Serangan-serangan Terhadap Aplikasi Web yang Harus Kamu Tahu!

Di dunia nyata saat aplikasi web akan di-deploy ke server dan digunakan oleh publik, terdapat sejumlah isu keamanan baik teknis ataupun non-teknis. Isu teknis dapat berupa vulnerabilitas dari sisi kode dan aplikasi, sedangkan isu non-teknis dapat berupa kelalaian dari pengguna, operasional, atau pihak developer sendiri.

Berikut ini adalah beberapa jenis serangan tidak langsung yang diarahkan kepada aplikasi web kita namun tidak memanfaatkan kode dari aplikasi web kita.

1. Phishing

Para berandalan digital ini memanfaatkan halaman aplikasi web tiruan yang mirip dengan aplikasi web kita dan membuat user terjebak dengan halaman yang salah dan dikira adalah halaman asli kita. Selain halaman web yang hampir serupa, nama domain pun hampir serupa karena biasanya ada saja user yang kedapatan salah ketik saat mengakses aplikasi web kita.

Misal ketika seseorang ingin mengakses http://www.codepolitan.com ternyata ada nama domain lain yang serupa misalnya http://www.codepoliten.com atau http://www.codapolitan.com, lalu apa yang terjadi? Ketika user ingin melakukan pembayaran untuk kursus online menjadi web programmer ternyata nama domain yang diakses salah dan malah memasukkan informasi penting seperti no kartu kredit kepada halaman salah tersebut.

Kerugian yang dialami selain suatu layanan menjadi tidak kredibel, data pengguna pun dapat dimanfaatkan untuk kepentingan yang tidak baik. Misal dengan informasi kartu kredit yang sudah diketahui, pelaku phising dapat memanfaatkan informasi kartu kredit tersebut untuk membeli kebutuhan atau barang yang diinginkannya dengan menggunakan nomor kartu kredit dan secret code yang sudah ditangkap dari user yang terjebak phising tersebut.

2. Denial of Service

Serangan ini terjadi karena network bandwidth dari aplikasi web kita dibanjiri oleh request yang tidak penting, namun dalam jumlah yang sangat masif. Serangan ini dapat melumpuhkan server dalam hitungan detik, menit, bahkan hari bila sumber serangan DoS belum diketahui.

Kerugian apa yang muncul akibat masalah ini? waktu layanan aplikasi web dapat berkurang dan keuntungan dapat berkurang karena jumlah user berkurang dan juga profit yang didapatkan dari aplikasi web ikut menurun. Selain itu masalah DoS ini dapat mempengaruhi layanan lain yang terhubung dengan aplikasi web kita.

3. Bruteforce Attack

Hampir sama dengan denial of service, hanya saja yang diserang misalnya adalah form login, apa akibatnya? dengan sejumlah tebakan dalam jumlah masif, account user atau account admin dapat diketahui oleh penyerang. Karena bentuk password yang terlalu sederhana atau mungkin trivial digunakan (misal username: admin, password: admin atau password), sehingga dengan mudah penyerang dapat menguasai sistem admin aplikasi web.

Selain mengambil alih aplikasi web, penyerang bisa saja mengambil data - data confidential seperti jumlah transaksi ataupun data sensitif lainnya yang berarti bagi penyerang. Karena saking sensitifnya, data tersebut bisa mendatangkan sejumlah keuntungan seperti menjual kepada kriminal lainnya, menjual kepada kompetitor bisnis, atau untuk kejahatan pribadi yang merupakan kelanjutan dari penyerangan ini.

4. Defacing

Penyerangan ini lebih mengakibatkan kepada jatuhnya reputasi pemiliki aplikasi web atau seuatu website. Penyebabnya adalah terlalu sering menggunakan default setting dari suatu CMS tanpa mengganti ke settingan yang lebih aman dan eksklusif, selain itu sering mengabaikan update dari penyedia aplikasi web yang digunakan.

Defacing biasanya dilakukan dengna mengubah atau menambah konten menjadi kurang indah dipandang atau berisi informasi provkatif dari penyerang. Ada pelaku defacing yang meminta jaminan ada juga yang hanya ingin menjadi ajang pembuktian diri.

5. Lemahnya Security Policy

Penyerangan lain dapat terjadi karena lemahnya security policy. Karena pemilik aplikasi web tidak perhatian terhadap bagian utama dari aplikasi web yaitu manusia yang berinteraksi dengannya. Sehingga aplikasi web dapat diserang dari sisi penggunanya atau pengelolanya. Masalah ini lebih berat kepada masalah perilaku manusia yang lalai dan berujung pada penyerangan aplikasi web.

Dapat kita bagi menjadi dua seperti berikut:

• Operasional, ada saja perilaku lalai dari pihak operasional, misal password halaman admin atau server yang dipasang di sticky note, atau juga ada saja pihak operasional yang dengan bangganya membagikan informasi confidential, kepada grup Whatsapp atau Facebook. Tentu hal tersebut keren bagi orang yang mengunggahnya, namun orang jahat bisa saja memanfaatkan keadaan seperti itu. Atau ada juga developer yang tak sengaja membagikan konfigurasi database ke grup lain karena salah upload.
• User, misal di sebuah bank mereka memiliki layanan internet banking karena kurangnya security policy, pihak bank tidak memperingatkan nasabahnya untuk selalu menjaga account internet banking miliknya kepada orang lain. Kerugian yang didapatkan bisa jadi user tersebut kehilangan uang karena lalai memberikan account-nya kepada orang lain yang tidak dipercaya. Atau juga ketika kartu kredit hilang, nasabah tidak cepat - cepat memblokir kartu SIM dan kartu kredit sehingga orang yang menemukannya malah memanfaatkan informasi penting tersebut.