Skip to main content

Apa Itu Cyber Security? Ini Yang Perlu Anda Ketahui Agar Bisnis Aman !

Jaminan keamanan terhadap pelayanan adalah hal penting dalam bisnis. Ketika seorang nasabah ingin menabung, tentu ia perlu menimang apakah ada jaminan keamanan di sana. Sebab, tidak sedikit penyedia layanan yang sering kali kebobolan untuk pengamanan sistem. Maka dari itu, isu tersebut menjadi penting karena termasuk bagian dari cyber security. Lalu, apa yang dimaksud dengan cyber security? Mari kita simak bersama di artikel berikut ini! Apa Itu Cyber Security? Cyber Security (Keamanan Siber) adalah perlindungan sistem yang terhubung ke internet seperti perangkat keras, perangkat lunak, dan data dari Cyber Threat dan Cyber Crime. Praktik ini digunakan oleh individu dan perusahaan untuk melindungi dari akses tidak sah ke pusat data dan sistem komputerisasi lainnya. Strategi keamanan siber yang kuat dapat memberikan postur keamanan yang baik terhadap serangan jahat yang dirancang untuk mengakses, mengubah, menghapus, menghancurkan, atau memeras sistem dan data sensitif organisasi atau pe...
Post a Comment

Cara Kerja Remote Code Execution Dan Pencegahannya!

 

Sebelumnya kita telah mengetahui tentang Apa Itu Remote Code Execution beserta skemanya. Sekarang kita akan mengenali cara kerja RCE beserta cara pencegahannya agar kita dapat menjaga keamanan asset dan pekerjaan kita. So, mari kita simak bersama!

Cara Kerja Remote Code Execution

Kerentanan RCE memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat jarak jauh. Seorang penyerang dapat mencapai RCE dengan beberapa cara berbeda, termasuk:

1. Injection Attacks

Banyak jenis aplikasi yang berbeda, seperti kueri SQL, menggunakan data yang disediakan pengguna sebagai input ke perintah. Dalam serangan injeksi, penyerang dengan sengaja memberikan input yang salah yang menyebabkan sebagian input mereka ditafsirkan sebagai bagian dari perintah. Ini memungkinkan penyerang untuk membentuk perintah yang dieksekusi pada sistem yang rentan atau untuk mengeksekusi kode arbitrer di atasnya.

2. Deserialization Attacks

Aplikasi biasanya menggunakan serialisasi untuk menggabungkan beberapa bagian data menjadi satu string agar lebih mudah untuk dikirim atau dikomunikasikan. Input pengguna yang diformat secara khusus dalam data serial dapat ditafsirkan oleh program deserialisasi sebagai kode yang dapat dieksekusi.

3. Out-Of-Bounds Write

Aplikasi secara teratur mengalokasikan potongan memori berukuran tetap untuk menyimpan data, termasuk data yang disediakan pengguna. Jika alokasi memori ini dilakukan dengan tidak benar, penyerang mungkin dapat merancang input yang menulis di luar buffer yang dialokasikan. Karena kode yang dapat dieksekusi juga disimpan dalam memori, data yang diberikan pengguna yang ditulis di tempat yang tepat dapat dieksekusi oleh aplikasi.

Dampak Ancaman RCE

Serangan RCE dirancang untuk mencapai berbagai tujuan. Perbedaan utama antara eksploit lain ke RCE, adalah rentangnya antara pengungkapan informasi, penolakan layanan, dan eksekusi kode jarak jauh.

Beberapa dampak utama dari serangan RCE meliputi:

1. Akses Awal

Serangan RCE biasanya dimulai sebagai kerentanan dalam aplikasi yang menghadap publik yang memberikan kemampuan untuk menjalankan perintah pada mesin yang mendasarinya. Penyerang dapat menggunakan ini untuk mendapatkan pijakan awal pada perangkat untuk menginstal malware atau mencapai tujuan lain.

2. Pengungkapan Informasi

Serangan RCE dapat digunakan untuk menginstal malware pencuri data atau untuk langsung menjalankan perintah yang mengekstrak dan mengekstrak data dari perangkat yang rentan.

3. Denial Of Service (DOS)

Kerentanan RCE memungkinkan penyerang menjalankan kode pada sistem yang menghosting aplikasi yang rentan. Ini dapat memungkinkan mereka untuk mengganggu operasi aplikasi ini atau aplikasi lain pada sistem.

4. Crypto-Mining

Cryptomining atau cryptojacking adalah malware menggunakan sumber daya komputasi dari perangkat yang disusupi untuk menambang cryptocurrency. Kerentanan RCE biasanya dieksploitasi untuk menyebarkan dan mengeksekusi malware cryptomining pada perangkat yang rentan.

5. Ransomware

Ransomware adalah malware yang dirancang untuk menolak akses pengguna ke file mereka sampai mereka membayar uang tebusan untuk mendapatkan kembali akses. Kerentanan RCE juga dapat digunakan untuk menyebarkan dan mengeksekusi ransomware pada perangkat yang rentan.

Cara Pencegahan Remote Code Execution

Untuk memulainya, Anda harus menghindari penggunaan input pengguna di dalam kode yang dievaluasi. Pilihan terbaik dalam situasi ini adalah menghindari penggunaan fungsi seperti eval. Ini dianggap sebagai bentuk praktik buruk dan dapat dengan mudah dihindari. Anda juga disarankan untuk tidak pernah membiarkan pengguna mengedit konten file yang mungkin telah diuraikan oleh bahasa pemrograman yang bersangkutan. Seringkali, ini termasuk membiarkan pengguna membuat nama dan ekstensi file yang ingin dia unggah atau buat di aplikasi web.

Ini adalah beberapa hal yang tidak boleh dilakukan untuk menghindari serangan berbasis RCE. Diantaranya termasuk:

-> Tidak mensanitasi user input. 

-> Membiarkan pengguna memutuskan atau membuat ekstensi atau konten file yang akan digunakan di server web.

-> Memperbolehkan melewati input yang dikontrol pengguna ke dalam callback sistem atau fungsi evaluasi

-> Tidak membuat blacklist setiap karakter khusus atau nama fungsi. 

image sources from istock

content sources from wallarm and checkpoint

Labels:

Comments

Post a Comment

Popular posts from this blog

Begini Cara Mengirim Email PGP Dengan Kleopatra!

  Sebelumnya kita sudah mengenali tentang apa itu PGP atau Email Terenkripsi. Sekarang, kita akan mengenali tentang cara mengirim Email PGP dengan software GPG Kleopatra. Software  GnuPG ini tergolong open-source yaa, jadi kita bisa menggunakan dengan free  untuk kebutuhan enkripsi email kita. So, mari kita langsung simak saja! Mengenal Kleopatra ( OPENGPG ) Kleopatra adalah manajer sertifikat dan GUI untuk GnuPG. Perangkat lunak ini menyimpan sertifikat dan kunci OpenPGP Anda. Ini tersedia untuk Windows dan Linux. Terkait dengan klien email KMail, kita juga dapat memanfaatkan fitur kriptografis untuk komunikasi melalui email. Step-by-Step Oke, jadi ini adalah langkah-langkah untuk mengoperasikan Kleopatra agar dapat mengirim email terenkripsi kepada recipient  kita tanpa bisa dilihat oleh orang lain. 1. Download dan Install GPG4WIN Langkah paling pertama pastinya menginstall software -nya terlebih dahulu. Cek link berikut untuk mendapatkan installer packagenya: GPG...
Post a Comment
Read more

Integrasi Sistem: Pengertian, Jenis, dan Pendekatannya

  Menggunakan komponen TI yang berbeda untuk tugas yang berbeda adalah praktik umum. Namun seiring berkembangnya fungsi bisnis, perusahaan mungkin kewalahan oleh banyak alat yang terputus-putus yang tidak dapat berbagi data dan bekerja bersama. Saat itulah integrasi sistem datang untuk menyelamatkan. Di artikel ini, kita akan mendalami tentang apa itu integrasi sistem beserta seluk-beluknya, jadi dibaca sampai habis yaa! Apa Itu Integrasi Sistem? Integrasi sistem adalah proses menggabungkan modul perangkat lunak dan perangkat keras ke dalam satu infrastruktur yang kohesif (padu), memungkinkan semua bagian bekerja secara keseluruhan. Selain itu, integrasi sistem yang sering disebut sebagai integrasi TI atau integrasi perangkat lunak, ini menghasilkan keuntungan sebagai berikut: Peningkatan produktivitas.  Sistem terintegrasi memungkinkan kontrol terpusat atas proses harian yang menambah efisiensi seluruh alur kerja. Perusahaan menyelesaikan lebih banyak pekerjaan dalam waktu ya...
Post a Comment
Read more

Memahami Apa Itu EDI! Sebuah Konsep Integrasi Sistem Terbaik!

Tenaga kerja tahun 80-an harus mengingat salah satu frasa trendi dari kantor tanpa kertas saat itu. Ketika komputer dengan tampilan video mulai bermunculan di kantor, orang-orang dengan penuh semangat menggunakan dokumentasi digital untuk menghemat waktu, uang, dan ruang. Banyak cara baru dalam komunikasi elektronik bermunculan. Diantaranya adalah EDI. Electronic Data Interchange melewati tugas pertukaran dokumen perusahaan dari manusia ke mesin. Ketat, universal, dan rawan kesalahan, EDI diperkenalkan di sektor transportasi untuk kemudian diadopsi di semua industri yang berurusan dengan ratusan dokumen dan kuitansi. Oke, jadi apa sih EDI itu? Mari kita simak bersama di artikel berikut ini. Apa Itu EDI dan Cara Kerjanya? Electronic Data Interchange atau EDI adalah metode pertukaran pesan digital yang diformat secara ketat antar komputer. Ini sering disebut "satu langkah di depan kertas." Ya, di era unlocking smartphone dengan wajah kita, kita masih menggunakan teknologi yang ...
Post a Comment
Read more