[Security] Protect your Web Application with xWAF
Assalamualaikum Wr. Wb....
Hello akhiy and ukhtiyy..
Back again with me kang Barox (not Garox), hehehe...
Yok pada artikel kali ini ane mau nunjukin ke ente cara mengamankan website menggunakan WAF (Web Application Firewall) open source, yaitu xWAF.
Why not Mod_Security?. Karena rerata dari kita adalah pelanggan hosting, untuk mod_security biasanya konfigurasinya melalui server, jadi disini kita akan menggunakan xWAF di project kita.
Apa saja fitur dari xWAF?
- XSS Vulns Fixed.
- SQL Injection Fixed.
- Anti-Cookie-Steal Method.
- HTML Malicious Code's Vulns Fixed.
- CSRF Easy to use, and validation.
- Block HTML Upgraded.
- Lightweight.
- Array Support, All Bypass fixed.
- Advanced Bot validation, Browser Validation.
- Most Poc's SQLi and XSS.
- Security upgraded.
- Errors supression.
- Cloudflare and BlazingFast Support.
https://github.com/Alemalakra/xWAF
Setelah ente download, taruh di folder project yang pengen lu protect, for an example.
Gambar diatas cuma contoh:v (kebetulan ane ngerjain project UKK, yang ternyata bata, yodah lanjutin pas gabut:v).
Next kita pastekan kode dibawah di file yang menurut lo jadi file utama (kode diatas gak pake framework/ native PHP, jadi sesuaikan aja penaruhan kode xWAF-nya)
Ane taruh di index.php karena di kode ini ane jadiin kode utama yang inlcude seluruh page.
Next kita test.
Disini ane coba eksekusi payload sederhana.
Dan ane klik laporkan, yang mana biasanya akan terdirect ke halaman Form Pengaduan, dan yang muncul apabila di form tersebut terdapat payload XSS, atau payload berbahaya lainnya yang akan muncul adalah seperti gambar dibawah.
Nah, easy to use.
Tapi dibalik kelebihan terdapat kekurangan, apa itu?
Pertama, seperti yang telah kita ketahui, xWAF harus di sertakan di dalam kode kita, yang mana kita harus mengetik kode tersebut di beberapa kode kita, nah disini akan menyulitkan para programmer awam.
Kedua, terdapat batasan tertentu, yaitu wordlist. xWAF menggunakan wordlist untuk memblok text yang akan di post di form ataupun parameter. Disini kodenya.
Nah kode diatas adalah array world list untuk injeksi payload SQL dan XSS, how with other vulnablerity?
xWAF sudah menyediakan kode untuk Advaced Usage kodenya dibawah.
Kedua, terdapat batasan tertentu, yaitu wordlist. xWAF menggunakan wordlist untuk memblok text yang akan di post di form ataupun parameter. Disini kodenya.
Nah hanya itu kekurangan yang ane tau, jadi kalo ada kekurangan lain, ane gatau gan:v
So menurut ane mod_security lebih ampuh ato CloudFlare, namun juga memiliki kekurangan mereka, namun xWAF memang diperuntukkan buat sobat programmer yang tidak memiliki server sendiri dan menggunakan layanan hosting.
Dan mungkin terakhir dari ane, seluruh artikel di atas adalah opini ane dan hal yang udah ane lakukan, so intinya ane cuma mau berbagi ilmu, kalo ga ane bagi berarti ane pelit dong, hehe, sebagai mana hadits berikut menganjurkan berbagi ilmu.
Dari Abu Hurairah radhiyallahu ‘anhu, Rasulullah shallallahu ‘alaihi wa sallam:
إِنَّ مِمَّا يَلْحَقُ الْمُؤْمِنَ مِنْ عَمَلِهِ وَحَسَنَاتِهِ بَعْدَ مَوْتِهِ عِلْمًا عَلَّمَهُ وَنَشَرَهُ وَوَلَدًا صَالِحًا تَرَكَهُ وَمُصْحَفًا وَرَّثَهُ أَوْ مَسْجِدًا بَنَاهُ أَوْ بَيْتًا لِابْنِ السَّبِيلِ بَنَاهُ أَوْ نَهْرًا أَجْرَاهُ أَوْ صَدَقَةً أَخْرَجَهَا مِنْ مَالِهِ فِي صِحَّتِهِ وَحَيَاتِهِ يَلْحَقُهُ مِنْ بَعْدِ مَوْتِهِ
“Sesungguhnya yang sampai kepada seorang mukmin dari amalannya dan kebaikannya setelah meninggal dunia ialah, ilmu yang ia ajarkan dan ia sebarkan, anak shaleh yang ia tinggalkan, mushaf AL-Qur’an yang ia wariskan, masjid yang ia bangun, rumah yang diperuntukkan untuk ibnu sabil yang ia bangun, sungai yang ia alirkan, sedekah yg ia keluarkan dari hartanya dalam keadaan sehat dan hidup.” (HR Ibnu Majah, Al-Baihaqi dan Khuzaimah)" (HR. Muslim)
Dan udah sampek kita di penghujung, terima kasih buat kunjungannye.
Sekian,
Wassalamualaikum Wr. Wb.