Apa itu Penjelajahan Paksa dan Bagaimana Cara Kerjanya?

Aplikasi web merupakan elemen penting dalam penyediaan layanan di internet.

Bukan lagi berita bahwa banyak yang menderita kerentanan keamanan. Sebuah situs web dapat mengekspos individu pada risiko yang signifikan jika tidak dilindungi dengan benar.

Penyerang dapat mengakses halaman terbatas dan data pengguna rahasia menggunakan beberapa teknik, termasuk penjelajahan paksa.

Pada artikel ini, kita akan membahas konsep penjelajahan paksa dan cara kerjanya.

Apa itu Penjelajahan Paksa?

Penjelajahan paksa adalah teknik yang digunakan oleh penyerang untuk mendapatkan akses ke halaman web yang dibatasi, atau sumber daya lainnya, dengan memanipulasi URL. Ini juga disebut sebagai penjelajahan yang kuat. Seperti namanya, penyerang secara paksa menelusuri sumber daya yang tidak mereka miliki otorisasinya.

Serangan semacam itu menargetkan file di direktori server web, atau URL terbatas, yang tidak memeriksa otorisasi.

Sumber daya ini menguntungkan penyerang jika mengandung data sensitif. Ini bisa tentang situs web itu sendiri atau pelanggan situs tersebut. Data sensitif mungkin termasuk:

• Kredensial
• Kode sumber
• File cadangan
• Log
• Konfigurasi
• Detail jaringan internal

Jika sebuah situs web dapat menjadi korban serangan penjelajahan paksa maka itu tidak aman dengan benar.

Otorisasi harus memastikan bahwa pengguna memiliki izin yang sesuai untuk mengakses halaman terbatas. Pengguna memberikan detail login mereka, seperti nama pengguna dan sandi, sebelum mereka diizinkan mengakses. Penjelajahan paksa mencoba melewati pengaturan keamanan ini dengan meminta akses ke jalur terbatas. Ini menguji untuk melihat apakah itu dapat mengakses halaman tanpa memberikan kredensial yang valid.

Bagaimana Cara Kerja Penjelajahan Paksa?

Penjelajahan paksa adalah masalah umum dengan situs web yang memiliki berbagai peran pengguna seperti pengguna biasa dan pengguna admin. Setiap pengguna masuk dari halaman yang sama tetapi memiliki akses ke menu dan opsi yang berbeda. Namun, jika halaman yang mengarah ke menu tersebut tidak aman, pengguna mungkin menebak nama halaman yang valid dan mencoba mengakses URL-nya secara langsung.

Beberapa skenario menunjukkan cara kerja penjelajahan paksa, apakah itu dilakukan secara manual atau dengan menggunakan alat otomatis. Mari kita lihat beberapa contoh.

1. Halaman akun yang tidak aman

Seorang pengguna masuk ke situs web dan URL untuk halaman akun mereka adalah www.example.com/account.php? pengguna=4. Pengguna dapat melanjutkan untuk melakukan rotasi angka dan mengubah URL menjadi www.example.com/account.php? pengguna=6. Jika halaman terbuka, mereka akan dapat mengakses informasi pengguna lain tanpa perlu mengetahui detail login mereka.

2. Halaman pesanan yang tidak aman

Pengguna dengan akun di situs web e-niaga melihat salah satu pesanan mereka di www.example.com/orders/4544. Mereka sekarang mengubah ID pesanan secara acak menjadi www.example.com/orders/4546. Jika halaman pesanan memiliki kelemahan penjelajahan paksa, penyerang mungkin menemukan detail pengguna dengan pesanan itu. Paling tidak, mereka akan mengambil informasi tentang pesanan yang bukan milik mereka.

3. Pemindaian URL

Penyerang menggunakan alat pemindaian untuk mencari direktori dan file di sistem file server web. Mungkin memindai nama umum admin, kata sandi, dan file log. Jika alat mendapatkan respons HTTP yang berhasil, ini menyiratkan bahwa ada sumber daya yang cocok. Kemudian penyerang akan melanjutkan dan mengakses file.

Metode Penjelajahan Paksa

Penyerang dapat melakukan serangan penjelajahan paksa secara manual atau dengan alat otomatis.

Dalam penjelajahan paksa manual, penyerang menggunakan teknik rotasi angka, atau menebak dengan benar nama direktori atau file dan mengetiknya di bilah alamat. Metode ini lebih sulit daripada penggunaan alat otomatis karena penyerang tidak dapat mengirim permintaan secara manual pada frekuensi yang sama.

Penjelajahan paksa dengan bantuan alat otomatis melibatkan penggunaan alat untuk memindai direktori dan file yang ada di situs web. Banyak file terbatas biasanya disembunyikan tetapi alat pemindaian dapat mengeluarkannya.

Alat otomatis memindai melalui banyak nama halaman potensial dan mencatat hasil yang diperoleh dari server. Mereka juga menyimpan URL yang sesuai dengan setiap permintaan halaman. Penyerang akan melanjutkan untuk melakukan penyelidikan manual untuk menemukan halaman mana yang dapat mereka akses.

Dengan kedua metode tersebut, penjelajahan paksa seperti serangan brute force, di mana penyerang tebak kata sandi Anda.

Cara Mencegah Penjelajahan Paksa

Berikut adalah sesuatu yang perlu diingat: menyembunyikan file tidak membuat mereka tidak dapat diakses. Pastikan Anda tidak berasumsi bahwa, jika Anda tidak menautkan ke halaman, penyerang tidak dapat mengaksesnya. Penjelajahan paksa menyanggah asumsi ini. Dan nama umum yang ditetapkan untuk halaman dan direktori dapat dengan mudah ditebak, membuat sumber daya dapat diakses oleh penyerang.

Berikut adalah beberapa tips untuk membantu Anda mencegah penjelajahan paksa.

1. Hindari Penggunaan Nama Umum untuk File

Pengembang biasanya mengalokasikan nama umum ke file dan direktori web. Nama-nama umum ini mungkin "admin", "log", "administrator", atau "backup". Melihat mereka, mereka cukup mudah ditebak.

Salah satu cara untuk mencegah penjelajahan paksa adalah dengan memberi nama file dengan nama yang aneh atau rumit yang sulit diketahui. Dengan itu, penyerang akan memiliki kacang yang sulit untuk dipecahkan. Teknik yang sama membantu dengan membuat kata sandi yang kuat dan efektif.

2. Jauhkan Daftar Direktori Anda Di Server Web

Konfigurasi default menimbulkan risiko keamanan karena dapat membantu peretas mendapatkan akses tidak sah ke server Anda.

Jika Anda mengaktifkan daftar direktori di server web Anda, Anda dapat membocorkan informasi yang akan mengundang penyerang. Anda harus mematikan daftar direktori Anda dan menjauhkan detail sistem file dari pandangan publik.

3. Verifikasi Otentikasi Pengguna Sebelum Setiap Operasi Aman

Sangat mudah untuk mengabaikan kebutuhan untuk mengautentikasi pengguna situs pada halaman web tertentu. Jika Anda tidak hati-hati, Anda mungkin lupa melakukannya.

Pastikan halaman web Anda hanya dapat diakses oleh pengguna yang diautentikasi. Terapkan pemeriksaan otorisasi di setiap langkah untuk menjaga keamanan.

4. Gunakan Kontrol Akses yang Tepat

Menggunakan kontrol akses yang tepat melibatkan pemberian akses eksplisit kepada pengguna ke sumber daya dan halaman yang sesuai dengan hak mereka dan tidak lebih.

Pastikan Anda menentukan jenis file yang izinnya diakses oleh pengguna. Misalnya, Anda dapat membatasi pengguna untuk mengakses file cadangan atau database.

Berhadapan dengan Penyerang

Jika Anda meng-host aplikasi web di internet publik, Anda mengundang penyerang untuk mencoba yang terbaik untuk memaksa masuk. Dengan pemikiran ini, serangan penjelajahan paksa pasti akan terjadi. Pertanyaannya adalah: apakah Anda akan mengizinkan penyerang untuk mendapatkan akses ketika mereka mencoba?

Anda tidak harus. Berikan perlawanan yang kuat dengan menerapkan berbagai lapisan keamanan siber di sistem Anda. Adalah tanggung jawab Anda untuk mengamankan aset digital Anda. Lakukan apa pun yang harus Anda lakukan untuk mengamankan apa yang menjadi milik Anda.

5 Kali Serangan Brute Force Menyebabkan Pelanggaran Keamanan Besar

Pengguna online berada di bawah ancaman terus-menerus dari pelanggaran keamanan, dan serangan brute force adalah penyebab khusus yang menjadi perhatian. Berikut adalah beberapa yang terburuk.

Baca Selanjutnya

Tentang Penulis