Yakin Website Statis Aman Dari Hacking?
16 Maret 2024 - dibaca 631 kaliProfesi yang menarik didalam bidang keamanan informasi adalah pentester. Profesi pentester, singkatan dari penetration tester, adalah salah satu profesi yang berkembang pesat dalam industri keamanan informasi. Seorang pentester adalah seorang profesional yang secara etis melakukan serangan siber terhadap sistem komputer, jaringan, atau aplikasi perangkat lunak untuk mengidentifikasi kelemahan keamanan yang mungkin bisa dieksploitasi.
Salah satu cara yang biasanya digunakan pentester untuk menguji keamanan sebuah sistem adalah dengan mengirimkan data yang didalamnya mengandung perintah yang berbahaya jika dieksekusi oleh sistem. Akan tetapi pada kasus website statis, dimana website tidak melakukan interaksi 2 arah dengan user, maka metode ini tidak bisa digunakan. Lalu bagaimana sebuah website statis tetap bisa menjadi rentan dimata para pentester?
Apa itu Website Statis?
Sebelumnya, kita perlu mengetahui terlebih dahulu apa itu Website Statis. Secara umum, Website Statis merupakan sebuah website yang hanya menyajikan informasi satu arah. Yakni oleh website untuk user. Tidak ada interaksi dengan user seperti mengomentari, memperbarui profil, mengganti password, atau mengupload gambar. User hanya bisa melihat atau membaca isi konten dari website tersebut. Dengan begini, jika pentester memposisikan diri sebagai user, maka cenderung akan lebih sulit untuk bisa mengirim data yang telah disisipi konten berbahaya ke website. Sehingga menjadikan tipe Website Statis ini relatif lebih aman.
Tapi apakah Website Statis Aman dari Serangan?
Dirujuk dari Blog Intigriti, ada 3 kerentanan yang paling umum ditemukan di Website Statis yang bisa menjadi pintu masuk pentester untuk melakukan pekerjaannya.
#1 File Backup yang Bisa Diakses Publik
Salah satu kelemahan keamanan yang paling sering ditemui di situs web statis adalah adanya file cadangan yang dapat diakses dan diunduh oleh siapa saja. Terkadang, file tersebut secara otomatis dibuat oleh sistem otomatis dan secara keliru ditempatkan di direktori root web yang bisa diakses langsung oleh publik, sehingga memberikan akses kepada siapa saja yang dapat menemukan file tersebut. Salah satu cara yang biasanya digunakan untuk mendapatkan file backup ini adalah dengan melakukan Scanning Files. Cara ini bisa dilakukan dengan menggunakan aplikasi semacam File Scanner, baik dengan metode Brute Force maupun Dictionary Attack.
#2 Portal atau Panel yang Tidak Diproteksi
Masalah lain yang umum ditemukan adalah portal atau panel yang dibiarkan terbuka untuk diakses oleh pengunjung eksternal. Portal ini sering digunakan oleh pemilik situs untuk mengelola konten diwebsite tersebut, misalnya untuk posting konten. Portal-portal ini biasanya berada di directory yang terpisah dari website utamanya. Akan tetapi jejaknya bisa bisa diketahui informasi dari file Robots.txt, Sitemap.xml atau informasi yang tertinggal didalam Source Code website tersebut, misalnya dari lokasi file-file static seperti javascript atau css nya. Cara lainnya juga bisa dilakukan dengan melakukan Scanning Directory menggunakan aplikasi semacam Directory Scanner.
#3 Vulnerable System Applications
Cukup banyak web developer yang tidak melakukan update di sistemnya untuk selalu menggunakan versi terbaru yang lebih aman. Seperti misalnya informasi yang bisa didapatkan secara langsung dari website tersebut
HTTP/2 200 OK
Date: Sat, 16 Mar 2024 12:23:41 GMT
Server: Apache/2.2 (Win64) OpenSSL/1.1.1g PHP/7.0.33
X-Powered-By: PHP/7.0.33
Dari informasi sederhana diatas, pentester bisa melakukan penelusuran informasi kerentanan aplikasi berdasarkan versinya seperti misalnya pada contoh diatas, kita masih bisa menemukan Apache dengan versi 2.2 serta PHP dengan versi 7.0.33 yang kerentanan dari versi ini bisa kita temukan di website penyedia exploit seperti exploit-db.com.
Jadi bagaimana? Apakah masih yakin kalau membuat Website Statis akan aman dari hacker?