Daftar Isi
Web Application Firewall (WAF) adalah sistem keamanan pada aplikasi web yang dipasang di antara internet dan server web aplikasi Anda. Fungsinya mirip situbridge yang memfilter lalu lintas trafik HTTP/S yang masuk, mendeteksi upaya serangan atau eksploitasi, dan menolak akses berbahaya tanpa memperlambat kinerja layanan web.
Lantaran aplikasi web modern menyimpan data penting—seperti data pelanggan, transaksi, atau konten dinamis—mereka kerap menjadi target serangan. WAF menjadi lapisan pertahanan tambahan selain firewall jaringan (firewall–IPS) dan keamanan server (patch, hardening, audit, dll.).
Dengan WAF, Anda bisa melindungi aplikasi dari berbagai tipe ancaman, mulai dari injeksi basis data hingga serangan DDoS berbasis layer aplikasi.
2. Mengenal Citrahost: Layanan Managed WAF Profesional
Citrahost menyediakan layanan Managed WAF yang mudah dikonfigurasi dan terintegrasi langsung dengan hosting atau server yang Anda gunakan (baik shared, VPS, hingga dedicated). Beberapa keunggulannya:
-
Managed service: pemasangan, konfigurasi, update rule otomatis, pemantauan harian
-
Pemfilteran tingkat lanjut: menyaring trafik sesuai pola serangan OWASP top 10 dan beyond.
-
Panel kontrol lengkap: memonitor aktivitas serangan, memblokir trafik
-
Support dan integrasi: dukungan teknis langsung serta kompatibel dengan berbagai teknologi web server.
Keamanan aplikasi web tidak hanya soal mempertahankan uptime, tetapi juga menjaga reputasi, data, dan kepercayaan pengguna. Dengan Citrahost WAF, mitigasi jauh lebih proaktif, skalabel, dan mudah dilakukan.
3. Fitur Utama Citrahost WAF & Cara Mencegah Jenis Serangan
Mari kita bahas satu per satu fitur utama beserta cara WAF ini menangkal berbagai jenis serangan:
3.1 Injection Attacks
3.1.1 SQL Injection (SQLi)
Apa itu?
Metode injeksi perintah SQL ke query aplikasi untuk mengakses, mengubah, atau menghapus data ilegal. Contoh: SELECT * FROM users WHERE name = 'admin' OR '1'='1';
Cara WAF menangkal:
-
Memfilter pola input yang mencurigakan (
' OR,;--,1=1,UNION SELECT). -
Menyunting atau menolak permintaan berdasarkan rule OWASP ModSecurity.
-
Memblokir payload yang berusaha mengeksploitasi kolom atau table injection.
-
Menganalisis query parameter untuk mencegah bypass teknik advanced.
Keunggulan Citrahost:
Rule di-update secara otomatis mengikuti tren serangan SQLi, termasuk blind SQLi & error-based injection. Panel memungkinkan memantau rule mana yang sedang aktif & melaporkan alert.
3.1.2 Command Injection (CMD Inj)
Apa itu?
Penyerang menyisipkan perintah shell melalui input aplikasi (misalnya pada parameter ping, system(), atau fungsi exec) untuk eksekusi kode di server.
Cara WAF menangkal:
-
Menandai karakter tanda backtick “`,
;,&&,|,$(atau>yang kategori “high risk” di input. -
Menolak atau sanitasi karakter berbahaya sebelum diproses server.
-
Analisis konteks parameter untuk memisahkan respon normal vs. payload injection.
Keunggulan Citrahost:
Aturan khusus command injection yang disesuaikan dengan beberapa bahasa (bash, sh), serta rule terkait “blacklist” tanda eksekusi.
3.1.3 Java / PHP / ASP Code Injection
Apa itu?
Serangan yang menyisipkan kode (script/app logic) ke dalam konteks aplikasi bahasa Java, PHP, atau ASP, sehingga dijalankan oleh server.
Cara WAF menangkal:
-
Deteksi pola seperti
<?php,eval(,jsp:expression,language="javascript",%>atauSystem.loadLibrary. -
Pre-analysis pada parameter POST, JSON, atau multipart untuk menutup akses dan memblokir jika ditemukan injection fragment.
Keunggulan Citrahost:
Kemampuan deteksi konteks bahasa dan file upload (misalnya upload PHP file), sehingga mencegah code injection pada berbagai platform teknologi.
3.1.4 Java Unserialize Exploit
Apa itu?
Eksploitasi celah pada Java yang menggunakan fungsi ObjectInputStream untuk deserialize data dari request yang dapat disusupi objek berbahaya.
Cara WAF menangkal:
-
Menjalankan rule khusus dari ModSecurity dan signature threat intel untuk Java unserialize.
-
Memblokir parameter serialized JSON yang memuat class-path eksploit atau gadget library
commons-collections.
Keunggulan Citrahost:
Pembaruan rule secara periodik sesuai CVE terbaru seperti CVE-2020-2551, CVE-2021-45046, dsb. Ini memastikan proteksi terhadap trend terbaru di Java unsafe deserialization.
3.2 Cross‑Site Exploits
3.2.1 XSS (Cross-Site Scripting)
Apa itu?
Penyisipan script (JavaScript/HTML) ke halaman web yang dieksekusi di browser pengguna. XSS dapat mencuri cookies, melakukan redirect, atau manipulate DOM.
Cara WAF menangkal:
-
Deteksi script injection yang disamarkan (seperti
<script>,onerror=,javascript:,document.cookie, dsb). -
Fisher sanitasi input dan parameter URL/POST.
-
Context-sensitive rule (HTML, JavaScript, CSS).
Keunggulan Citrahost:
Rule XSS sesuai OWASP terbaru & peraturan contextualized untuk mencegah bypass e.g. encoded payload.
3.2.2 Server Memakai Port Bebas Tanpa Batasan
Apa artinya?
Server Anda bisa menjalankan aplikasi web di port arbitrer (misalnya port 8080, 8000, 5000) sesuai kebutuhan, tanpa limitasi jumlah.
Keunggulan Citrahost:
WAF fleksibel memonitor seluruh traffic HTTP/S di semua port, sehingga aplikasi apapun yang berjalan bisa terlindungi, termasuk microservices, API, frontend, dan backend sandbox.
3.2.3 CSRF (Cross‑Site Request Forgery)
Apa itu?
Serangan dimana penyerang memanfaatkan kredensial aktif pengguna untuk mengirim request jahat ke website (misalnya change password, transfer dana) tanpa sepengetahuan.
Cara WAF menangkal:
-
Mendeteksi dan memblokir request POST/GET dengan referer, origin, atau token CSRF yang tidak valid.
-
Rule untuk API tanpa token harus verifikasi lain (CORS policy).
-
Juga kombinasi dengan preventive server-side CSRF check: header
X-CSRF-Token.
Keunggulan Citrahost:
WAF mampu verifikasi header Referer/Origin, memberikan alert untuk setiap request cross-domain tidak diizinkan, serta menolak payload otomatis yang digunakan untuk CSRF.
3.3 File & Resource Exploits
3.3.1 Malicious File Upload
Apa itu?
Pengunggahan file berbahaya yang mengandung webshell, script, atau ekstensi berbahaya (.php, .jsp, .aspx) dalam bentuk rename .jpg.php.
Cara WAF menangkal:
-
Deep inspection pada konten yang di-upload, bukan hanya extension.
-
Verifikasi MIME type & signature.
-
Blob analysis: file zip dynamic, nested, atau mengandung skrip embedded.
Keunggulan Citrahost:
Deteksi file upload dengan signature webshell, heuristik berdasarkan magic bytes, dan rule untuk limit ukuran/mime/file type custom.
3.3.2 Local/Remote File Inclusion (LFI/RFI)
Apa itu?
Eksploitasi sertakan file lokal (/etc/passwd) atau dari server remote menggunakan include, require, require_once, dsb.
Cara WAF menangkal:
-
Blok request dengan parameter yang mengandung
../(directory traversal),php://,http://,ftp://, danfile://. -
Pattern matching terhadap payload eksploit file inclusion seperti
../../../,.so?, dsb. -
Filtering contextual: hanya izinkan include file authorized.
Keunggulan Citrahost:
Rule ModSecurity plus threat intel update yang menolak string LFI/RFI umum dan kombinasi traversal.
3.3.3 SSTI (Server‑Side Template Injection)
Apa itu?
Serangan pada sistem templating (Twig, Jinja2, Velocity, FreeMarker) di mana payload template (misalnya {{7*7}}) di-render sehingga dieksekusi di server.
Cara WAF menangkal:
-
Detect pattern seperti
{{,{%,#{,#{...}atau${…}pada parameter user. -
Block atau sanitize context sebelum rendering.
-
Specific rules berdasarkan engine templating yang dipakai.
Keunggulan Citrahost:
Update rule berdasarkan kerentanan SSTI terbaru & support top templating framework (Python, PHP, Java).
3.3.4 SSRF (Server‑Side Request Forgery)
Apa itu?
Penyerang memanfaatkan aplikasi untuk mengirim request dari server, misalnya membaca metadata internal AWS IMDS atau akses host intranet.
Cara WAF menangkal:
-
Blok semua traffic request-out via HTTP jika target berada di IP range privat/default service (169.254.x.x, 127.x.x.x, 10.x.x.x dll).
-
Deteksi redirect chain ke internal.
-
Rule terhadap variabel parameter
url,uri,hostyang mengarah ke IP/internal host.
Keunggulan Citrahost:
Managed WAF mampu mengambil threat intelligence SSRF dan policy whitelist domain eksternal hanya yang dibutuhkan.
3.4 HTTP‑Based Attacks
3.4.1 Malicious HTTP Requests (MAL HTTP)
Apa itu?
Permintaan HTTP yang berpotensi eksploit payload: header oversize, content anomalies, user-agent spoofing, request smuggling/splitting, header injection, path traversal, query anomalies.
Cara WAF menangkal:
-
Analisis header abnormal (UTF-7, UTF-16, 0x00 injection).
-
Filtering request splitting (CRLF injection), header ganda, chunked encoding.
-
Block user-agent umum alat scanning/enum (sqlmap, dirbuster, nikto, curl).
-
Limit length parameter & header limit.
Keunggulan Citrahost:
Signature rule ModSecurity dan rule custom HAR (HTTP Anomaly Recognition) memastikan traffic bersih & mem-blocks scanner otomatis.
3.4.2 HTTP Flood (Layer 7 DDoS)
Apa itu?
Serangan lapisan aplikatif berulang (GET/POST) dengan traffic legit pada endpoint high‑load (misalnya login, search). Tujuannya memonopoli resource CPU/RAM.
Cara WAF menangkal:
-
Rate limiting berdasarkan IP, region, headers, atau behavior profiling.
-
Captcha challenge when suspicious level tinggi.
-
Challenge twijfel seperti HTTP 429 / delay, throttle koneksi.
-
Bot fingerprinting; memblok bot tanpa challenge.
Keunggulan Citrahost:
Skalabilitas auto‑throttling, behavior intelligence (slow/fast request, burst), dan provisioning yang dapat digabungkan dengan server DDoS protection tambahan (Cloudflare hybrid/distributed edge).
4. Studi Kasus & Contoh Nyata
4.1 Melindungi dari SQLi
Sebuah aplikasi e‑commerce custom diserang upaya ' OR '1'='1 pada parameter pencarian produk. Setelah diaktifkan WAF, request tersebut langsung diblok, dan pelaku hindered oleh status 403 dan alert di panel.
4.2 Menolak Upload Webshell
Website berbasis PHP sempat kebobolan karena ada LFI via system($_GET['file']);. WAF menandai dan memblokir parameter berisi file://, serta memfilter upload yang mengandung <?php, memulihkan kontrol.
4.3 Mitigasi DDoS API Post
API rate‑limited dipenuhi push request pencarian hingga 500 rps. WAF segera memicu throttling di 30 rps/IP dan meluncurkan challenge ask untuk CAPTCHA, sehingga server kembali stabil.
5. Ringkasan Perbandingan Fitur
| Fitur | Apa yang Dilindungi | Keterangan Kelebihan |
|---|---|---|
| SQLi / CMD Inj | SQL Injection, Command Injection | Regex DSL dan signature OWASP; rule otomatis |
| Code Injection (PHP/Java/ASP) | Upload webshell, eval injection | Signature berbasis bahasa, dapat deteksi berdasarkan context |
| Java Unserialize | Unsafe deserialization | Proteksi terhadap CVE Java deserialization |
| XSS / SSTI / CSRF | Script injection, token exploit | Rule tiap contextual; inspect header origin |
| LFI / RFI / SSRF | File inclusion, metadata abuse | Inspection file path, IP internal, traversal signature |
| Mal HTTP | Header/param injection, user-agent scanning | HTTP anomaly signature, filter scanning tool UA |
| HTTP Flood | Layer 7 DDoS | Auto-throttling, challenge, rate limit real-time |
Amankan aplikasi web Anda sekarang juga dengan WAF Citrahost! Hanya dengan Rp 150.000/bulan, Anda sudah mendapatkan perlindungan lengkap dari berbagai serangan siber seperti SQL Injection, XSS, hingga HTTP Flood. Didesain untuk semua jenis website—mulai dari e-commerce, sistem login, hingga API—WAF kami menjamin performa tetap optimal sambil menjaga data Anda tetap aman.
💥 Coba gratis selama 7 hari, tanpa komitmen, tanpa kartu kredit!
Jangan tunggu sampai website Anda diserang—pesan sekarang dan jadikan keamanan sebagai prioritas utama.





