|
� WWW.SPYROZONE.TK � |
||
|
[116]. Mengamankan Database
------------------------------------------------------ Author : SPYRO KiD Contact : spyro_zone@Yahoo.COM ==> www.spyrozone.tk CopyLEFT (c) 2005 www.spyrozone.tk All Rights Reserved � 20/11/2005 23:26:20 WIB ------------------------------------------------------
atabase dewasa ini berpasangan sangat erat dengan aplikasi-aplikasi web. Kegunaannya pun beragam, mulai dari menyimpan nama-nama user, password, hingga menyimpan no kartu kredit (ingat khan artikel yang Spyro posting mengenai tehnik carding dengan meng-crack file database).
Tapi
sayangnya, keamanan database kerap kali diabaikan dan dianggap sebagai hal yang
tidak terlalu membutuhkan perlindungan keamanan. Hal ini bisa
disimpulkan dari sekian banyaknya artikel yang membahas tentang metode-metode
srangan terhadap database. Padahal, kebocoran informasi-informasi yang
ada pada database bisa berdampak fatal dan kerugian besar. Berikut ini beberapa
cara untuk pencegahan serangan terhadap database anda:
1.
Rajin mengupdate
Patch Sesegera mungkin downloadlah dan instal patch-patch terbaru yang tersedia. Biasanya, baik untuk Microsoft ataupun Oracle, patch-patch diedarkan secara reguler. Namunjangan lupa untuk melakukan pengujian terlebih dahulu. Perlu diingat bahwa anda harus melakukan pengujian pada system mirror, jangan pada system yang sebenarnya.
2.
Konfigurasi Firewall
Terapkan aturan-aturan firewall yang ketat. Pastikan anda memeriksanya secara
rutin dan berkala. Selalu blok port untuk akses-akses database seperti TCP dan
UDP 1434 (MS SQL) dan TCP 1521-1530 (Oracle)
3.
Sanitasi (Penyaringan Input) Anda harus mensanitasi input yang diterima dari user. Selalu periksa data-data yang diterima dan periksa tipenya (integer, string, dst..). Anda harus memotong karakter-karakter yang tidak diinginkan, misalnya saja meta karakter.
4.
Membuang Stored
Procedure
Pastikan anda telah membuang semua stored procedure (termasuk extended stored
procedure) dari keseluruhan database, tanpa terkecuali master. Script-script
yang tidak berbahaya tersebut bisa saja menjadi penumbang database yang paling
aman sekalipun.
5.
Penggunaan Stored
Procedure
Jika memungkinkan, gunakan kode SQL yang sudah digunakan ke dalam sebuah stored
procedure. Hal ini akan membatasi kode SQL yang perlu diatur dalam file ASP dan
mengurangi exploitasi serangan terhadap validasi input.
6.
Enkripsi Session
Jika server database anda terpisah dari web server, pastikan anda mengenkripsi
session dengan beberapa cara, misalnya saj menggunakan IPSec built in pada
windows 2000.
7.
Hak-Hak Khusus Pastikan (dan kalo bisa selalu) terapkan sesedikit mungkin hak-hak akses. Jangan menggunakan "sa" untuk mengakses file-file database.
Regards,
/* ------------------------------|EOF|------------------------------ */
|
||
| � Back |
� WWW.SPYROZONE.TK � |
|