Untuk menguji ketahanan website, kita tidak perlu menunggu hacker datang menyerang. Akan lebih baik jika kita mengetahui lubang keamanan yang terdapat pada website kita sebelum website tersebut dipublikasikan online dan dapat diakses publik. Pengujian dapat dilakukan manual dengan mempraktekkan cara-cara hacker pada website kita sendiri ataupun menggunakan tool yang dapat membantu menguji ketahanan website. Banyak tool yang tersedia di Internet, dari yang berbayar hingga yang gratis. Beberapa tool berikut ini, mungkin dapat mewakili cara kerja umum tool untuk menguji ketahanan website Anda.
Sebelum
mempraktikkannya, sebaiknya Anda persiapkan terlebih dahulu backup website
karena jika terdapat celah keamanan bisa jadi tool tertentu akan mengubah isi
database.
Acunetix Scanner
Dengan alamat http://www.acunetix.com, Acunetix dapat melakukan
scan lubang keamanan website dan menampilkannya dalam report yang cukup
lengkap. Untuk melakukan scan, kita dapat men-download dan menginstall program
Acunetix Web Vulnerability Scanner yang tersedia dalam versi berbayar dan
gratis/free edition. Perbedaan versi berbayar dan gratis terletak pada
banyaknya vulnerability yang mampu di scan.
N-Stalker Free Edition
Mirip dengan Acunetix, N-Stalker merupakan aplikasi scanner
untuk menemukan celah keamanan website. Versi gratisnya di http://nstalker.com/products/free/download-free-edition dengan
limitasi melakukan crawling pada seratus halaman dalam satu aplikasi web/URL.
HTTrack
Fungsi Httrack (http://www.httrack.com)
adalah untuk men-download keseluruhan website agar dapat ditelusuri secara
offline tanpa memerlukan koneksi internet. Tool ini melakukan crawling website
dan menyimpannya pada local disk. Bahkan, jika website tersebut merupakan web
dinamis, HTTrack akan menyimpannya dalam format HTML lengkap dengan image, CSS,
Javascript, file-file multimedia dan lain-lain. Dalam hubungannya dengan siu
keamanan, Anda dapat mencoba mendownload website Anda dengan HTTrack untuk
melihat apakah terdapat file-file yang seharusnya tidak diizinkan untuk
didownload atau tidak. Software lain yang memiliki fungsi yang mirip dengan
HTTrack adalah Wget dan ScrapBook yang merupakan Add-on Mozilla Firefox.
Google
Search
Engine Google juga bisa menjadi salah satu tool untuk menguji ketahanan website
Anda. Pada software HTTrack, Anda dapat mendownload halaman web dan melihat
apakah terdapat file-file berisi informasi sensitif seperti password, kartu
kredit, dan lain-lain yang ikut terdownload, sedangkan pada Google Anda dapat
mencari apakah file-file tertentu yang seharusnya tidak untuk publik dapat
ditemukan oleh Google atau tidak. Waspadai jika Google dapat menemukan dokumen
berisi informasi sensitif karena itu berarti siapa pun dapat menemukan dan
mendapatkannya dari internet,
Firefox Web Developer
Karena web programmer sering bekerja dalam lingkungan browser,
beberapa tool menyediakan toolbar pada browser untuk mempermudah pekerjaan
mereka, termasuk untuk menguji ketahanan website. Salah satunya adalah Add-on
bagi web developer yang menggunakan firefox. Untuk menginstalnya, Anda cukup
mengakseshttps://addons.mozilla.org/en-us/firefox/addon/web-developer/ dengan Firefox dan mengeklik tombol Add to Firefix. Secara
otomatis, add-on tersebut akan diinstal pada browser Firefox Anda.
Firefox
Web Developer menyediakan banyak sekali fungsi untuk keperluan memeriksa
halaman web, antara lain fungsi untuk memeriksa kesalahan JavaScript dan CSS
ataupun melakukan validasi HTML, Link, ataupun Feed. Firefox Web Developer juga
dapat digunakan untuk melihat source of JavaScript, meta tag dan sebagainya.
Fiddler
Fiddler merupakan aplikasi gratis yang dapat diakses di alamat http://www.fiddler2.com/fiddler2/.
Fungsinya sebagai web debugging yang merekam traffic jaringan yang terjadi pada
aplikasi browser (mendukung Internet Explorer, Mozilla Firefox, dan berbagai
browser populer lainnya). Fiddler membutuhkan .NET Framework 2.0 atau lebih
tinggi agar dapat diinstal dan berjalan pada Windows.
Untuk
menggunakannya, cukup jalankan aplikasi Fiddler yang sudah terinstall dan
selagi Anda mengakses berbagai website dengan browser, layar fiddler akan
menampilkan informasi-informasi detail. Fiddler mendukung integrasi add-on
untuk memperkaya fiturnya. Salah satu add-on Fiddler yang berguna untuk
pengujian ketahanan aplikasi web adalah Watcher (dari website Casaba yang
beralamatkan di http://websecuritytool.codeplex.com/). Cukup dengan mendownload
dan menginstall Watcher (dengan catatan Fiddler sudah terinstall), maka saat
Anda akan membuka kembali aplikasi Fiddler, akan terlihat tab baru dengan nama
Watcher.
Exploit-Me
Exploit-Me
merupakan add-on browser Mozilla Firefox yang beralamatkan di
http://labs.securitycompass.com/index.php/exploit-me/, terdiri atas tiga
Add-on, yaitu:
·
SQL Inject-Me (https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/).
·
Access-Me (https://addons.mozilla.org/en-US/firefox/addon/access-me/).
Seusai
namanya, add-on ini berfungsi untuk menguji apakah terdapat exploit pada
website kita atau tidak. XSS-Me akan mendeteksi celah kemanan XSS, SQL
inject-Me akan mendeteksi celah keamanan SQL Injection, sedangkan Access-Me,
akan memeriksa apakah terdapat celah keamanan yang menyebabkan penyerang dapat
mengakses resource tanpa melewati otentifikasi atau tidak. Untuk menginstal
ketiga add-on tersebut, Anda hanya mengakses tiap-tiap URL XSS-Me, SQL
Inject-Me, dan Access-Me dan ikuti petunjuk penginstalannya. Setelah terinstal,
berikut ini penjabaran penggunaan add-on tersebut.
XSS-Me dan SQL Inject-Me
Karena
terintegrasi dengan browser Firefox sebagai add-on, penggunaan XSS-Me sangat
mudah dilakukan. Karena XSS sering memanfaatkan form input, arahkan browser
pada form input yang terdapat pada aplikasi web Anda. Klik kanan salah satu
input text dan pilih menu Open XSS Me Sidebar, maka akan tampil sidebar atau
panel baru (XSS Me) di sebelah kiri. Cara lain menampilkan panel ini adalah
memilih menu Tools - XSS ME - Open XSS Me Sidebar pada browser Firefox.
SQL
Inject Me bekerja dengan cara yang sama dengan XSS-Me. Aktifkan panel SQL
Inject-Me dengan klik kanan input form dan pilih menu Open SQL Inject Me
Sidebar atau jika dari Firefox, pilih menu Tools - SQL Inject Me - Open SQL
Inject Me Sidebar.
Access-Me
Sedikit
berbeda dengan dua Add-on sebelumnya, Access-Me tampil pada toolbar Firefox
walaupun bisa diakses juga melalui menu Tools - Access Me melalui browser
Firefox. Cara kerja Access-Me adalah mengirimkan beberpa request pada halaman
yang dites dengan tujuan menemukan beberapa celah keamanan yang memungkinkan
hacker memperoleh hak akses pada resource website.
1 comments:
jadi dengan menggunakan itu bisa tahu ya kalau websitenya aman atau tidak untuk dikunjungi??
http://cody.id/