Pendahuluan
Web Server adalah saluran komunikasi bisnis yang luar biasa - ia menyampaikan informasi dengan murah, nyaman kepada hampir semua orang. Secara tradisional, menurut saya pengalaman, Web bukanlah area yang dianggap serius oleh auditor hingga saat ini, karena belum digunakan untuk melakukan transaksi bisnis, tetapi hanya untuk mempublikasikan organisasi. Sebagian besar perusahaan menjalankan aplikasi Web mereka pada antarmuka firewall atau antarmuka di luar jaringan internal, sehingga audit, lebih memperhatikan inti aplikasi bisnis, dapat mengandalkan firewall untuk melindungi dari peretas, dan memperlakukan server Web sebagai, paling buruk, sebagai bastion host.
Server web yang digunakan perusahaan untuk menjalankan situs web mereka dapat diakses oleh karyawan, pelanggan, atau mitra bisnis, yang berarti mereka menangani banyak informasi sensitif. Serangan baru-baru ini telah menyoroti pentingnya keamanan informasi dengan mengingatkan bisnis tentang dampak pelanggaran dunia maya --- tindakan hukum, denda, dan hilangnya kepercayaan pelanggan. Sebagai akibat dari pelanggaran profil tinggi ini, mandat peraturan di seluruh dunia menuntut sistem keamanan yang lebih ketat untuk meningkatkan deteksi dan resolusi insiden. Mereka juga menekankan pemberitahuan pelanggaran wajib yang memperingatkan otoritas yang mengatur tentang pelanggaran dalam kerangka waktu yang ditentukan.
Pengertian Dan Penjelasan Web Server Dan Web Aplikasi
Web Server  adalah perangkat lunak dan perangkat keras yang menggunakan HTTP (Hypertext Transfer Protocol) dan protokol lain untuk menanggapi klien yang permintaandibuat melalui World Wide Web. Tugas utama server web adalah menampilkan konten situs web melalui penyimpanan, pemrosesan, dan pengiriman halaman web kepada pengguna. Selain HTTP, web server juga mendukung SMTP (Simple Mail Transfer Protocol) dan FTP (File Transfer Protocol), digunakan untuk email, transfer file, dan penyimpanan.
Perangkat keras web server terhubung ke internet dan memungkinkan data untuk dipertukarkan dengan perangkat lain yang terhubung, sementara perangkat lunak web server  mengontrol bagaimana pengguna mengakses file yang dihosting. Proses web server adalah contoh model klien / server . Semua komputer yang menghosting situs web harus memiliki perangkat lunak server web.
Sedangkan aplikasi web adalah program komputer yang menggunakan browser web untuk menjalankan fungsi tertentu. Contoh sederhananya adalah formulir kontak di situs web.
Aplikasi web adalah program klien-server. Ini berarti memiliki sisi klien dan sisi server. Istilah "klien" di sini mengacu pada program yang digunakan individu untuk menjalankan aplikasi. Ini adalah bagian dari lingkungan klien-server, di mana banyak komputer berbagi informasi. Misalnya, dalam kasus database, klien adalah program yang digunakan pengguna untuk memasukkan data. Server adalah aplikasi yang menyimpan informasi.
Cara Kerja Web Server
Perangkat lunakweb server diakses melalui nama domain situs web dan memastikan pengiriman konten situs ke pengguna yang meminta. Sisi perangkat lunak juga terdiri dari beberapa komponen, dengan setidaknya server HTTP. Server HTTP dapat memahami HTTP dan URL. Sebagai perangkat keras, web server adalah komputer yang menyimpan perangkat lunak web server dan file lain yang terkait dengan situs web, seperti HTML dokumen, gambar, dan JavaScript file.
Cara Kerja Web Aplikasi
      Untuk mengakses yang dibutuhkan adalah koneksi internet dan web browser yang digunakan sebagai penghubung ke aplikasi yang ingin diakses.
Ancaman Terhadap Web Server
Web adalah pintu gerbang untuk komunikasi antara internet dan jaringan perusahaan Anda. Aplikasi web mengharuskan port tertentu terbuka untuk komunikasi dengan pengguna akhir, yang berarti peretas dapat menggunakan teknik serangan canggih untuk mengeksploitasi kerentanan di web server Anda dan membahayakan keamanan jaringan Anda. Server web rentan terhadap berbagai ancaman keamanan, seperti permintaan yang mencoba menjalankan skrip berbahaya.
Langkah Untuk Melakukan Audit Web Server dan Web AplikasiÂ
Sebelum melakukan audit terhadap web server dan web aplikasi, auditor harus melakukan survei pendahuluan untuk memastikan beberapa hal berikut:
- Apakah sistem harus tersedia 24 x 7?
- Apa persyaratan aksesnya? Apakah akses ke sistem / data dibatasi di dalam perusahaan hanya untuk manajemen senior? Apakah pelanggan / mitra bisnis / pesaing diizinkan mengakses bagian mana pun dari sistem (terutama untuk sistem bisnis elektronik)?
- Berapa banyak pengguna yang menggunakan sistem rata-rata dan pada waktu puncak?
- Berapa banyak data yang disimpan?
- Apakah ada persyaratan hukum untuk menyimpan data dalam jangka waktu tertentu?
- Apakah ada persyaratan hukum untuk melindungi data dari penyusup?
- Seberapa sensitif data disimpan? Seberapa buruk pengaruhnya terhadap bisnis jika pesaing atau penyusup lain memiliki akses ke data tersebut atau menghancurkan data?
- Seberapa sensitif sistem itu sendiri? Seberapa buruk pengaruhnya terhadap bisnis bagi pengguna yang tidak sah untuk mendapatkan akses ke berbagai bagian sistem?
