Tolong pilih kategori sesuai, jenis posting (diskusi atau bukan) dan sertakan tag/topik yang sesuai seperti komputer, java, php, mysql, dll. Promosi atau posting tidak pada tempatnya akan kami hapus!
- Bagi Anda yang ingin mendaftar, baca link berikut:
http://diskusiweb.com/discussion/50491/how-to-registrasi-diskusiweb-com-baca-ini-terlebih-dahulu
- Cara menyisipkan kode program supaya tampil rapi dan terformat dengan baik di diskusiweb.com: http://www.diskusiweb.com/discussion/50415/cara-menyisipkan-kode-program-di-diskusiweb-com
- Cara posting gambar/image di post Anda: http://www.diskusiweb.com/discussion/47345/cara-menyisipkan-menyertakan-image-pada-posting/p1

Security web ..

edited August 2013 in Diskusi Pemrograman & IT
mas-mas, om-om khususnya om boo yang telah meringankan beban kepala saya  O:-)
mau nanya nih, terkait masalah security login, database, sql injection, dll dll, 
1. metode security apa yang standard-aman-susah lah d hack. untuk login database (username/password).saya guggling sana-guggling sini, ada metode, SHA-1, SHA-2, SHA512.js, salt, whirlpool dll dll. atau ada jasa ultimate security yang pasti aman? kmudian ada related artikel yang enaklah buat saya pelajari scriptnya.??
2. trus yang kedua, apa untuk jenis web yang mempunyai database saja yang bisa di hack ?, jika webnya isinya cuma html, php sama javascript tanpa database apa masih bisa di hack ?
3. mohon tips dan trick, setting keamanan, dll-dll , sehingga celah-celah buat hack itu bisa diminimalisir / atau standard setting security umum lah O:-)
  hatur nuhun yang sebesar-besarnya ..O:-)O:-) mohon pencerahan..


Tagged:

Comments

  • edited August 2013
    ndak segitunya kali mas ...

    username & password itu dari sisi user tetep dalam bentuk teks yg dapat dibaca
    mau dibuat kaya apa pun, hacker tetep bisa mencoba penetrasi pake rainbow attack

    penyimpanan di db dibuat tidak terbaca itu supaya di sisi administrator / orang yg dapat akses ke db tidak tahu password nya apa
    md5 saja cukup
    seandainya hacker sukses bisa akses db, mau dibuat pake securiti model apa pun, tetep bisa inject data semaunya ...
    lha wong sudah bisa akses ke db langsung

    mau cuma html doang tetep bisa di hack,
    lobang belum tentu dari frontend,
    bisa dari web server nya, dari os nya, jaringannya, dll

    kalo cuma di tataran script mah cukup : jangan percaya apa pun yg di input oleh user,
    jadi tiap kali ada input baik lewat form atau url, di filter dan sanitasi dengan baik
    dah itu saja ...


  • Pengalamani nih, pernah webnya cuma html duang ttp juga bisa tembus,, pertama di buka isi lambang bajak laut....
    :-??
  • punya server sendiri, gampang improve security sama maintenance nya. 
  • Sekalian nih numpang nanya:
    caranya filter dari form atau url seperti yang agan boo bilang kayak gimana ya contohnya? trus kalo mau bikin server sendiri apa aja yang mesti dipelajari? makasih.

  • edited August 2013
    ndak segitunya kali mas ...

    username & password itu dari sisi user tetep dalam bentuk teks yg dapat dibaca
    mau dibuat kaya apa pun, hacker tetep bisa mencoba penetrasi pake rainbow attack

    penyimpanan di db dibuat tidak terbaca itu supaya di sisi administrator / orang yg dapat akses ke db tidak tahu password nya apa
    md5 saja cukup
    seandainya hacker sukses bisa akses db, mau dibuat pake securiti model apa pun, tetep bisa inject data semaunya ...
    lha wong sudah bisa akses ke db langsung

    mau cuma html doang tetep bisa di hack,
    lobang belum tentu dari frontend,
    bisa dari web server nya, dari os nya, jaringannya, dll

    kalo cuma di tataran script mah cukup : jangan percaya apa pun yg di input oleh user,
    jadi tiap kali ada input baik lewat form atau url, di filter dan sanitasi dengan baik
    dah itu saja ...


    ----------------------------------------------
    hm... tapi mas, MD5 katanya sekarang sudah tidak disarankan dari beberapa artikel yg kubaca, (mereka-mereka) lebih menyarankan SHA-1 + salt dan iterasi-iterasi lainnya. hm... tunggu, apa mungkin yang mereka maksud itu adalah, : ketika hacker sudah bisa masuk db, (sang hacker) mempunyai kesulitan yang cukup untuk men decrypt dari hashing password itu ya..? ooh, ic ic .... brarti itu hanya metode kesulitan men decrypt saja dari sang hacker kalo sudah bisa masuk.. oh, brarti, pencegahan pertama itu adalah, sebenarnya dari level tataran script saja ya mas ( seandainya celah lain-lain sudah.. ya..standard-secure) nah dari pengalaman, menggunakan wordpress, joomla, kebanyakan site-site itu dihack, setelah guggling sana-guggling sini, katanya melalui plugin yang tak-aman. yang masih mempunyai celah,.. 
    lalu pertanyaanku, apakah kita harus buat plugin sendiri untuk safe-secure nya (tataran script) misal: slide photo, dll dll. agar memastikan bahwa script kita benar-benar aman. hm .... ic ic ...
    O:-)O:-) aku sudah mulai tercerahkan sekarang.. logic nya sudah mulai paham.. O:-)O:-) 
    pernah ada kasus, site ini secara script aman, lalu ternyata bisa dihack, ternyata setelah ditelusuri, masuknya lewat sub domain-sub domain, yang akhirnya semua domain didalam sana terhack..#-o
    hatur nuhun mass boo dan mas lainnya.. O:-)O:-)


  • edited August 2013
    kalo sudah masuk db, ngapain bingung ama password orang lain ...
    bikin aja user baru + password sendiri
    atau ganti aja password user yg sudah ada sesuai kemauan

    bukan berfikir : "ini user A password nya apa sih ?"
    tapi : "gw ganti aja pass user A jadi 123"
    atau : "gw bikin aja user X, pass nya 123"

    mau entri data baru atau delete seluruh isi database ya tinggal hajar saja
    lha wong sudah bisa masuk ke dalam db nya sendiri

    makanya jangan percaya apa pun yg di input user
    selalu di filter dan sanitasi dengan baik dan benar

    lobang lewat plugin itu artinya filter dan sanitasi di plugin itu kagak baik dan benar
    masih ada input user yg kagak diperiksa kebenaran isinya
  • hm.. dapat pencerahan yang luar biasa..... O:-)O:-)


Sign In or Register to comment.