Mengamankan robot.txt dan sitemap.xml Melalui Config Apache

Apakah robot.txt itu?

Robot.txt adalah sebuah file yang digunakan oleh sebuah aplikasi web, untuk memberikan instruksi pada Search Engine Bot, tentang apa saja yang boleh diindex dan apa saja yang tidak boleh diindex. Search Engine Bot, adalah browser milik search engine yang berguna untuk menelusuri semua link URL di seluruh dunia, untuk kemudian hasilnya dicatatkan pada database search engine. Contoh Search Engine Bot adalah : GoogleBot, YandexBot, YahooBot, Bing Bot, dan lain sebagainya.

Kadang untuk meningkatkan keamanan kita, maka pada file robot.txt akan dituliskan beberapa hal antara lain :

  1. Nama UserAgent (browser, bot)
  2. Allow/Disallow (ijin akses)
  3. Direktori yang dikenai Allow/Disallow
  4. Sitemap

Contoh file robot.txt adalah:
Continue reading “Mengamankan robot.txt dan sitemap.xml Melalui Config Apache”

Fakta Tentang Proses Produksi yang Bernama : Penetration Testing

Penetration Testing itu Apa?

Salah satu risiko dalam dunia data dan teknologi informasi adalah : keamanan data dan informasi. Ancaman keamanan itu antara lain : kerusakan hardware, keamanan hardware, gangguan keamanan digital seperti virus, malware, hingga ancaman cracking. Proses membangun aplikasi web dapat diibaratkan seperti membangun sebuah rumah, yang di dalamnya berisi peralatan kehidupan kita. Apapun yang berada di dalam rumah tersebut, wajib untuk dilindungi keberadaannya. Salah satu cara melindunginya adalah dengan memastikan ketangguhan semua bagian rumah. Demikian juga dengan layanan transaksi data.
Continue reading “Fakta Tentang Proses Produksi yang Bernama : Penetration Testing”

Apache : Menonaktifkan Fungsi PHP pada Direktori

Pada model webserver dengan Apache, PHP berjalan atas ‘perintah’ Apache. PHP dapat berjalan dengan beberapa mode :

1. mod_php

2. CGI mode

3. FPM mode

PHP akan menjalankan sintaks-sintaks PHP, dan akan memberikan hasil keluarannya sebagai masukan bagi Apache. Apache akan mengeluarkan hasilnya dengan mengirimkan hasilnya pada browser, dengan format HTML.

Sebuah aplikasi berbasis web biasanya memiliki sebuah direktori (folder) tempat upload file. Direktori ini selalu harus dapat ditulisi oleh webserver (apache writable). Karena sifat writable inilah, sebuah uploadable-directory memiliki potensi risiko bahaya serangan inject. Serangan-serangan hacking, pada umumnya akan mengarah lebih dulu pada direktori-direktori sejenis itu. Penyerang melakukan upload backdoor, php-shell atau sejenisnya yang dapat digunakan untuk mengontrol seluruh direktori dan database, pada uploadable directory tersebut. Hal ini yang akan membuat dilema seorang pengelola server. Jika direktori tidak dapat ditulis (not-writable) maka file gambar dan sejenisnya tidak dapat diupload. Namun jika dapat ditulisi, akan menjadi sasaran bagi para penyerang.
Continue reading “Apache : Menonaktifkan Fungsi PHP pada Direktori”

Bermain-main dengan CURL

CURL adalah sebuah produk project berbasis ‘command line’ yang digunakan sebagai software client HTTP. Dalam prakteknya, CURL digunakan untuk melakukan hit terhadap sebuah URL, dan akan menangkap kembalian dalam wujud text mode. Sederhananya : browsing dengan command line. Mengapa CURL harus ada? CURL ada untuk menjadi cikal-bakal browser lainnya, dapat juga menjadi tool yang digunakan oleh bahasa-bahasa pemrograman, untuk mendapatkan hasil browsing berupa text, sehingga dapat dikenai aksi parsing.

Bagaimana instalasi CURL?

Untuk Linux user, CURL adalah perangkat yang sudah disediakan di repository instalasi distro masing-masing Linux.

Berbasis RedHat dan keturunannnya : yum install curl

Berbasis SuSE dan keturunannya : zypper install curl

Berbasis Debian dan keturunannya : apt-get install curl

Instalasi dapat juga dilakukan dengan melakukan dowload langsung dari https://curl.haxx.se, kemudian dilakukan kompilasi program sendiri, sesuai petunjuk yang ada pada dokumentasi instalasi situs tersebut.
Continue reading “Bermain-main dengan CURL”

Sysadmin vs ‘DevOps Engineer’

Pada era ini, IT adalah dunia sendiri yang memiliki banyak sekali jobdesk yang berbeda-beda meski hampir sama. Seperti misal : DevOps Engineer, QA, Network Engineer, System Engineer, System Administrator, Technical Support, Helpdesk, Security Administrator dan lain-lain sebagainya. Kali ini saya pingin cerita tentang Sysadmin dan Devops Engineer, sebatas yang saya tahu. Kalau njenengan-njenengan tau tentang ini, tambahkan ya..

Apakah Sysadmin itu?

Sysadmin atau system administrator merupakan orang yang bertugas melakukan kegiatan-kegiatan pengelolaan, perencanaan, peracikan, instalasi, konfigurasi, optimasi, perawatan, pemantauan (monitoring) pada : server, komputer workstation, jaringan LAN dan Internet, dan semua unsur infrastruktur pada sebuah topologi layanan berbasis network.

Continue reading “Sysadmin vs ‘DevOps Engineer’”

IP Addressing dan Subnetting

IP Address dan DNS

IP Address, adalah alamat sesungguhnya pada sebuah komputer atau host (sesuatu yang dianggap sebagai komputer, seperti HP, server, router dan lainnya). Jika selama ini kita menggunakan nama ‘google.com’ sebagai nama panggil dari situs google, maka sebenarnya nama tersebut hanyalah terjemahan pada bahasa manusia. Alamat sesungguhnya adalah berupa susunan yang dapat dimengerti oleh mesin, yaitu IP Address. Proses penterjemahan adalah menggunakan metode yang diberi nama DNS (Domain Name System). IP Address saat ini telah mencapai versi 6. Namun jenis IP yang digunakan saat ini paling populer adalah IP Address versi 4.
Continue reading “IP Addressing dan Subnetting”

Kelakuan Internet Provider Indonesia dan HTTPS

Coba sebutkan beberapa Internet Service Provider di Indonesia yang anda kenal. Tentu kita mengenal provider besar nasional seperti Telkom beserta anaknya : Telkomsel, ada XL, Indosat, 3, dan lain sebagainya. Disamping provider nasional, ada juga provider-provider di daerah masing-masing. Dari sekian banyak, mana yang pernah anda pakai, dan bahkan masih aktif dipakai sebagai pilihan utama? Lantas pernahkah anda benar-benar cek validasi data yang masuk ke dalam browser anda saat browsing?

Dalam catatan saya, ternyata sebagian besar provider nasional berbasis seluler, plus Telkom, benar-benar memaksimalkan untuk keuntungan mereka hingga level data. Sebagai contoh adalah Speedy. Telkom Speedy sengaja melakukan inject script dalam data yang dikirim antara server web ke browser.
Apa efeknya? Efek yang muncul adalah : kadang halaman menjadi rusak, karena beberapa elemen script tertimpa oleh script tambahan Telkom.
Apa gunanya? Gunanya adalah keperluan statistiknya Telkom plus potensi memata-matai data yang diakses oleh tiap user. Gambar berikut adalah contohnya:
script_inject_telkom
Continue reading “Kelakuan Internet Provider Indonesia dan HTTPS”