TIPS MELINDUNGI KOMPUTER DARI SERANGAN HACKER

Hacker atau yg biasa disebut dengan peretas merupakan orang yang mencari kelemahan sistem dan mengeksploitasinya. Tidak semua hacker itu dursila, terdapat juga yang baik, hacker jenis ini disebut menggunakan white hacking, pekerjaannya umumnya seperti mencari kelemahan sistem dan memperbaikinya supaya tidak dibobol oleh orang lain. Sedangkan yang dursila adalah black hacking, pekerjaannya merupakan kebalikan menurut white hacking yaitu mencari kelemahan sistem dan merusaknya ataupun mencuri data di dalamnya.

Dalam global keamanan IT, meng-hack dan dihack itu sudah biasa, bahkan pada sehari ada banyak sekali kegiatan hacking pada dunia ini. Karena itulah Anda wajib berhati-hati, mampu saja akun atau komputer Anda dihack sang seseorang yang tidak diketahui, lantaran black hacking mampu beroperasi kapan saja dimana saja tanpa Anda mengetahuinya.
Saya punya beberapa tips buat Anda agar personal komputer dan akun pada internet Anda nir dihack menggunakan mudah. Mari kita simak yg berikut ini.
Pasang antivirus serta selalu update antivirus

Antivirus memang sangat krusial buat membasmi virus, namun antivirus juga bisa melindungi Anda berdasarkan serangan para hacker. Ini dikarenakan para hacker umumnya menggunakan sebuah virus trojan backdoor buat membuat akses ke komputer target, sehingga para hacker mampu mengintip apa yg dilakukan, apa yang diketik, dan semua data korban. Apabila kita memasang antivirus, virus trojan backdoor yang dimasukkan ke pada personal komputer kita akan terdeteksi serta diblokir secara otomatis sang antivirus, sebagai akibatnya hacker akan sulit buat memasuki komputer kita. Saya sarankan untuk memakai antivirus menggunakan proteksi tambahan (umumnya ada goresan pena internet security di belakangnya), karena memiliki firewall tambahan serta link detection yg akan lebih aman daripada antivirus biasa, dan jua selalu update antivirus, update antivirus berguna buat menambah database virus dalam antivirus sehingga virus yang baru dibentuk bisa dikenali pribadi sang antivirus.
Selalu update Windows serta pelaksanaan lainnya

Semua software niscaya selalu diupdate oleh pembuat perangkat lunak tersebut, contohnya Windows, Photoshop, Microsoft Word, dll. Kenapa pembuat tadi mengupdate softwarenya?, karena buat menaikkan performa serta keamanan. Sudah saya sebutkan pada situ keamanan, seiring berjalannya ketika software pasti akan ditemukan celah keamanannya sang orang lain atau produsen perangkat lunak tadi, para hacker umumnya memanfaatkan celah tersebut buat masuk ke sistem komputer korban. Lantaran itu pembuat perangkat lunak mengupdate softwarenya ke versi yang lebih baru buat menutup celah tersebut, sehingga penggunanya kondusif. Jadi selalu update aplikasi yg terdapat pada komputer Anda, jangan sampai terdapat aplikasi yang versinya telah usang.
Membuat password yang kuat

Password biasanya digunakan pada sistem keamanan buat memverifikasi apakah itu Anda atau bukan. Apabila seorang mengetahui password akun Anda, maka mereka bisa masuk serta merubah akun tadi tanpa sepengetahuan Anda. Ini sangat berbahaya, terutama bagi privasi Anda, apalagi pada pada akun tadi ada data penting. Untuk itu Anda wajib membuat password yg kuat, contohnya mengkombinasikan alfabet menggunakan nomor , menciptakan istilah yang sulit, dan lain-lain. Baca jua: Tips dalam membuat password yg kuat.
Gunakan Windows 7 ke atas

Windows 7 merupakan versi Windows sesudah Windows XP dan Vista, serta dirilis dalam tahun 2009. Versi ini mempunyai fitur dan tampilan yg lebih bagus daripada Windows sebelumnya, dan tentu saja keamanan yang lebih. Bagi Anda yang masih menggunakan Windows XP atau Windows Vista, saya sarankan buat mengupgrade Windowsnya ke Windows 7 atau lebih. Mengapa?, karena dalam Windows tersebut terutama Windows XP memiliki celah yang sangat lebar serta bisa dimasuki oleh para hacker menggunakan mudahnya tanpa menyentuh personal komputer target. Jadi tunggu apa lagi, buruan upgrade sebelum hacker merogoh seluruh data Anda.
Lebih baik pakai kabel daripada wireless
Kabel yg dimaksud pada sini merupakan kabel yang berfungsi buat menghubungkan personal komputer ke jaringan (kabel UTP) dan kabel yang berfungsi buat menghubungkan device lain ke komputer Anda. Sayangnya, kebanyakan orang lebih memilih wireless seperti bluetooth dan Wi-Fi daripada kabel karena lebih mudah. Meskipun lebih mudah, ternyata wireless ini mempunyai poly kelemahan terutama pada keamanannya. Semua device yang menggunakan koneksi wireless mempunyai celah (kelemahan/vuln) yang memungkinkan orang bisa melihat data yang ditransfer bahkan merogoh akses device tadi.

Salah satu contoh berdasarkan koneksi wireless yg tidak kondusif merupakan Wi-Fi. Siapa yang nir mengenal Wi-Fi di jaman kini ini?, bahkan hampir semua orang menggunakannya. Apalagi jika Wi-Fi tadi tidak dipassword, pasti sudah diserbu oleh banyak orang. Tetapi jangan terlalu senang jika terdapat free Wi-Fi, justru Anda wajib risi lantaran para hacker umumnya memakai Wi-Fi seperti itu untuk mencari mangsa. Atau malahan free Wi-Fi tadi hanyalah pancingan dari pemilik Wi-Fi buat menerima beberapa kabar penting misalnya password menurut pengguna free Wi-Fi tersebut.
Bukan hanya Wi-Fi, mouse serta keyboard yang memakai bluetooth atau gelombang radio pun bisa diambil alih kendalinya sang orang lain. Jadi saran aku , pakai saja kabel untuk mouse atau internet, jangan pakai Wi-Fi pada luar, pakai saja Wi-Fi yang telah terpercaya contohnya milik teman Anda atau sekolah yg telah dipassword, atau pakai tethering memakai mobile data handphone.
Jangan klik dalam link yang mencurigakan
Halaman web yang terdapat pada internet memiliki poly sekali link yg menuju ke website lain. Link tersebut umumnya kita klik buat pindah ke halaman lain atau mendownload suatu file. Namun nir semua link itu benar, terdapat pula link yg palsu serta menunjuk ke tujuan yang tidak sama, sanggup saja link tersebut berisi virus. Link yang berisi virus tadi beredar di banyak page web dan e-mail. Lantaran itu berhati-hatilah bila terdapat link yang mencurigakan, jangan klik dalam link tersebut.
Gunakan dua step verification

2 step verification merupakan fitur keamanan yang berguna buat memverifikasi apakah pengguna yang akan login benar-sahih pemilik akun. Fitur ini telah disediakan di Google, Microsoft, dan lain-lain. Dengan menyalakan fitur 2 step verification, setelah memasukkan password maka Anda akan ditanya verification key yg akan dikirim ke handphone Anda, jadi kemungkinan akun Anda dihack sanggup diminimalisir dengan fitur ini.
Hati-hati bila menyalakan Macro pada Microsoft Office

Macro pada Microsoft Office merupakan sebuah script buat melakukan mekanisme serta jua merekam jejak mouse serta keyboard. Pada umumnya macro dibuat dengan bahasa BASIC, serta terdiri berdasarkan kode buat menjalankan prosedur. Tetapi yang terbaru ditemukan celah buat memasukkan virus melalui macro pada dokumen tadi, dan telah banyak orang menjadi korbannya. Jadi hati-hati jika Anda diberi dokumen sang seseorang yg nir Anda kenal dan dokumen tadi meminta Anda untuk menyalakan macro, sanggup saja dokumen tersebut hanyalah jebakan agar pengirim dokumen tersebut menerima akses ke dalam sistem komputer Anda.
Jangan gunakan Internet Explorer

Microsoft Internet Explorer merupakan browser yg dibentuk sang Microsoft dan umumnya sudah ada dalam saat Windows tadi pertama kali diinstall. Sayangnya, browser ini sudah jarang digunakan karena diklaim lambat oleh penggunanya, sehingga kebanyakan orang beralih dan memakai browser baru misalnya Google Chrome dan Mozilla Firefox. Selain lambat, ternyata Internet Explorer mempunyai poly kelemahan terutama pada keamanannya, misalnya ActiveX yg memungkinkan para hacker mendapatkan akses ke komputer tadi menggunakan mudah. Jadi gunakanlah browser generasi baru misalnya Mozilla Firefox, Google Chrome, Opera serta lain-lain, pastikan juga versinya yang terbaru.
Jangan pakai Adobe Flash Player

Adobe Flash Player adalah plugin yang dibutuhkan buat menjalankan beberapa pelaksanaan flash misalnya video, animasi, game serta lain-lain. Apabila kita membuka video pada YouTube atau game flash serta kita belum memasang flash player, niscaya kita akan diminta buat menginstall Adobe Flash Player terlebih dahulu. Namun perlu diketahui jua, bahwa Adobe Flash Player memiliki poly celah keamanan. Bahkan Apple yang dulunya menggunakan Adobe Flash Player buat memutar konten flash, sekarang malah membanned Adobe Flash Player menurut seluruh produknya karena celah keamanan tersebut. Jadi aku sarankan agar tidak memasang Adobe Flash Player, lalu bagaimana saya memutar konten flash misalnya video, animasi serta lain-lain?, Anda sanggup memakai browser Google Chrome buat membuka konten flash tersebut, karena Google Chrome telah dilengkapi dengan flash player jadi nir perlu memasang Adobe Flash Player lagi.
Hati-hati menggunakan arsip yg mencurigakan

Di komputer ada poly sekali file, entah itu file gambar, musik, dokumen, program ataupun yang lainnya. Sumber arsip tersebut pun beragam, terdapat yg menurut bawaan Windows, internet, flashdisk dan lain-lain. Jika Anda menemukan sebuah arsip yang tidak Anda kenali sebelumnya, jangan langsung dibuka, sanggup saja itu adalah virus backdoor yg memungkinkan hacker mengakses komputer Anda. Virus tersebut bisa disisipkan di mana saja, dan ukurannya sangat kecil lebih kurang 73 KB, bila sudah dibuka sekali maka virus tadi akan melekat di komputer dan tidak bisa tidak boleh lewat task manager lantaran virus tadi menyisipkan dirinya ke acara lain. Jadi saran saya, jika menemukan file yang mencurigakan, jangan pribadi membuka arsip tersebut, melainkan scan terlebih dahulu dengan antivirus yg terupdate, jika hasilnya nihil baru Anda bisa membuka arsip tersebut.
Saya harap sesudah membaca artikel ini Anda jadi lebih sanggup buat melindungi sistem serta data Anda dan meminimalisir akun atau komputer Anda dihack. Semoga bermanfaat.

FIREWALL ADALAH PENGERTIAN FUNGSI JENIS CARA KERJA DAN KARAKTERISTIK

Firewall Adalah - Pengertian, Fungsi, Jenis, Cara Kerja dan Karakteristik - Firewall secara umum dikenal sebagai sebuah sistem yg mengatur komunikasi antara dua jaringan yg tidak selaras. Firewall ini sanggup dianggap menjadi pengontrol akses keluar masuknya fakta menuju jaringan privat dari pihak luar. Semakin berkembangnya zaman, banyak perusahaan yg memakai jaringan private internet buat melindungi aset data digital mereka berdasarkan agresi-agresi yg nir diinginkan. Oleh karenanya, firewall ini memiliki fungsi yang esensial buat menjaga data digital anda.

Pengertian Firewall, Fungsi, Jenis, Cara Kerja dan Karakteristik

Pengertian Firewall (Tembok Api)

Pengertian Firewall adalah sebuah suatu sistem yang dibuat untuk mencegah akses yang nir diinginkan dari atau ke dalam suatu jaringan internet. Untuk mencegah banyak sekali agresi yg tidak diinginkan, firewall bekerja dengan mengontrol baik itu melacak, mengendalikan dan tetapkan suatu perintah bahwa jaringan ini boleh lewat (pass), perlu dijatuhkan (drop), perlu ditolak (reject), melakukan enkripsi dan mencatat history atau kegiatan data.
Menurut Wikipedia Firewall atau Tembok Api merupakan :
Tembok barah, tembok pelindung atau dinding barah (bahasa Inggris: firewall) adalah suatu sistem yang dirancang untuk mencegah akses yg nir diinginkan dari atau ke pada suatu jaringan internal.
Firewall mengikuti petunjuk kebijakan keamanan (security policy) yg dibentuk sang sistem keamanan (Ahli IT) yang melakukan setting terhadap keamanan jaringan internet atas keluar masuknya data. Sehingga kunci dari big data sebuah perusahaan terdapat dalam sebuah sistem keamanan tersebut. Firewall ini bisa dikatakan mutlak sine qua non pada setiap personal komputer yg terkoneksi dengan internet. Karena hal ini diharapkan sebagai gerbang keamanan antara jaringan lokal serta jaringan luar.

Fungsi Firewall

Pada dasarnya fungsi firewall dalam jaringan berguna sebagai sistem keamanan, untuk lebih detilnya tentang fungsi firewall sebagai berikut :
  • Mengontrol serta mengatur perjalanan lalu lintas paket data yg masuk ke jaringan private semisal VPN (baca: VPN Adalah).
  • Autentikasi terhadap paket data yang dikirim dari sumber asalnya.
  • Melakukan proteksi terhadap sumber daya yang ada pada jaringan privat
  • Membuat catatan history seluruh insiden serta melakukan pelaporan kepada administrator

Mengontrol serta Mengatur Arus Paket Data

Firewall berfungsi sebagai pengontrol serta pengatur arus paket data yg akan diizinkan masuk ke jaringan private dengan melakukan filtering melalui inspeksi terhadap paket data serta memantau koneksi yang dibuat menurut jaringan sumber.

Melakukan Inspeksi Paket Data Masuk dan Keluar

Firewall melakukan inspeksi paket data menggunakan menghadang buat menentukan apakah paket data tersebut diizinkan atau ditolak masuk atau keluar berdasarkan jaringan private menurut kebijakan akses (access policy) yg dibentuk administrator. Untuk melakukan inspeksi paket data, firewall melakukan verifikasi data:
  • Alamat IP personal komputer sumber (baca: Apa itu Alamat IP?)
  • Port sumber dalam komputer sumber
  • Alamat IP personal komputer tujuan
  • Port tujuan data pada personal komputer tujuan
  • Protokol IP
  • Informasi header-header yg disimpan dalam paket

Autentikasi Terhadap Paket Data

Proses autentikasi oleh firewall ini dimaksudkan buat menghindari masuknya jaringan yg tidak dikenal untuk berkomunikasi menggunakan jaringan private yg kita miliki. Ada beberapa prosedur yang dilakukan firewall dalam proses autentikasi:
  1. Metode autentikasi menggunakan memakai username serta password pengguna. Jika pengguna memasukkan username dan password menggunakan benar, maka pengguna diizinkan memasuki jaringan. Namun, bila jaringan terputus, maka pengguna wajib memasukkan username serta password lagi.
  2. Metode autentikasi menggunakan memakai sertifikat digital dan kunci publik. Metode ini lebih praktis serta lebih cepat tanpa campur tangan pengguna misalnya metode pertama. Tetapi, metode ini memerlukan komponen yang lebih rumit seperti implementasi infrastruktur kunci publik.
  3. Metode autentikasi menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahukan kepada pengguna. Setiap kali pengguna akan memasuki jaringan private wajib memasukkan kata kunci atau dikenal menggunakan paswordnya. Hal ini lebih simpel dari kedua metode diatas, namun metode PSK ini memiliki kelemahan yakni kunci/password jarang sekali di update serta pengguna selalu memakai kunci yang sama setiap kali akan masuk ke jaringan.
Dari ketiga metode diatas, bisa disimpulkan buat melakukan autentikasi terhadap pengguna lebih baik melakukan kombinasi menurut metode 1 dan tiga atau 2 dan tiga.

Memproteksi Sumber Daya Pada Jaringan Private

Firewall mempunyai fungsi untuk menjaga sumber daya berdasarkan serangan atau ancaman yang mungkin tiba dari host yang nir dianggap atau lalu lintas jaringan yg mencurigakan. Proteksi dilakukan menggunakan cara melakukan setting pada peraturan akses (access control), penggunaan SPI, application proxy, atau beragam kombinasi buat mengamankan asal daya.

Jenis Firewall

Jenis firewall ini dibedakan menjadi 2 jenis yakni:
  1. Personal Firewall dibuat buat memproteksi personal komputer yg terkoneksi ke jaringan berdasarkan akses yang mencurigakan atau yang tidak dikehendaki. Fitur menurut personal firewall yakni packet filter firewall dan stateful firewall. Personal firewall kini ini memiliki majemuk fitur keamanan misalnya perlindungan terhadap virus, anti-spyware, anti-spam dll. Contoh produknya seperti Microsoft Windows Firewall, Symantec Norton Personal, Kerio Personal Firewall dan lain-lain.
  2. Network Firewall dibuat buat memproteksi jaringan secara keseluruhan menurut aneka macam ancaman dan agresi yg datang. Fitur berdasarkan network firewall meliputi fitur yg dimiliki personal firewall (packet filter firewall serta stateful firewall), circuit level gateway, application level gateway, dan NAT firewall. Network firewall ini memakai teknologi routing buat memilih pake data ini diizinkan atau ditolak.

Cara Kerja Firewall

Bagaimana cara kerja firewall? Secara sederhana firewall berfungsi menjadi "penghalang" antara personal komputer dan internet, sanggup dikatakan menjadi pelindung. Firewall bekerja bukan hanya sebagai pelindung saja, tetapi jua bisa menganalisis jaringan yang akan masuk ke personal komputer anda dan melakukan tindakan yang harus dilakukan waktu jaringan sudah masuk. Contohnya firewall akan melakukan blokir terhadap beberapa jaringan yg mencoba keluar serta mencatat log aktifitas arus jaringan yang dicurigai.
Cara kerja firewall berdasarkan jenisnya memiliki beberapa fungsi yg berbeda, namun tujuannya sama yakni menjadi proteksi. Untuk lebih jelasnya sebagai berikut:

Packet Filter Firewall

Cara kerja packet filter firewall yakni melakukan perbandingan antara alamat sumber paket data 
dengan kebijakan akses dalam access control list firewall, pada hal ini memakai router, jadi router mempunyai peranan penting apakan akan meneruskan atau tetapkan paket data yang akan masuk ke jaringan privat.

Circuit Level Gateway

Cara kerja circuit level gateway yakni memakai komponen dalam sebuah proxy server sehingga beroperasi di level yang lebih tinggi pada tingkatan 7 OSI layer (baca: fungsi 7 OSI layer) daripada packet filter firewall. Paket firewall ini menciptakan sirkuit virtual (virtual circuit) bagi pengguna serta sumber daya dalam menjalankan aktifitasnya, sehingga alamat IP menurut pengguna nir bisa dilihat sang pengguna luar, yang terlihat merupakan alamat IP firewall.

Application Level Gateway

Cara kerja application level gateway yakni menggunakan melakukan autentikasi kepada pengguna sebelum mengizinkan akses menuju jaringan. Setelah diizinkan masuk jaringan, paket firewall ini memakai auditing dan pencatatan aktifitas pengguna atas kebijakan security yang diterapkan. 

Firewall Statefull

Cara kerja firewall stateful ini bisa dibilang kompleks kombinasi menurut packet filter firewall, circuit level gateway, NAT firewall, serta proxy firewall kedalam satu sistem. Firewall ini hanya tersedia pada Cisco PIX.
Selain 4 jenis firewall diatas, masih ada lagi seperti impian firewall, transparent firewall, serta NAT firewall.

Karakteristik Firewall

Karakteristik firewall meliputi tiga hal yakni,
  1. Firewall harus kebal serta relatif bertenaga berdasarkan banyak sekali serangan menggunakan melakukan koneksi jaringan dari host yg terpercaya dan nisbi aman.
  2. Seluruh aktifitas dan kemudian lintas masuk serta keluar harus melewati firewall.
  3. Firewall dapat dilalui sang aktifitas atau kemudian lintas yg telah terdaftar/dikenal sebelumnya dengan melakukan setting pada kebijakan akses (access policy) keamanan lokal.
Demikian ulasan lengkap dari panduan komputer laptop tentang pengertian firewall, fungsi, jenis, cara kerja dan karakteristik. Semoga bisa membantu anda dalam melengkapi tugas atau sebagai penambah wawasan anda tentang jaringan. Intinya firewall ini adalah tembok pelindung antara komputer dan internet. Namun, dalam menghadapi serangan-serangan dari luar seperti virus, spyware, spam dsb. masih membutuhkan aplikasi pelengkap seperti antivirus. Dengan kombinasi ini firewall dan antivirus ini, dimungkinkan komputer anda akan lebih aman dan terjaga privasinya. Berikutnya kami coba ulas cara mengaktifkan firewall di laptop/PC. Baik itu saja saya kira, semoga bisa bermanfaat, jangan lupa share, like dan komentar. Terima kasih

MENJELASKAN KEAMANAN APLIKASI WEB

Menjelaskan Keamanan Aplikasi Web 
Aplikasi web adalah suatu lingkungan yang terstruktur dalam bentuk acara komputer yg memungkinkan pengunjung website memasukkan serta menampilkan data dari dan ke suatu database server melalui internet dengan menggunakan web browser. Kemudian data ditampilkan ke pengguna menjadi fakta yang dihasilkan secara dinamis sang pelaksanaan web melalui web server. 

Ciri serta Sifat Aplikasi Web
Menurut Roger S. Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan suatu pelaksanaan web memiliki disparitas menggunakan aplikasi lainnya, lantaran mempunyai sifat serta karakteristik-ciri sebagai berikut:

1. Network Intensive
Network intensive Sifat dasar menurut suatu pelaksanaan web merupakan terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani beragam kebutuhan dari penggunanya.

Network intensive Sifat dasar menurut suatu pelaksanaan web merupakan terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani beragam kebutuhan dari penggunanya.

2. Content Driven
Fungsi utama menurut aplikasi web merupakan buat menampilkan kabar berupa teks, gambar, audio, serta video kepada para penggunanya.

3. Continuous Evolution
Aplikasi web mengalami perubahan secara terus-menerus (continuous evolution), terutama dalam bagian isi (warta) berdasarkan pelaksanaan tadi.

4. Document-Oriented
Halaman-page web yang bersifat statis akan permanen terdapat meskipun sudah terdapat teknik pemrograman web menggunakan menggunakan bahasa pemrograman java atau yg lainnya.

5. Immediacy 
Aplikasi web memiliki ciri kesiapan (immediacy), yang berarti pelaksanaan web tadi wajib sudah siap dan lengkap untuk ditampilkan ke publik dalam jarak saat beberapa hari atau minggu saja, dan hal ini nir ditemukan pada perangkat lunak lainnya.

6. Security
Berkembangnya pelaksanaan web serta Internet mengakibatkan pergerakan sistem kabar buat menggunakannya menjadi basis. Banyak sistem yang nir terhubung ke Internet namun permanen memakai basis pelaksanaan web sebagai basis buat sistem informasinya yg dipasang di jaringan Intranet. Untuk itu, keamanan sistem keterangan yang berbasis pelaksanaan web serta teknologi Internet bergantung pada keamanan sistem aplikasi web tadi.

Keamanan dibutuhkan buat melindungi isi dari aplikasi web yg sensitif serta menyediakan proses pengiriman data yg aman, sang karena itu keamanan pelaksanaan harus diterapkan dalam semua infrastruktur yg mendukung web pelaksanaan, termasuk jua web aplikasi itu sendiri.

Arsitektur sistem pelaksanaan web terdiri berdasarkan 2 sisi: server serta klien. Keduanya dihubungkan dengan jaringan personal komputer (computer network). Selain menyajikan data-data pada bentuk statis, pelaksanaan dapat menyajikan data pada bentuk bergerak maju dengan menjalankan program. Program ini dapat dijalankan di server (misal menggunakan CGI, servlet) serta di klien (applet, Javascript).

7. Aesthetics
Selain sisi teknis, estetis juga merupakan suatu hal yg wajib diperhatikan pada sebuah pelaksanaan web, lantaran tampilan serta estetika merupakan galat satu hal yang utama, yang dipakai sebagai daya tarik pengunjung.

Kualitas Aplikasi Web
Kualitas yg baik menurut suatu pelaksanaan web dapat diukur melalui beberapa ciri, antara lain, usability, functionality, reliability, efficiency, dan maintainability [6]. Gambar 2 menunjukkan faktor-faktor yg membantu pengembang pada merancang dan menciptakan pelaksanaan web yang bisa diterima dan memenuhi kebutuhan penggunanya yang begitu beragam.

Gambar Faktor Kualitas Aplikasi Web

Arsitektur Aplikasi Web
Menurut Krutchen sebuah arsitektur pelaksanaan web dibangun dari pada empat butir tinjauan, yaitu Logical, Process, Physical serta Development View, masing-masing tinjauan tersebut memiliki pengertian yg tidak sama dan semua tinjauan tadi wajib diperiksa buat memperoleh pemahaman yang baik tentang pelaksanaan web secara holistik. Untuk menambahkan sebuah kebutuhan spesifik pada aplikasi web, misalnya keamanan dapat dibubuhi tinjauan lainnya pada arsitektur pelaksanaan web.

Gambar Logical View pada Aplikasi Web

1. Logical View 
Ditinjau secara logis, pelaksanaan web merupakan abstraksi menurut sebuah sistem yg mempunyai domain perkara tertentu. Sebuah pelaksanaan digambarkan menjadi interaksi antara komponen-komponen yg berbeda. Pada level arsitektur, sebuah pelaksanaan web dapat digolongkan ke pada bentuk dua-tier atau sebagai 3-tier (misalnya yang ditunjukkan dalam Gambar)

Gambar Tinjauan Model Arsitektur 4+1

Presentation Logic tier bertanggung jawab buat melakukan interaksi antara komponen-komponen untuk menghasilkan tampilan user. Komponen dalam bagian ini hanya berinteraksi dengan komponen yg berada pada Business Logic tier. Komponen yang masih ada dalam Business Logic tier berisi seluruh pengetahuan yang diperlukan buat melakukan proses modifikasi komponen data yang terdapat pada Databases tier. Databases tier berisi semua komponen data yg dipakai buat menyediakan penyimpanan data buat data serta informasi dari suatu aplikasi web.

Arsitektur 3-tierd menyediakan perhatian lebih terhadap pembagian permasalahan. Pada arsitektur 2-tierd bagian business logic serta databases disatukan. Keuntungan berdasarkan arsitektur 3-tierd adalah sistem database bisa dengan mudah dilakukan perubahan tanpa mempengaruhi bagian business logic.

2. Development View
Development view berfokus pada pemetaan antara konsep komponen logical view ke implementasi sebenarnya. Development view pada suatu pelaksanaan web terdiri dari:
a. Struktur link dari laman pelaksanaan 
b. Teknik user session management
c. Teknologi laman pelaksanaan web 

3. Physical View
Physical view mendeskripsikan pemetaan antara komponen yg masih ada pada development view ke lingkungan aplikasi web diletakkan. Aplikasi web mempunyai lingkungan yg sangat kompleks, yg terdiri berdasarkan komponen-komponen sebagai berikut:
a. Web browsers
b. Web servers
c. Application servers
d. Database
e. Object terdistribusi (seperti, Java Beans)

Pengguna aplikasi web menggunakan web browser menjadi interface buat bisa mengakses fungsi berdasarkan suatu aplikasi web. Sebuah browser mengirimkan permintaan (request) ke web server, mengirim-nya dengan menggunakan protokol HTTP. Sebuah web server memberikan permintaan tadi jika permintaan tersebut dapat dipenuhi secara pribadi, dengan melibatkan proses yang terdapat pada application server. 

Seperti yang terlihat dalam Gambar, apabila pengguna ingin mengambil data yang terdapat pada databases, maka application server harus dilibatkan. Akhirnya web server menggunakan output yg sudah diperoleh menurut application server membentuk laman HTML serta mengembalikannya pada pengguna pelaksanaan web.

Gambar Physical View menurut Aplikasi Web

Protokol Web
Penetration testing merupakan teknik pengujian yang memanfaatkan kemampuan protokol di web, buat itu perlu pengenalan terhadap protokol yg digunakan dalam aplikasi web. Aplikasi-aplikasi berbasis web, umumnya menggunakan protokol: HTTP (Hyper Text Transfer Protocol) atau HTTPS (HTTP over Socket Secure Layer), menggunakan port yang biasa digunakan adalah port 80 (HTTP) serta port 443 (HTTPS). 

HTTP
Setiap browser web serta server harus berkomunikasi melalui protokol ini,. Ada 3 versi protokol HTTP ini, dimana ketiganya mempunyai kecenderungan struktur dasar. HTTP merupakan protokol yg berkerja menggunakan metode request serta respon, yg bisa ditunjukan dalam pada Gambar.

Gambar Metode Request & Respon HTTP

Untuk mengenal lebih mendalam, masih ada beberapa metode yg dapat dilakukan sebagai request pada protocol HTTP. Metode tadi diantaranya: connect, delete, get, head, option, post, put, serta trace. Metode di atas difasilitasi oleh protokol HTTP 1.1. Untuk lebih jelas dapat dipandang pada Tabel.

Respon HTTP
Sebuah permintaan HTTP berdasarkan sebuah klien ditangani sang server serta direspon sang server tersebut. Untuk merespon, server akan mengirimkan pulang serangkaian komponen pesan yang bisa mengkategorikan menjadi berikut : 
a. Kode respon— Angka yg bertalian pada sebuah tipe asosiasi respon.
b. Lokasi awal (Header fields)—berita tambahan mengenai respon. 
c. Data—Isi berdasarkan respon. 

Melalui tiga komponen tadi, sebuah browser klien dapat tahu respon dari server dan berinteraksi menggunakan server tadi. 

Serangan Keamanan Aplikasi Web
Dunia internet ketika ini mengenal banyak jenis agresi yg dilakukan dan tak jarang merugikan. Jenis-jenis serangan terjadi selama ini bisa mengkategorikan pada empat kategori dari kriteria target agresi yaitu:
1. Interruption: agresi atas ketersediaan kabar. Penyerang mengganggu menggunakan melakukan penghentian genre berita kepada klien.
2. Interception: serangan atas kerahasiaan. Mengakses kabar yg bukan sebagai haknya adalah tujuan menurut agresi ini. Informasi dapat dipakai buat hal-hal yg merugikan pihak lain.
3. Modification: serangan atas integrasi suatu warta. Mengakses berita serta dapat pula mengganti isi kabar sebagai target serangan ini.
4. Fabrication: agresi terhadap proses autentifikasi. Membangkitkan objek palsu yg dikenal sebagai bagian menurut sistem adalah tujuan dari serangan jenis. 

Gambar Jenis – jenis Serangan

Dari sisi motif tindakan, serangan yg terjadi bisa mengkategorikan dari jenis tindakan yg dilakukan, dan dikelompokkan menjadi sebagai berikut:

A. Ancaman Pasif
Serangan yg dilakukan lebih bersifat mengamati perilaku target, pada tahap ini penyerang berusaha mengenali setiap bagian target. Tindakan yang dilakukan antara lain:
a. Melepaskan serangkaian pesan ke target buat mengetahui respon target, serta menerima berita awal tentang target. Deteksi port merupakan galat satu contohnya.
b. Analisa trafik, dilakukan buat mengetahui pola trafik data pada target.

B. Ancaman aktif
Serangan yang dilakukan telah ditujukan buat berdampak eksklusif pada sasaran. Beberapa tindakan agresi yg banyak dikenal merugikan merupakan model berdasarkan tindakan ini. Berikut beberapa antara lain: 
a. Masquerade, penyerangan dikenali sebagai bagian dari alias bukti diri yang berwenang.
b. Reply
c. Modifikasi isi pesan (Mengubah pesan layanan yang diberikan oleh sistem)
d. Denial of service (Menghilangkan kemampuan sistem buat menaruh layanan).

Aplikasi Web Joomla
Joomla merupakan keliru satu Content Management System (CMS) yang paling populer tersedia, gampang dipakai, sehingga memiliki keuntungan, yaitu pengguna-nya nir membutuhkan keterampilan serta kemampuan teknis yg tinggi buat memasak serta mengatur aplikasi web tadi. Selain itu aplikasi web Joomla adalah sebuah CMS yg mempunyai poly fitur, serta hal inilah yang mengakibatkan aplikasi web Joomla poly digunakan sebagai website suatu perusahaan atau organisasi, baik yg dipakai buat keperluan bisnis juga pendidikan.

Joomla dari dalam CMS yg bebas serta terbuka (free open source) ditulis dengan menggunakan bahasa pemrograman PHP dan basis data MySQL, buat keperluan di internet juga intranet. Joomla pertamakali dirilis dengan versi 1.0.0. Fitur-fitur primer Joomla antara lain merupakan manajemen pengguna, manajemen konten, layanan web (web services) serta lain sebagainya. Joomla juga menggunakan lisensi GNU General Public License (GPL).

Gambar Model View Controller (MVC) Joomla

Secara garis akbar Joomla terdiri dari tiga elemen dasar, yaitu server web (web server), skrip PHP dan basis data MySQL. Server web diasumsikan terhubung dengan Internet/Intranet yg berfungsi sebagai penyedia layanan pelaksanaan web. Skrip PHP terdiri dari kode acara dalam bahasa PHP, dan basis data adalah tempat penyimpanan konten. Joomla menggunakan Apache dan Microsoft IIS sebagai server web, dan MySQL untuk basis datanya. Paket Joomla terdiri menurut beberapa bagian yg terpisah serta dalam bentuk modul yang sangat fleksibel, yang bisa menggunakan mudah dikembangkan serta diintegrasikan. Gambar 8 adalah MVC menurut pelaksanaan web Joomla.

Threat Modeling 
Threat Modeling adalah teknik yg cukup terkenal digunakan buat membantu desainer sistem mengetahui ancaman keamanan yang mungkin timbul pada suatu sistem atau pelaksanaan web-nya. Oleh karenanya pemodelan ancaman dapat dijadikan sebuah ukuran buat memperkirakan resiko yg mungkin terjadi dalam sebuah aplikasi web. Dalam kenyataannya pemodelan ancaman memungkinkan desainer dalam mengembangkan taktik buat mengatasi masalah dalam bagian dari aplikasi yg mudah diserang (vulnerabilities) dan membantu desainer supaya tetap penekanan dalam pengerjaan kebutuhan sistem aplikasi web yg terbatas sang sumber daya, dimana pelaksanaan web tersebut dituntut segera selesai.

Selain itu terdapat jua kelebihan serta kekurangan yang dimiliki oleh teknik pengujian pelaksanaan web yg dilakukan dengan mengunakan teknik pemodelan ancaman, merupakan menjadi berikut:

A. Kelebihan 
a. Merupakan teknik yang ditinjau dari perspektif seorang penyerang (attacker) sistem pelaksanaan web.
b. Fleksibel 
c. Dilakukan dalam permulaan SDLC

B. Kekurangan 
a. Relatif adalah teknik baru 
b. Pemodelan ancaman yang baik nir dilakukan secara otomatis sang perangkat lunak

Selain itu pemodelan ancaman adalah suatu metode yg digunakan buat mengenali atau mengetahui ancaman (Vulnerability), serangan (attack), serta kelemahan (vulnerabilities) yang berhubungan dengan pelaksanaan web. Pembentukan pemodelan ancaman dibagi ke dalam beberapa termin:

Identify Security Objectives
Tahap ke-1: identify security objectives, dilakukan buat mengetahui tujuan/kebutuhan keamanan pelaksanaan web, hal ini dipakai buat membantu menentukan aktivitas pemodelan ancaman, serta untuk menentukan berapa poly usaha pengujian yg perlu dilakukan. 

Create Application Overview
Tahap ke-dua: Create Application Overview, dilakukan buat mengetahui karakteristik serta aktor pada pelaksanaan web, hal ini dipakai untuk membantu mengenali ancaman yang terdapat. 

Decompose Application
Tahap ke-3: Decompose Application, dilakukan buat mengetahui prosedur pelaksanaan web secara lebih jelasnya, hal ini pula dipakai untuk membantu mengenali ancaman yg terdapat. 

Identify Threats 
Tahap Ke-4: Identify Threat, dilakukan buat mengenali ancaman yg ada, yaitu menggunakan menggunakan termin ke-dua serta ke-3. 

Identify Vulnerabilities
Tahap Ke-5 Identify Vulnerabilities, dilakukan buat mengetahui kelemahan yang masih ada pada pelaksanaan web, hal ini dipakai buat membantu mengenali area yg terjadi kesalahan.

Gambar Proses Pembentukan Threat Modeling

Metodologi OWASP
Open Web Application Security Project (OWASP) adalah metodologi yang digunakan buat membantu melakukan pengukuran (assessment), audit atau penetration testing terhadap aplikasi Web. Metodologi OWASP memiliki poly keunggulan, karena pada perkembangannya OWASP selalu mengikuti perkembangan keamanan dari pelaksanaan web itu sendiri. Selain itu OWASP tidak terfokus hanya pada perangkat bantu, sebagai akibatnya menaruh kesempatan kepada pengguna buat think out side of the box.

OWASP Testing Framework
Menurut OWASP buat membentuk aplikasi web yg aman harus dilakukan proses pengujian pada setiap tahap pengembangan software atau aplikasi development live cycle (SDLC) [4], yg terdiri dari:
a. Sebelum pengembangan 
b. Selama termin definisi dan desain 
c. Selama pembangunan 
d. Selama deployment 
e. Ketika pemeliharaan dan operasional 

Tahap 1: Sebelum Pengembangan
Sebelum proses pembangunan pelaksanaan web dimulai maka harus dilakukan hal berikut:
a. Pengujian standar, prosedur dan kebijakan keamanan yg akan digunakan selama pengembangan aplikasi web.
b. Membuat metrik dan kriteria pengukuran 
c. Meninjau proses SDLC

Tahap 1A: Tinjauan Kebijakan dan Standar 
Pada tahap ini pastikan bahwa kebijakan, standar dan dokumentasi yang dipakai sempurna. Dokumentasi merupakan hal yang sangat krusial, karena menaruh panduan kepada tim pengembang selama melakukan proses pembangunan aplikasi web.

Standar serta kebijakan yang akan dipakai tergantung dalam teknologi yang akan digunakan, lantaran tidak terdapat baku dan kebijakan yang bisa menanggulangi setiap situasi pengembangan pelaksanaan web. Sebagai model, apabila aplikasi yang akan dibangun memakai teknologi java, maka diharapkan dokumentasi mengenai baku keamanan buat pengkodean bahasa pemrograman java. Jika pelaksanaan memakai kriptografi maka dibutuhkan dokumentasi tentang baku kriptografi. 

Tahap1B: Membuat Ukuran dan Kriteria Metrik 
Sebelum pembangunan aplikasi web dimulai, maka harus ditentukan serta direncanakan ukuran program. Penentuan ukuran kriteria berguna untuk memilih kualitas aplikasi web yg dibuat, serta pula dapat diprediksi pengaruh yang mungkin terjadi dalam proses dan produk yg didapatkan, sehingga dapat segera dibuat keputusan tentang perubahan proses buat meminimalkan terjadinya kerusakan yg terjadi. 

Tahap 2: Selama Definisi dan Desain 
Tahap 2A: Tinjauan Kebutuhan Keamanan
Kebutuhan keamanan adalah keperluan pelaksanaan web yang dicermati berdasarkan perspektif keamanan. Pengujian terhadap kebutuhan keamanan sangat dibutuhkan buat melihat apakah terdapat hal yang belum terpenuhi antara kebutuhan keamanan baku dengan definisi kebutuhan yg sudah dibuat. Sebagai contoh kebutuhan keamanan pada aplikasi web adalah, pengunjung diharuskan terdaftar sebelum mereka bisa mengakses liputan-warta yg tersimpan pada aplikasi web tersebut. Menurut OWASP mekanisme kebutuhan sistem keamanan pada aplikasi web terdiri menurut:

a. User Management
Aspek keamanan pada pelaksanaan web yang mengatur pengguna dalam melakukan manajemen atau pengaturan terhadap fasilitas yg tersedia.

b. Authentication
Aspek ini herbi metoda buat menyatakan bahwa liputan betul-betul asli, orang yg mengakses atau memberikan liputan adalah betul-benar orang yg dimaksud, atau server yang dihubungi merupakan betul-benar server yg orisinil.

c. Authorization 
Konsep keamanan dari aplikasi web yang memperbolehkan pengguna memakai asal daya (resources) jika telah diizinkan sang pemilik resources tadi. Salah satu bagian berdasarkan otorisasi merupakan akses kontrol. Aspek ini berhubungan dengan cara pengaturan akses kepada liputan. Hal ini umumnya herbi klasifikasi data (public, private, confidential, top secret) & pengguna (guest, admin, top manager, dan sebagainya), mekanisme autentikasi serta juga privacy. Access control sering dilakukan menggunakan memakai kombinasi user id/password atau dengan menggunakan prosedur lain (misalnya kartu, biometrics).

d. Data Confidentiality serta Privacy
Inti primer aspek privacy atau confidentiality merupakan usaha buat menjaga liputan dari orang yg tidak berhak mengakses. Privacy lebih ke arah data-data yang sifatnya pribadi sedangkan confidentiality umumnya herbi data yg diberikan ke pihak lain buat keperluan eksklusif (misalnya menjadi bagian berdasarkan registrasi sebuah layanan) dan hanya diperbolehkan buat keperluan eksklusif tadi. Contoh hal yang herbi privacy adalah e-mail seseorang pengguna tidak boleh dibaca oleh administrator. Contoh berita confidential adalah data-data yg sifatnya langsung (misalnya nama, tempat tanggal lahir, number keamanan, agama, status perkawinan, penyakit yg pernah diderita, angka kartu kredit, serta sebagainya) adalah data-data yang ingin di proteksi penggunaan dan penyebaran-nya. Contoh lain menurut confidentiality merupakan daftar pelanggan menurut sebuah Internet Service Provider (ISP).

Serangan terhadap aspek privacy contohnya merupakan bisnis untuk melakukan penyadapan (menggunakan program sniffer). Usaha-usaha yang bisa dilakukan buat menaikkan privacy dan confidentiality adalah menggunakan menggunakan teknologi kriptografi (menggunakan enkripsi serta dekripsi). Informasi tentang privacy yang lebih rinci bisa diperoleh berdasarkan situs Electronic Privacy Information Center (EPIC) serta Electronic Frontier Foundation (EFF).

e. Integrity 
Aspek ini menekankan bahwa informasi nir boleh diubah tanpa se-biar pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yg membarui informasi tanpa ijin adalah contoh perkara yang harus dihadapi. Sebuah e-mail dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan istilah lain, integritas berdasarkan berita telah tidak terjaga. Penggunaan enkripsi dan digital signature, contohnya, bisa mengatasi masalah ini.

f. Accountability
Aspek keamanan dalam pelaksanaan web yg menekankan apakah fasilitas yang diberikan sudah sesuai dengan kebutuhan pengguna.

g. Session Management
Konsep keamanan pelaksanaan web yang mengatasi seluruh perkara yang berhubungan dengan pengguna mulai berdasarkan proses autentikasi hingga dengan pengguna meninggalkan pelaksanaan web.

h. Transport Security 
Konsep keamanan dalam aplikasi web yang diterapkan buat mengatasi kasus yg herbi pengangkutan (transport) data yg sensitif yang disediakan sang aplikasi web, seperti session ID.

i. Tiered System Segregation 
Aspek keamanan dalam pelaksanaan web yg menekankan pada keamanan pemisahan aset diantara penggunanya.

Tahap 2B: Tinjauan Desain serta Arsitektur 
Tinjauan dokumen desain serta arsitektur pelaksanaan web bermanfaat buat memastikan bahwa desain dan arsitektur yang sudah dibentuk sudah menerapkan menggunakan tepat mekanisme keamanan yang sudah didefinisikan.

Tahap 2C: Membuat serta Meninjau Model UML 
Setelah tahap desain dan arsitektur selesai dibuat, maka dilakukan pembuatan dan peninjauan terhadap Unified Modeling Language (UML) yg berguna buat mendeskripsikan bagaimana kerja pelaksanaan web.

Tahap 2D: Membuat dan Meninjau Pemodelan Ancaman 
Setelah proses peninjauan desain, arsitektur serta deskripsi UML dilakukan, lalu selanjutnya dikerjakan menciptakan pemodelan ancaman, menggunakan cara menciptakan skenario nyata mengenai pemodelan ancaman yang mungkin terjadi dalam aplikasi web, menganalisis desain serta arsitektur buat meyakinkan apakah skenario ancaman yang dilakukan dapat ditangani oleh desain dan arsitektur yg terdapat, bila nir bisa ditanggulangi maka perlu dicermati pulang desain dan arsitektur buat dilakukan perubahan.

Tahap tiga: Selama Pengembangan 
Pengembangan merupakan implementasi berdasarkan desain yang sudah dibentuk, maka pada tahap ini dilakukan proses pembuatan aplikasi berdasarkan dalam desain yang ada dan pedoman yang berisi informasi tentang standar, kebijakan, serta mekanisme yang sudah ditentukan sebelumnya.

Tahap 3A: Code Walkthroughs
Code Walkthroughs dilakukan sang tim keamanan yg bermanfaat buat memahami mekanisme, nalar, layout serta struktur dari kode yang menciptakan aplikasi web yang sudah dibentuk sang tim pengembang.

Tahap 3B: Peninjauan Kode
Setelah diketahui struktur kode yang menciptakan pelaksanaan web, maka selanjutnya penguji membandingkan struktur kode tersebut menggunakan kode keamanan sebenarnya. Peninjauan kode secara statik bisa dilakukan menggunakan membandingkan kode yg sudah dibuat menggunakan sekumpulan kriteria standar keamanan aplikasi web, diantaranya:
a. Kebutuhan bisnis buat availability, confidentiality, serta integrity.
b. Kriteria OWASP Top 10 
c. Konflik spesifik yg berhubungan dengan bahasa pemrograman dan framework yang digunakan. Seperti Scarlet paper untuk PHP serta Microsoft Secure buat ASP.net.
d. Beberapa kebutuhan khusus industri, misalnya Sarbanes-Oxley 404, COPPA, ISO 17799, APRA, HIPAA, panduan Visa Merchant atau aturan-aturan standar industri lainnya.

Tahap 4: Selama Deployment
Tahap 4A: Application Penetration Testing
Setelah melakukan pengujian terhadap requirement, menganalisis desain dan melakukan code review, maka hal terakhir yang dilakukan merupakan penetrasi testing buat menilik dan meyakinkan tidak ada kesalahan yg terjadi dalam pelaksanaan web yang telah dibuat.

Tahap 4B: Configuration Management Testing
Configuration Management Testing merupakan bagian dari penetration testing yang berguna buat mengusut apakah infrastruktur dan desain yang ada telah pada terapkan secara kondusif.

Tahap lima: Maintenance serta Operations
Tahap 5A: Operational Management Reviews
Pada bagian ini dilakukan proses peninjauan terhadap manajemen operasional dalam bagian aplikasi dan infrastruktur.

Tahap 5B: Periodic Health Checks
Secara bersiklus inspeksi keadaan keamanan harus dilakukan dalam bagian pelaksanaan juga infrastruktur buat memastikan nir ada resiko keamanan baru yg terjadi serta buat memastikan apakah perlu dilakukan perubahan terhadap level keamanan yang dipakai.

Tahap 5C: Ensure Change Verification 
Setelah setiap perubahan yang akan dilakukan telah disetujui, maka dilakukan verifikasi untuk tetapkan adanya perubahan terhadap level keamanan. Gambar 10 memperlihatkan SDLC testing workflow menurut metodologi OWASP. 

Gambar OWASP Testing Framework Work Flow

MENJELASKAN KEAMANAN APLIKASI WEB

Menjelaskan Keamanan Aplikasi Web 
Aplikasi web merupakan suatu lingkungan yg terstruktur pada bentuk program komputer yang memungkinkan pengunjung website memasukkan serta menampilkan data berdasarkan dan ke suatu database server melalui internet menggunakan memakai web browser. Kemudian data ditampilkan ke pengguna menjadi berita yg didapatkan secara bergerak maju sang aplikasi web melalui web server. 

Ciri serta Sifat Aplikasi Web
Menurut Roger S. Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan suatu pelaksanaan web memiliki disparitas dengan aplikasi lainnya, lantaran memiliki sifat dan karakteristik-karakteristik sebagai berikut:

1. Network Intensive
Network intensive Sifat dasar berdasarkan suatu aplikasi web adalah terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani bermacam-macam kebutuhan berdasarkan penggunanya.

Network intensive Sifat dasar berdasarkan suatu aplikasi web adalah terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani bermacam-macam kebutuhan berdasarkan penggunanya.

2. Content Driven
Fungsi primer dari aplikasi web adalah buat menampilkan kabar berupa teks, gambar, audio, dan video pada para penggunanya.

3. Continuous Evolution
Aplikasi web mengalami perubahan secara terus-menerus (continuous evolution), terutama dalam bagian isi (keterangan) menurut aplikasi tadi.

4. Document-Oriented
Halaman-laman web yang bersifat statis akan tetap terdapat meskipun sudah terdapat teknik pemrograman web menggunakan memakai bahasa pemrograman java atau yg lainnya.

5. Immediacy 
Aplikasi web mempunyai ciri kesiapan (immediacy), yang berarti pelaksanaan web tadi harus sudah siap serta lengkap buat ditampilkan ke publik dalam jarak waktu beberapa hari atau minggu saja, dan hal ini nir ditemukan pada perangkat lunak lainnya.

6. Security
Berkembangnya pelaksanaan web serta Internet menyebabkan konvoi sistem warta buat menggunakannya menjadi basis. Banyak sistem yg tidak terhubung ke Internet namun permanen menggunakan basis aplikasi web menjadi basis buat sistem informasinya yg dipasang pada jaringan Intranet. Untuk itu, keamanan sistem fakta yg berbasis aplikasi web serta teknologi Internet bergantung pada keamanan sistem aplikasi web tersebut.

Keamanan dibutuhkan buat melindungi isi dari aplikasi web yg sensitif dan menyediakan proses pengiriman data yang aman, oleh karenanya keamanan aplikasi wajib diterapkan dalam seluruh infrastruktur yg mendukung web aplikasi, termasuk pula web aplikasi itu sendiri.

Arsitektur sistem pelaksanaan web terdiri berdasarkan 2 sisi: server dan klien. Keduanya dihubungkan dengan jaringan personal komputer (computer network). Selain menyajikan data-data dalam bentuk tidak aktif, pelaksanaan bisa menyajikan data pada bentuk dinamis menggunakan menjalankan program. Program ini bisa dijalankan di server (misal menggunakan CGI, servlet) dan pada klien (applet, Javascript).

7. Aesthetics
Selain sisi teknis, estetis pula merupakan suatu hal yang wajib diperhatikan pada sebuah pelaksanaan web, lantaran tampilan serta keindahan merupakan salah satu hal yg utama, yg digunakan sebagai daya tarik pengunjung.

Kualitas Aplikasi Web
Kualitas yg baik berdasarkan suatu pelaksanaan web bisa diukur melalui beberapa karakteristik, diantaranya, usability, functionality, reliability, efficiency, dan maintainability [6]. Gambar 2 memperlihatkan faktor-faktor yang membantu pengembang dalam merancang serta menciptakan pelaksanaan web yg dapat diterima serta memenuhi kebutuhan penggunanya yg begitu beragam.

Gambar Faktor Kualitas Aplikasi Web

Arsitektur Aplikasi Web
Menurut Krutchen sebuah arsitektur pelaksanaan web dibangun dari dalam empat buah tinjauan, yaitu Logical, Process, Physical serta Development View, masing-masing tinjauan tersebut memiliki pengertian yang berbeda serta seluruh tinjauan tadi harus diperiksa buat memperoleh pemahaman yang baik tentang pelaksanaan web secara keseluruhan. Untuk menambahkan sebuah kebutuhan khusus pada pelaksanaan web, seperti keamanan dapat ditambahkan tinjauan lainnya pada arsitektur aplikasi web.

Gambar Logical View dalam Aplikasi Web

1. Logical View 
Ditinjau secara logis, aplikasi web merupakan abstraksi dari sebuah sistem yang mempunyai domain perkara eksklusif. Sebuah aplikasi digambarkan sebagai interaksi antara komponen-komponen yang tidak selaras. Pada level arsitektur, sebuah aplikasi web dapat digolongkan ke dalam bentuk dua-tier atau menjadi 3-tier (misalnya yang ditunjukkan pada Gambar)

Gambar Tinjauan Model Arsitektur 4+1

Presentation Logic tier bertanggung jawab untuk melakukan hubungan antara komponen-komponen buat menghasilkan tampilan user. Komponen dalam bagian ini hanya berinteraksi menggunakan komponen yang berada pada Business Logic tier. Komponen yang masih ada pada Business Logic tier berisi seluruh pengetahuan yg dibutuhkan buat melakukan proses modifikasi komponen data yg masih ada pada Databases tier. Databases tier berisi semua komponen data yang digunakan buat menyediakan penyimpanan data untuk data serta informasi menurut suatu aplikasi web.

Arsitektur 3-tierd menyediakan perhatian lebih terhadap pembagian permasalahan. Pada arsitektur dua-tierd bagian business logic dan databases disatukan. Keuntungan dari arsitektur 3-tierd merupakan sistem database dapat dengan gampang dilakukan perubahan tanpa mensugesti bagian business logic.

2. Development View
Development view serius pada pemetaan antara konsep komponen logical view ke implementasi sebenarnya. Development view dalam suatu aplikasi web terdiri menurut:
a. Struktur link menurut laman aplikasi 
b. Teknik user session management
c. Teknologi laman pelaksanaan web 

3. Physical View
Physical view menggambarkan pemetaan antara komponen yang masih ada pada development view ke lingkungan aplikasi web diletakkan. Aplikasi web memiliki lingkungan yang sangat kompleks, yg terdiri berdasarkan komponen-komponen menjadi berikut:
a. Web browsers
b. Web servers
c. Application servers
d. Database
e. Object terdistribusi (misalnya, Java Beans)

Pengguna aplikasi web memakai web browser sebagai interface buat dapat mengakses fungsi menurut suatu aplikasi web. Sebuah browser mengirimkan permintaan (request) ke web server, mengirim-nya menggunakan memakai protokol HTTP. Sebuah web server menaruh permintaan tersebut jika permintaan tersebut bisa dipenuhi secara eksklusif, menggunakan melibatkan proses yang masih ada dalam application server. 

Seperti yg terlihat pada Gambar, jika pengguna ingin merogoh data yang masih ada dalam databases, maka application server harus dilibatkan. Akhirnya web server menggunakan hasil yang sudah diperoleh berdasarkan application server menghasilkan halaman HTML serta mengembalikannya kepada pengguna pelaksanaan web.

Gambar Physical View dari Aplikasi Web

Protokol Web
Penetration testing merupakan teknik pengujian yg memanfaatkan kemampuan protokol di web, buat itu perlu pengenalan terhadap protokol yang digunakan dalam pelaksanaan web. Aplikasi-aplikasi berbasis web, biasanya menggunakan protokol: HTTP (Hyper Text Transfer Protocol) atau HTTPS (HTTP over Socket Secure Layer), menggunakan port yang biasa digunakan adalah port 80 (HTTP) dan port 443 (HTTPS). 

HTTP
Setiap browser web serta server harus berkomunikasi melalui protokol ini,. Ada tiga versi protokol HTTP ini, dimana ketiganya mempunyai kesamaan struktur dasar. HTTP merupakan protokol yg berkerja menggunakan metode request dan respon, yang bisa ditunjukan dalam pada Gambar.

Gambar Metode Request & Respon HTTP

Untuk mengenal lebih mendalam, masih ada beberapa metode yang dapat dilakukan sebagai request pada protocol HTTP. Metode tersebut antara lain: connect, delete, get, head, option, post, put, serta trace. Metode di atas difasilitasi sang protokol HTTP 1.1. Untuk lebih jelas bisa dilihat pada Tabel.

Respon HTTP
Sebuah permintaan HTTP menurut sebuah klien ditangani sang server dan direspon oleh server tadi. Untuk merespon, server akan mengirimkan kembali serangkaian komponen pesan yang bisa mengkategorikan sebagai berikut : 
a. Kode respon— Angka yang bertalian dalam sebuah tipe asosiasi respon.
b. Lokasi awal (Header fields)—fakta tambahan tentang respon. 
c. Data—Isi dari respon. 

Melalui tiga komponen tadi, sebuah browser klien bisa tahu respon berdasarkan server dan berinteraksi menggunakan server tadi. 

Serangan Keamanan Aplikasi Web
Dunia internet ketika ini mengenal poly jenis serangan yg dilakukan dan seringkali merugikan. Jenis-jenis agresi terjadi selama ini dapat mengkategorikan pada empat kategori dari kriteria sasaran serangan yaitu:
1. Interruption: agresi atas ketersediaan informasi. Penyerang mengganggu menggunakan melakukan penghentian genre informasi kepada klien.
2. Interception: agresi atas kerahasiaan. Mengakses kabar yg bukan sebagai haknya adalah tujuan berdasarkan agresi ini. Informasi dapat digunakan buat hal-hal yg merugikan pihak lain.
3. Modification: serangan atas integrasi suatu warta. Mengakses fakta serta bisa jua membarui isi kabar sebagai target serangan ini.
4. Fabrication: agresi terhadap proses autentifikasi. Membangkitkan objek palsu yang dikenal menjadi bagian berdasarkan sistem adalah tujuan dari serangan jenis. 

Gambar Jenis – jenis Serangan

Dari sisi motif tindakan, serangan yang terjadi bisa mengkategorikan dari jenis tindakan yg dilakukan, dan dikelompokkan menjadi sebagai berikut:

A. Ancaman Pasif
Serangan yang dilakukan lebih bersifat mengamati konduite sasaran, dalam termin ini penyerang berusaha mengenali setiap bagian target. Tindakan yg dilakukan antara lain:
a. Melepaskan serangkaian pesan ke target buat mengetahui respon sasaran, serta menerima warta awal mengenai sasaran. Deteksi port merupakan keliru satu misalnya.
b. Analisa trafik, dilakukan buat mengetahui pola trafik data pada target.

B. Ancaman aktif
Serangan yg dilakukan sudah ditujukan untuk berdampak langsung dalam target. Beberapa tindakan serangan yg poly dikenal merugikan merupakan contoh dari tindakan ini. Berikut beberapa diantaranya: 
a. Masquerade, penyerangan dikenali menjadi bagian menurut alias identitas yang berwenang.
b. Reply
c. Modifikasi isi pesan (Mengubah pesan layanan yang diberikan sang sistem)
d. Denial of service (Menghilangkan kemampuan sistem buat memberikan layanan).

Aplikasi Web Joomla
Joomla merupakan keliru satu Content Management System (CMS) yg paling terkenal tersedia, gampang digunakan, sebagai akibatnya mempunyai keuntungan, yaitu pengguna-nya nir membutuhkan keterampilan serta kemampuan teknis yang tinggi buat memasak serta mengatur aplikasi web tersebut. Selain itu aplikasi web Joomla adalah sebuah CMS yang mempunyai banyak fitur, dan hal inilah yang menyebabkan pelaksanaan web Joomla banyak digunakan sebagai website suatu perusahaan atau organisasi, baik yang dipakai buat keperluan usaha maupun pendidikan.

Joomla berdasarkan pada CMS yang bebas dan terbuka (free open source) ditulis dengan memakai bahasa pemrograman PHP dan basis data MySQL, buat keperluan di internet juga intranet. Joomla pertamakali dirilis menggunakan versi 1.0.0. Fitur-fitur utama Joomla antara lain merupakan manajemen pengguna, manajemen konten, layanan web (web services) serta lain sebagainya. Joomla jua menggunakan lisensi GNU General Public License (GPL).

Gambar Model View Controller (MVC) Joomla

Secara garis besar Joomla terdiri berdasarkan tiga elemen dasar, yaitu server web (web server), skrip PHP serta basis data MySQL. Server web diasumsikan terhubung menggunakan Internet/Intranet yang berfungsi sebagai penyedia layanan pelaksanaan web. Skrip PHP terdiri berdasarkan kode program dalam bahasa PHP, dan basis data merupakan loka penyimpanan konten. Joomla menggunakan Apache dan Microsoft IIS menjadi server web, serta MySQL buat basis datanya. Paket Joomla terdiri berdasarkan beberapa bagian yg terpisah dan dalam bentuk modul yang sangat fleksibel, yang dapat dengan gampang dikembangkan serta diintegrasikan. Gambar 8 merupakan MVC menurut pelaksanaan web Joomla.

Threat Modeling 
Threat Modeling adalah teknik yg cukup terkenal dipakai buat membantu desainer sistem mengetahui ancaman keamanan yang mungkin ada pada suatu sistem atau aplikasi web-nya. Oleh karenanya pemodelan ancaman bisa dijadikan sebuah ukuran buat memperkirakan resiko yang mungkin terjadi pada sebuah pelaksanaan web. Dalam kenyataannya pemodelan ancaman memungkinkan desainer pada membuatkan strategi buat mengatasi masalah dalam bagian menurut pelaksanaan yg gampang diserang (vulnerabilities) serta membantu desainer agar tetap penekanan pada pengerjaan kebutuhan sistem aplikasi web yg terbatas oleh asal daya, dimana aplikasi web tadi dituntut segera terselesaikan.

Selain itu masih ada pula kelebihan dan kekurangan yang dimiliki sang teknik pengujian aplikasi web yang dilakukan dengan mengunakan teknik pemodelan ancaman, merupakan menjadi berikut:

A. Kelebihan 
a. Merupakan teknik yang dilihat berdasarkan perspektif seorang penyerang (attacker) sistem aplikasi web.
b. Fleksibel 
c. Dilakukan dalam permulaan SDLC

B. Kekurangan 
a. Relatif merupakan teknik baru 
b. Pemodelan ancaman yg baik nir dilakukan secara otomatis sang perangkat lunak

Selain itu pemodelan ancaman adalah suatu metode yang digunakan buat mengenali atau mengetahui ancaman (Vulnerability), serangan (attack), dan kelemahan (vulnerabilities) yg herbi pelaksanaan web. Pembentukan pemodelan ancaman dibagi ke pada beberapa tahap:

Identify Security Objectives
Tahap ke-1: identify security objectives, dilakukan buat mengetahui tujuan/kebutuhan keamanan aplikasi web, hal ini digunakan buat membantu memilih kegiatan pemodelan ancaman, dan buat memilih berapa poly bisnis pengujian yg perlu dilakukan. 

Create Application Overview
Tahap ke-2: Create Application Overview, dilakukan buat mengetahui karakteristik dan aktor dalam pelaksanaan web, hal ini dipakai buat membantu mengenali ancaman yang terdapat. 

Decompose Application
Tahap ke-3: Decompose Application, dilakukan buat mengetahui mekanisme aplikasi web secara lebih jelasnya, hal ini jua digunakan buat membantu mengenali ancaman yg terdapat. 

Identify Threats 
Tahap Ke-4: Identify Threat, dilakukan buat mengenali ancaman yg ada, yaitu menggunakan menggunakan tahap ke-dua dan ke-3. 

Identify Vulnerabilities
Tahap Ke-lima Identify Vulnerabilities, dilakukan buat mengetahui kelemahan yg masih ada dalam pelaksanaan web, hal ini digunakan buat membantu mengenali area yang terjadi kesalahan.

Gambar Proses Pembentukan Threat Modeling

Metodologi OWASP
Open Web Application Security Project (OWASP) merupakan metodologi yang digunakan untuk membantu melakukan pengukuran (assessment), audit atau penetration testing terhadap pelaksanaan Web. Metodologi OWASP memiliki poly keunggulan, karena pada perkembangannya OWASP selalu mengikuti perkembangan keamanan dari aplikasi web itu sendiri. Selain itu OWASP tidak terfokus hanya pada perangkat bantu, sebagai akibatnya memberikan kesempatan kepada pengguna buat think out side of the box.

OWASP Testing Framework
Menurut OWASP untuk membangun aplikasi web yg kondusif wajib dilakukan proses pengujian dalam setiap tahap pengembangan aplikasi atau aplikasi development live cycle (SDLC) [4], yg terdiri dari:
a. Sebelum pengembangan 
b. Selama termin definisi dan desain 
c. Selama pembangunan 
d. Selama deployment 
e. Ketika pemeliharaan dan operasional 

Tahap 1: Sebelum Pengembangan
Sebelum proses pembangunan aplikasi web dimulai maka harus dilakukan hal berikut:
a. Pengujian baku, mekanisme serta kebijakan keamanan yg akan digunakan selama pengembangan pelaksanaan web.
b. Membuat metrik dan kriteria pengukuran 
c. Meninjau proses SDLC

Tahap 1A: Tinjauan Kebijakan serta Standar 
Pada termin ini pastikan bahwa kebijakan, standar dan dokumentasi yang dipakai sempurna. Dokumentasi merupakan hal yang sangat krusial, lantaran menaruh pedoman kepada tim pengembang selama melakukan proses pembangunan pelaksanaan web.

Standar dan kebijakan yang akan dipakai tergantung pada teknologi yg akan dipakai, lantaran nir ada baku dan kebijakan yg dapat menanggulangi setiap situasi pengembangan pelaksanaan web. Sebagai contoh, bila aplikasi yg akan dibangun memakai teknologi java, maka diperlukan dokumentasi tentang standar keamanan buat pengkodean bahasa pemrograman java. Jika pelaksanaan memakai kriptografi maka diharapkan dokumentasi mengenai standar kriptografi. 

Tahap1B: Membuat Ukuran dan Kriteria Metrik 
Sebelum pembangunan pelaksanaan web dimulai, maka harus ditentukan serta direncanakan ukuran program. Penentuan berukuran kriteria bermanfaat buat menentukan kualitas aplikasi web yang dibuat, serta juga bisa diprediksi dampak yang mungkin terjadi dalam proses dan produk yang dihasilkan, sehingga bisa segera dibuat keputusan tentang perubahan proses untuk meminimalkan terjadinya kerusakan yg terjadi. 

Tahap dua: Selama Definisi serta Desain 
Tahap 2A: Tinjauan Kebutuhan Keamanan
Kebutuhan keamanan merupakan keperluan pelaksanaan web yg dipandang menurut perspektif keamanan. Pengujian terhadap kebutuhan keamanan sangat diharapkan buat melihat apakah masih ada hal yg belum terpenuhi antara kebutuhan keamanan baku dengan definisi kebutuhan yg sudah dibentuk. Sebagai model kebutuhan keamanan dalam aplikasi web merupakan, pengunjung diharuskan terdaftar sebelum mereka bisa mengakses informasi-kabar yang tersimpan dalam pelaksanaan web tersebut. Menurut OWASP mekanisme kebutuhan sistem keamanan dalam aplikasi web terdiri dari:

a. User Management
Aspek keamanan dalam aplikasi web yg mengatur pengguna dalam melakukan manajemen atau pengaturan terhadap fasilitas yg tersedia.

b. Authentication
Aspek ini berhubungan dengan metoda buat menyatakan bahwa keterangan benar -benar asli, orang yg mengakses atau memberikan berita merupakan benar -benar orang yg dimaksud, atau server yg dihubungi adalah betul-betul server yg asli.

c. Authorization 
Konsep keamanan menurut aplikasi web yg memperbolehkan pengguna memakai sumber daya (resources) apabila telah diizinkan sang pemilik resources tersebut. Salah satu bagian menurut otorisasi adalah akses kontrol. Aspek ini berhubungan dengan cara pengaturan akses kepada fakta. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & pengguna (guest, admin, top manager, serta sebagainya), prosedur autentikasi serta pula privacy. Access control sering dilakukan dengan memakai kombinasi user id/password atau dengan memakai mekanisme lain (misalnya kartu, biometrics).

d. Data Confidentiality serta Privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga warta berdasarkan orang yg nir berhak mengakses. Privacy lebih ke arah data-data yg sifatnya eksklusif sedangkan confidentiality umumnya herbi data yang diberikan ke pihak lain untuk keperluan eksklusif (contohnya sebagai bagian dari registrasi sebuah layanan) dan hanya diperbolehkan buat keperluan eksklusif tadi. Contoh hal yg berhubungan dengan privacy merupakan e-mail seseorang pengguna nir boleh dibaca oleh administrator. Contoh kabar confidential merupakan data-data yg sifatnya eksklusif (seperti nama, loka lepas lahir, number keamanan, kepercayaan , status perkawinan, penyakit yg pernah diderita, angka kartu kredit, serta sebagainya) merupakan data-data yang ingin pada perlindungan penggunaan serta penyebaran-nya. Contoh lain menurut confidentiality adalah daftar pelanggan menurut sebuah Internet Service Provider (ISP).

Serangan terhadap aspek privacy contohnya merupakan bisnis buat melakukan penyadapan (menggunakan program sniffer). Usaha-bisnis yang dapat dilakukan buat menaikkan privacy serta confidentiality adalah menggunakan memakai teknologi kriptografi (dengan enkripsi dan dekripsi). Informasi tentang privacy yang lebih rinci dapat diperoleh berdasarkan situs Electronic Privacy Information Center (EPIC) serta Electronic Frontier Foundation (EFF).

e. Integrity 
Aspek ini menekankan bahwa fakta tidak boleh diubah tanpa se-biar pemilik berita. Adanya virus, Trojan horse, atau pemakai lain yang mengganti fakta tanpa ijin adalah contoh kasus yang harus dihadapi. Sebuah e-mail bisa saja ditangkap (intercept) pada tengah jalan, diubah isinya (altered, tampered, modified), lalu diteruskan ke alamat yg dituju. Dengan kata lain, integritas berdasarkan kabar telah nir terjaga. Penggunaan enkripsi dan digital signature, contohnya, bisa mengatasi kasus ini.

f. Accountability
Aspek keamanan dalam aplikasi web yang menekankan apakah fasilitas yg diberikan telah sesuai dengan kebutuhan pengguna.

g. Session Management
Konsep keamanan aplikasi web yg mengatasi seluruh kasus yang herbi pengguna mulai dari proses autentikasi sampai menggunakan pengguna meninggalkan pelaksanaan web.

h. Transport Security 
Konsep keamanan pada aplikasi web yang diterapkan buat mengatasi masalah yg herbi pengangkutan (transport) data yg sensitif yang disediakan oleh aplikasi web, seperti session ID.

i. Tiered System Segregation 
Aspek keamanan pada aplikasi web yang menekankan dalam keamanan pemisahan aset diantara penggunanya.

Tahap 2B: Tinjauan Desain dan Arsitektur 
Tinjauan dokumen desain serta arsitektur aplikasi web bermanfaat buat memastikan bahwa desain serta arsitektur yg sudah dibuat telah menerapkan menggunakan tepat prosedur keamanan yang sudah didefinisikan.

Tahap 2C: Membuat serta Meninjau Model UML 
Setelah tahap desain dan arsitektur terselesaikan dibuat, maka dilakukan pembuatan dan peninjauan terhadap Unified Modeling Language (UML) yg bermanfaat untuk mendeskripsikan bagaimana kerja pelaksanaan web.

Tahap 2D: Membuat dan Meninjau Pemodelan Ancaman 
Setelah proses peninjauan desain, arsitektur serta pelukisan UML dilakukan, lalu selanjutnya dikerjakan membuat pemodelan ancaman, menggunakan cara membuat skenario nyata mengenai pemodelan ancaman yg mungkin terjadi pada aplikasi web, menganalisis desain serta arsitektur buat meyakinkan apakah skenario ancaman yg dilakukan dapat ditangani oleh desain dan arsitektur yang terdapat, jika nir dapat ditanggulangi maka perlu ditinjau pulang desain serta arsitektur buat dilakukan perubahan.

Tahap 3: Selama Pengembangan 
Pengembangan merupakan implementasi dari desain yg sudah dibuat, maka pada termin ini dilakukan proses pembuatan aplikasi menurut pada desain yg ada serta pedoman yg berisi fakta mengenai baku, kebijakan, dan mekanisme yang telah ditentukan sebelumnya.

Tahap 3A: Code Walkthroughs
Code Walkthroughs dilakukan sang tim keamanan yg berguna buat tahu prosedur, nalar, layout serta struktur menurut kode yang membentuk aplikasi web yang sudah dibuat oleh tim pengembang.

Tahap 3B: Peninjauan Kode
Setelah diketahui struktur kode yang menciptakan aplikasi web, maka selanjutnya penguji membandingkan struktur kode tadi dengan kode keamanan sebenarnya. Peninjauan kode secara statik dapat dilakukan menggunakan membandingkan kode yang sudah dibentuk menggunakan sekumpulan kriteria baku keamanan aplikasi web, diantaranya:
a. Kebutuhan usaha buat availability, confidentiality, dan integrity.
b. Kriteria OWASP Top 10 
c. Konflik spesifik yang berhubungan dengan bahasa pemrograman serta framework yg digunakan. Seperti Scarlet paper buat PHP serta Microsoft Secure buat ASP.net.
d. Beberapa kebutuhan spesifik industri, misalnya Sarbanes-Oxley 404, COPPA, ISO 17799, APRA, HIPAA, panduan Visa Merchant atau anggaran-aturan standar industri lainnya.

Tahap 4: Selama Deployment
Tahap 4A: Application Penetration Testing
Setelah melakukan pengujian terhadap requirement, menganalisis desain serta melakukan code review, maka hal terakhir yang dilakukan adalah penetrasi testing buat menilik serta meyakinkan tidak ada kesalahan yang terjadi dalam aplikasi web yang telah dibuat.

Tahap 4B: Configuration Management Testing
Configuration Management Testing merupakan bagian berdasarkan penetration testing yg bermanfaat buat menilik apakah infrastruktur serta desain yg ada sudah di terapkan secara aman.

Tahap 5: Maintenance dan Operations
Tahap 5A: Operational Management Reviews
Pada bagian ini dilakukan proses peninjauan terhadap manajemen operasional dalam bagian aplikasi serta infrastruktur.

Tahap 5B: Periodic Health Checks
Secara terpola pemeriksaan keadaan keamanan wajib dilakukan dalam bagian aplikasi maupun infrastruktur buat memastikan nir terdapat resiko keamanan baru yg terjadi serta buat memastikan apakah perlu dilakukan perubahan terhadap level keamanan yang dipakai.

Tahap 5C: Ensure Change Verification 
Setelah setiap perubahan yang akan dilakukan sudah disetujui, maka dilakukan pembuktian untuk menetapkan adanya perubahan terhadap level keamanan. Gambar 10 menampakan SDLC testing workflow dari metodologi OWASP. 

Gambar OWASP Testing Framework Work Flow