus dilakukan, aplikasi khusus masih belum diuji kerentanannya. Ini adalah kerentanan utama dalam produk yang didasarkan pada tanda tangan kerentanan yang identik.

Pertimbangkan perangkat lunak antivirus sebagai contoh. Produk antivirus standar memindai ribuan virus yang dikenal, termasuk virus lama dan yang dikenal (bahkan yang dibuat untuk sistem Windows 95 yang lebih lama). Di zaman sekarang ini Anda jarang menjumpai sistem operasi ini tetapi di benak konsumen, yang paling penting adalah “Berapa virus yang terdeteksi oleh software ini?”. Faktanya, memiliki AV versi terbaru memberi Anda perlindungan untuk semua kecuali virus yang berkeliaran di alam liar. Virus inilah yang paling banyak menyebabkan kerusakan. Produk AV standar tanpa teknologi yang benar tidak akan mendeteksi virus di alam liar jika hanya cocok dengan virus “dikenal”. Teknologi antivirus yang baik akan memungkinkan pemindaian file demo atau cara cerdas untuk mencoba mengidentifikasi pola perilaku aplikasi yang dapat menyebabkan infeksi virus.

Pemindaian kerentanan web bekerja dengan cara yang sangat mirip. Tidak ada gunanya menemukan kerentanan yang diketahui dari aplikasi yang diketahui saja. Ada tingkat heuristik yang tinggi dalam mengungkapkan kerentanan karena peretas sangat kreatif dan meluncurkan serangan mereka terhadap aplikasi web khusus untuk efek maksimal.

Tentu saja, pendekatan seperti itu memberikan positif palsu tetapi bahkan di sini letak kesalahpahaman dan kebingungan. Positif palsu terjadi karena pemindaian otomatis akan mengidentifikasi masalah yang mungkin tampak sebagai kerentanan. Otomatisasi adalah bantuan yang sangat berharga dan keakuratan pemindaian bergantung pada (a) seberapa baik Anda merayapi situs Anda untuk membuat berbagai struktur, komponen, dan tautannya, dan (b) kemampuan pemindai untuk secara cerdas menggunakan berbagai metode peretasan dan teknik terhadap aplikasi web.

Pemindaian otomatis akan menghasilkan hasil positif palsu. Tentu saja, tingkat kecanggihan teknologi ini tidak mengarah ke nol positif palsu. Ini tidak mungkin. Pemindaian otomatis akan selalu menghasilkan positif palsu, produk apa pun yang Anda gunakan.

Kami selalu menyarankan untuk menyelesaikan pemindaian otomatis dengan pemindaian manual – ini mungkin salah satu poin yang ditekankan oleh semua pakar keamanan. Sayangnya, perusahaan tidak menyadari pentingnya entri manual. Jika Anda ingin aplikasi web Anda aman, Anda harus menghabiskan banyak waktu untuk memeriksa sisi otomatisnya. Ini tidak berarti bahwa otomatisasi tidak akurat – sebaliknya, ini sangat akurat dan telah mengurangi banyak pekerjaan. Pemindaian otomatis akan membantu Anda mengidentifikasi potensi masalah termasuk positif palsu dan mendorong penyelidikan manual lebih lanjut.

Dalam keamanan aplikasi web, lebih baik memiliki positif palsu daripada tidak memiliki sama sekali.

Analisis kode sumber Kelompok produk lain yang terkait dengan pemindaian kerentanan web adalah penganalisis kode sumber tetapi mereka bekerja secara berbeda dengan alat pemindaian kerentanan web. Penganalisis kode sumber adalah alat pengujian kotak putih yang membantu pengembang dalam pekerjaan mereka dengan secara otomatis menganalisis arsitektur internal dan logika kode sumber secara langsung untuk bug dan kerentanan keamanan. Tingkat kerumitan produk ini bergantung pada kerumitan logika beberapa aplikasi dan ragam bahasa markup. Ini berarti hanya ada sedikit produk yang stabil di pasar meskipun teknologinya bergerak sangat cepat.