Security

Indo Java Podcast #9: Web Security bareng Ganius Tanuel

1

Sekarang ini aplikasi web sudah menjadi standard aplikasi untuk banyak organisasi, termasuk institusi finansial dan perbankan. Aplikasi untuk institusi ini sangat sensitif dan harus dilindungi dengan keamanan maksimum. Indo Java Podcast kali ini kedatangan tamu, Ganius Tanuel dari Visa, beliau adalah Security Assessor yang bertugas untuk melakukan assessment terhadap aplikasi di perusahaanya.

Security Assessor dikenal juga sebagai Ethical Hacker, jadi pekerjaan sehari-hari beliau adalah berusaha melakukan hacking atau bisa juga disebut sebagai penetration test. Kegiatan hacking ini dilakukan dalam dua tahap, tahap pertama dilakukan secara terotomasi dengan perkakas, setelah itu dilanjutkan dengan manual hacking untuk mencari celah keamanan aplikasi.

Di bagian berikutnya kita membahas top 10 OWASP security vulnerabilities yang mencakup : SQL Injection, XSS (Cross site scripting), Session Fixation, Input Validation dan seterusnya. Selain dibahas jenis vulnerabilitynya kita juga membahas tentang bagaimana menghindari celah ini muncul di aplikasi kita. Pembahasan berikutnya dilanjutkan dengan studi kasus apache.org yang diserang hacker beberapa bulan lalu. Beritanya bisa dilihat di sini.

#9 : http://indo-java-podcast.googlecode.com/files/indo-java-podcast%239.mp3
– Perkenalan Ganius Tanuel
– Security Assessor, Ethical Hacker
– Automated dan manual penetration test
– owasp.org, PCI complience dan Security Regulation
– OWASP top 10 security vulnerability dan bagaimana mencegahnya
– Apache.org hacked, studi kasus

Happy podcasting

Security Device bagian 1

4

Semenjak dimulainya era internet, banyak perbankan yang mulai melirik internet sebagai media pelayanan kepada pelangganya. Pada awalnya aplikasi perbankan hanya bisa digunakan oleh teller di cabang, namun bertambahnya jumlah pelanggan membuat cabang mulai kewalahan melayani pelanggan. Kemudian muncullah ATM (automated teller machine / anjungan tunai mandiri) untuk membantu teller melayani nasabah. Kedua aplikasi ini masih berada di jaringan internal bank dan relatif aman dari serangan. Ketika era internet tiba, bank mulai melirik untuk menggunakan internet banking untuk melayani pelanggan. Masalah utama internet banking tentu saja keamanan, berbeda dengan teller dan ATM yang berada di jaringan pribadi bank, internet banking akan mengekspos jaringan internal bank ke internet, sehingga serangan terhadap internet banking menjadi semakin rawan.

Serangan keamanan yang paling sering terjadi adalah pencurian terhadap identitas pengguna berupa username dan password. Beberapa tahun lalu BCA mengalami serangan model ini yang disebut dengan phising. Hacker akan membuat website dengan url sedikit berbeda dengan tampilan yang serupa, misalnya clickbca.com atau kilikbca.com atau clikbca.com, karena pengguna merasa ini adalah website yang benar, tanpa curiga langsung berusaha melakukan login dan memberikan username/password. Penyerang dengan mudah menyimpan username dan password pengguna tersebut dan menguras isi rekening.

(more…)

Go to Top