Headers Security Website

Diposting pada

Di posting kali ini saya mau sharing beberapa security pada server, yang perlu di perhatikan jika kita mempunyai ip public/website.

Agar mengingkatkan keamanan pada server kita perlu menambahkan beberapa Header Security seperti :

1. Strict-Transport-Security(HSTS)

HSTS adalah mekanisme keamaan website yang memaksa web browser, untuk mengakses website hanya via HTTPS. Mungkin ada yang bertanya mengapa harus via HTTPS bukan via HTTP?, dikarenakan HTTPS bekerja pada port 443 dan memiliki jalur yang terenkripsi dan didalam HTTPS di tanambahn sertifikat SSL di dalamnya, sehingga meminimalisir adanya serangan dari pihak ketiga yang ingin melakukan pencurian data.

2. Content-Security-Policy (CSP)/X-WebKit-CSP /X-Content-Security-Policy

Content Security Policy atau CSP adalah pengaturan tambahan yang diterapkan melalui respon HTTP Headers. kegunaan dari CSP sendiri adalah untuk mencegah eksploitasi XSS,clickjacking maupun serangan dengan kode injeksi lainnya pada server. Dengan Content Security Policy kita bisa megatur sumber mana saja yang diijinkan untuk diload di server, sehingga jika attacker mencoba menyisipkan kode exploit dari sumber yang tidak dipercaya makan browser akan memblokir.

3. X-Frame-Options (Clickjacking mitigation)

X-Frame-Options HTTP response header dapat digunakan untuk mendeteksi apakah suatu browser diperbolehkan untuk rendering halaman web dalam frame atau iframe. Sebuah web dapat menggunakan ini untuk menghindari serangan clickjacking, dengan menjamin bahwa konten web tersebut tidak embedded ke dalam web lain.

4. X-XSS-Protection

XSS Protection merupakan salah satu proteksi untuk menghindari, salah satu jenis serangan injeksi code (code injection attack), yang merupakan instilah cross site scripting. XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan XSS ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

5. X-Content-Type-Options(Disabling content sniffing)

Fungsi dari X-Content-Type-Options adalah browser melakukan sniffing dari tipe file yang di akses. Hal ini mengurangi resiko pengguna mengupload file yang tidak sah ke server. Seperti memanipulasi nama file (contohnya : gambar.123jpg), yang akhirnya lolos dan tereksekusi sebagai backdoor secara normal.

6. Referrer-Policy

Referrer-Policy adalah mengontrol berapa banyak informasi referer (dikirim melalui header Referer) yang di dalam setiap code harus disertakan dengan permintaan.

7. Feature-Policy

Feature-Policy menyediakan mekanisme untuk membolehkan dan menolak penggunaan fitur browser di dalam sebuah website, dan dalam konten elemen iframe atau dalam bentuk dokumen.

8. Public-Key-Pins(HPKP)

Public-Key-Pins memberitahu web browser untuk mengaitkan public keys dengan web server tertentu untuk mencegah serangan MITM yang berbahaya. Untuk mencegah ada yang membajak koneksi HTTPS anda dengan menyamarkan sertifikat SSL maka HPKP (HTTP Public Key Pinning) bisa diaktifkan.

9. x-content-type

X-Content-Type-Options adalah penanda yang digunakan oleh server untuk menunjukkan bahwa tipe MIME yang diiklankan di header Tipe-Konten tidak boleh diubah dan diikuti. Hal ini memungkinkan untuk memilih tidak menggunakan sniffing tipe MIME, atau, dengan kata lain, ini adalah cara untuk mengatakan bahwa webmaster tahu apa yang mereka lakukan.

8. Remove Server Version Banner or Remove PHP Or Java version

Fungsi Remove server version di header itu penting, dikarenakan dengan informasi tersebut seorang hacking agar lebih mudah untuk mencari salah, sehingga remove service version itu sangat penting.

Untuk melakukan pengecekan header security yang sudah di public bisa menggunakan link berikut :

https://securityheaders.com/
https://www.htbridge.com/websec/
https://httpsecurityreport.com/
https://github.com/riramar/hsecscan
https://hackertarget.com/http-header-check/
https://tools.keycdn.com/curl

Pastikan Nilai dari Security Server Aplikasi mendapatkan grade A.

Sekian beberapa security header yang perlu di setting di server. Untuk penjelasan item-item header security dan tool pengecekan header security akan di update pada postingan ini.

Referensi :

  1. https://content-security-policy.com
  2. https://www.domainesia.com/panduan/cara-menghapus-hsts-pada-domain-di-web-browser/
  3. https://www.linuxsec.org/2017/02/content-security-policy.html
  4. https://edusoftcenter.com/mengamankan-apache-web-server-dari-clickjacking-attack/
  5. https://www.imperva.com/learn/application-security/clickjacking/
  6. https://modules.zendesk.com/hc/en-us/articles/115005388143-X-Frame-Options-Set-to-Deny
  7. https://id.wikipedia.org/wiki/XSS
  8. https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
  9. https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy
  10. https://www.linuxsec.org/2017/02/hardening-http-security-headers.html
  11. https://servernesia.com/1302/mengenal-security-header-https/

Untuk cara settingan Header Security pada Tomcat, Nginx, Apache, atau Httpd akan saya share di posting berikutnya.

Sekian tutorial kali ini. semoga bermanfaat 🙂

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

This site uses Akismet to reduce spam. Learn how your comment data is processed.