Kuliah tentang Web Security


Sambil menikmati ketupat lebaran, saya mau melanjutkan sharing tentang perjalanan saya ke University Autonoma Barcelona (UAB). Setelah memberi materi kuliah tentang malware dan cryptography, tugas terakhir saya adalah memberikan materi kuliah tentang Web security. Materi ini saya berikan pada mahasiswa Computer Engineering UAB tingkat 3. Ada 2 kelas yang digabung jadi satu, yaitu kelas Infomation Security yang diampu Prof Guillermo Navarro dan kelas web technology yang diampu Prof Ian Blanes.

Keamanan Web

Materi ini sebenarnya idenya Guille, karena sebenarnya di perkuliahan mereka tidak ada materi khusus tentang keamanan web. Jadi saya diminta untuk memberi pengenalan tentang keamanan web. Hanya saja tantangannya adalah perkuliahan ini tidak diberikan di lab, dan mereka gak bawa laptop. Selain itu saya cuman diberi waktu 1 jam untuk menyampaikan materi ini dengan peserta sekitar 100 orang. Awalnya Guille menyampaikan saya diberi waktu 2 jam, cuman sepertinya ada miskomunikasi dengan Ian, jadinya kuliahnya cuman 1 jam.

Di email Guille sempat menanyakan apa judul dari kuliah tamu saya, buat diumumin di milist katanya. Saya tawarkan 3 alternatif berikut:

  • Web Security, A guide to securing your web
  • How to defense your web from hacker
  • Mastering web security technique

Guille lebih senang dengan judul yang pertama. Kuliah tamu ini saya bagi menjadi 6 bagian berikut:

  1. Introduction
  2. Web security case
  3. OWASP Top 10
  4. Basic web security standard
  5. Web security technology
  6. discussion;

OWASP Top 10

Di bagian introduction saya menceritakan sebuah fakta bahwa setiap harinya ada 30ribu website yang dihack. Kenapa begitu banyak? karena ada banyak celah keamanan pada website, selain itu juga ada ratusan tools di internet yang bisa digunakan untuk menyerang website. Kemudian saya menceritakan beberapa contoh kasus serangan terhadap web.

Bercerita tentang keamanan web tentunya tidak sah kalau belum berbicara tentang OWASP. Di bagian ini saya bercerita tentang OWASP Top 10, yaitu 10 jenis serangan pada web yang paling berbahaya. Saya menampilkan juga beberapa demo tentang serangan tersebut. Kemudian saya sampaikan juga tentang teknik secure coding. Yaitu beberapa teknik coding web untuk mengurangi celah keamanan. Selanjutnya saya jelaskan juga beberapa teknik untuk mengamankan  web, teknik autentikasi, mengamankan password, mengamankan session dll.

Diskusi

Di bagian terakhir saya ceritakan tentang beberapa alat bantu untuk mengamankan web, seperti Web Appication Firewall, berbagai tools web scanner dan beberapa tempat buat latihan tentang web hacking. Saya juga menampilkan beberapa demo celah keamanan menggunakan web altoro mutual. Mahasiswa terlihat cukup antusias mengikuti materi ini. Bahkan mereka mampu menjawab beberapa pertanyaan yang saya ajukan. Pada sesi diskusi ada yang bertanya tentang tools SSL strip, tentang session hijacking dll. Seru emang ngajar bule2 catalan ini. Semoga Bermanfaat!

Materi kuliah bisa dilihat di bawah ini:

Web security uploadv1 from Setia Juli Irzal Ismail

Satu tanggapan untuk “Kuliah tentang Web Security”

Silahkan tuliskan tanggapan, kritik maupun saran