digilib@itb.ac.id +62 812 2508 8800

Yudisium_13516103 - Samudra.pdf
Terbatas  Dessy Rondang Monaomi
» Gedung UPT Perpustakaan

Aplikasi Web merupakan program yang memproses masukan untrusted dari Internet atas nama pengguna remote. Kesalahan implementasi menimbulkan kelemahan (vulnerability), banyak di antaranya terkait dengan akses ilegal terhadap memori atau fault. Penyerang dapat memberikan secara remote masukan yang dirancang untuk mengeksploitasi kelemahan yang timbul. Dampak dari sebuah serangan berkisar dari denial of service, pengungkapan informasi, perusakan data, escalation of privilege, hingga eksekusi kode. Penyerang kemudian mampu menyerang resource lain yang dapat diakses aplikasi, seperti layanan lain pada jaringan. Sistem operasi umumnya menangkap fault memori pada perbatasan address space, namun yang paling sering dieksploitasi untuk mengancam keamanan aplikasi adalah fault yang melintasi batasan logis tapi tetap berada dalam address space yang sama. Software fault isolation merupakan mekanisme untuk menangkap fault memori antara modul logis dalam satu address space. Dengan ini, aplikasi dapat dipartisi menjadi modul yang tidak dapat secara langsung merujuk pada objek memori satu sama lain. Hal ini membatasi kerusakan yang dapat dibuat penyerang ke dalam satu modul saja. Validasi data masih diperlukan pada batasan modul yang berkomunikasi, dan pembagian aplikasi ke dalam modul harus dilakukan secara hati-hati. Tugas akhir ini mengusulkan penggunaan software fault isolation untuk menerapkan segmentasi pada tiga tingkat berbeda dalam stack Web: pada tingkat request, pada runtime aplikasi, dan di dalam kode aplikasi itu sendiri. Ketiganya dianalisis dengan tujuan bahwa komputasi yang dipicu request HTTP tidak dapat merusak komputasi dari pengguna lain, secara langsung maupun tidak langsung. Kami mengusulkan modifikasi pada language runtime untuk mengisolasi instance dari class tertentu dari satu sama lain, namun tanpa mengubah API yang diekspos kepada aplikasi. Sebuah rancangan dipaparkan untuk memodifikasi ekstensi PHP Imagick untuk mengisolasi implementasi ImageMagick yang mendasarinya pada tingkat granularitas objek PHP. Terakhir, penggunaan SFI menggunakan fromework RLBox ditunjukkan dapat menegakkan keamanan object-capability pada tingkat API.