Database (dan khususnya SQL) telah lama menjadi bagian dari Integral dalam menjalankan bisnis.Baik dalam bentuk awalnya ,yaitu file database biasa maupun dalam bentuk sekarang ini,yaitu database yang berorientasi pada tingkat lanjut,keperluan atas penyimpanan dan pengaksesan informasi secara cepat menjadi hal-hal yang mendesak bagi tiap bisnis atau aplikasai-begitu pula web.
Aplikasi-aplikasi web sekarang ini berpasangan dengan database.database dipakai untuk beragam kegunaan mulai dari menyimpan nama-nama user dan password-pasword untuk akses resmi,sampai uuntuk menyimpan alamat-alamat email user dan informasi kartu kredit untuk mempermudah pengiriman produk dan pembayarannya.oleh karena itu ,pemahaman menyeluruh mengenai keamanan Web harus mencakup juga lapisan database nya dan terpenting memahami juga bagaimana penyusup berusaha memasuki aplikasi untuk memperoleh akses ke bagian-bagian datanya.
1. Selalu mengupdate patch-Baik untuk Microsoft maupun oracle ,patch-patch dan beberapa perbaikan baru biasanya diedarkan secara regular .Pastikan anda mendownload dan menginstalnya segera setelah patch-patch itu tersedia.Selalu menguji patch terlebih dahulu pada system mirror atau pada system yang tak menghasilkan produksi ,jangan pada system yang sebenarnya,Saya tidak ingin anda merusak system yang sudah berjalan.
2. Terapkan aturan-aturan Firewall yang ketat-pastikan anda memeriksa konfigurasi firewall dari waktu ke waktu dan selalu memblock port-port akses database seperti TCP dan UDP 1434 (MS SQL) dan TCP 1521-1520 (Oracle).
3. Sanitasi/Penyaringan Input,Anda harus mensanitasi input yang di terima dari user data –data yang diterima harus diperiksa tipenya (integer,string,dan seterusnya) dan harus memotong karakter-karakter yang tidak diinginkan,misalnya meta karakter.
4. Membuang Stored Procedure-Pastikan anda telah membuang semua stored procedure (termasuk extended stored procedure) dari keseluruhan database,termasuk Master.Script-script yang kelihatannya tidak berbahaya ini bisa member bantuan dalam menumbangkan bahkan database yang paling aman sekalipun.
5. Penggunaan Stored procedure-bilamana memungkinkan,gunakan secara berulang-ulang kode SQL,yang sudah dipakai ke dalam sebuah stored Procedure.Hal ini akan membatasi kode SQL yang perlu diatur dalam file ASP dan mengurangi eksploitasi serangan terhadap Validasi input.
6. Enkripsi Session-Jika server database Anda terpisah dari Web server,pastikan anda mengenkripsi session dengan beberapa cara ,misalnya menggunakan IPSec built-in Pada Windows.
7. Sedikit Hak-hak khusus- Pastikan Anda menerapkan sesedikit mungkin hak-hak akses.jangan menggunakan “sa” untuk mengakses file-file database.
Tidak ada komentar:
Posting Komentar