Finish Start

5.1 LINGKUP PENGUJ IAN ADD-ONS

Pengujian dilakukan dengan sistem hardware sebagai berikut:

1. Laptop dengan spesifikasi Intel centrino dengan Ram 2 giga.

2. Sistem Operasi Windows 7 ulimate.

3. Laptop yang memiliki Browser Mozilla firefox 3.6 yang berfungsi untuk

menjalankan add-ons

4. koneksi Internet yang baik.

5.2 UJ I COBA

Tahap uji coba aplikasi add ons vulnerability scanner secara online (aplikasi terkoneksi kepada internet).

5.2.1 Aplikasi Web Vulner ability Scanner

Gambar 5.1 Tampilan Halaman Utama

Pada Gambar 5.1 diatas terdapat Tampilan Menu Utama, pada tampilan tersebut terdapat 4 bagian sebagai berkut :

• Judul Aplikasi : judul untuk aplikasi ini yang disesuaikan dengan fungsinya yaitu Vulnerability Scanning.

• Menu : menu ini memiliki 4 menu utama dengan submenu

masing-masing. Menu pertama adalah SQL INJECTION dan kedua adalah

XSS ketiga INFO keempat terdapat COOKIE dimana pada menu

XSS yaitu SCAN URL, SCAN PAGE, SCAN SITE(FAST), SCAN SITE (FULL). 4 sub menu tersebut sama-sama mencari kelemahan

pada alamat URL yang memiliki kelemahan terhadap SQL iinjection atau XSS. Pada sub menu TAB URL berfungsi pencarian terhadap alamat URL pada tab yang sedang aktif.

Sub menu PAGE berfungsi mencari terhadap seluruh alamat

URL pada page yang sedang aktif. Sub menu SITE (FAST) berfungsi

pencarian terhadap seluruh alamat URL dalam satu page website pada tab yang sedang aktif dimana cukup hanya menemukan satu alamat URL yang memiliki kelemahan. Sedangkan sub menu SITE

(FULL) berfungsi pencarian terhadap seluruh alamat URL dalam satu

website pada tab yang sedang aktif sampai tidak ada halaman dan alamat URL lagi yang belum diperiksa

Menu utama INFO dengan 2 sub menu yaitu DOMAIN dan

CLIENT. Sub menu DOMAIN berfungsi menampilkan informasi

mengenai domain yang digunakan oleh website pada tab yang sedang aktif. Sub menu CLIENT berfungsi menampilkan informasi mengenai koneksi yang digunakan oleh pengguna. Menu terakhir adalah COOKIE dengan sub menu Cookie. Sub menu tersebut berfungsi menampilkan nama dan nilai cookie untuk website pada tab yang sedang aktif.

5.2.2 Pr oses Scanning Secar a Online

Proses ini dilakukan dengan syarat aplikasi harus terhubung dengan internet. Minimal koneksi internet yang dipergunakan

memiliki kecepatan yang baik karena berpengaruh terhadap waktu proses dibutuhkan aplikasi untuk melakukan pencarian alamat URL yang memiliki kelemahan terhadap SQL atau XSS.

Pada bab ini addons akan diuji cobakan untuk mendeteksi kelemahan beberapa website terhadap injeksi SQL dan XSS. Sesuai dengan 2 menu utama yaitu Scan SQL INJECTION dan XSS yang mempunyai 4 sub menu yang sama yaitu Scan URL, Scan Page,

Scan Site (fast), dan Scan Site (Full).

Dimana pada bagian tersebut dibedakan mengenai website yang akan dicari kelemahannya dengan memanfaatkan berbagai cara tersebut diharapkan dapat membantu user untuk mengetahui kelemahan sebuah website sehingga user dapat dengan mudah mengantisipasi kelmahan-kelemahan website tersebut.

Pada add-ons tersebut akan diuji coba pada beberapa

alamat website yang dimungkinkan memiliki kelemahan dengan menggunakan pola SQL injection serta XSS injection dimana pada ke dua pola tersebut memiliki sub fungsi yang berbeda-beda antara lain Scan URL, Scan Page, Scan Site (fast), dan Scan Site (Full) didalam fungsi tersebut akan diperoleh kelemahan-kelemahan atau celah yang bisa diinjeksi serta dapat diketahui informasi keberadaan dari kelemahan website tersebut.

Tabel 5.1 Daftar alamat website yang diperiksa

Nama Proses Alamat Website

Scan SQL on Url http://www.tomiya.co.jp/jewelry/brand/m

odel.php?products_majer_id=120

Scan SQL on Page http://www.skywatcher.com/swtinc/produ

ct.php?id=28&class1=1&class2=101

Scan SQL on Site (fast) http://www.tomiya.co.jp/jewelry/brand/m

odel.php?products_majer_id=120

Scan SQL on Site (full) http://www.rolcogames.com/search.php?k

eywords=tank+bosk&submit=Search

Scan XSS on Url http://flowplayer.org/demos/index.html

Scan XSS on Page http://rolcogames.com

Scan XSS on Site (fast) http://rolcogames.com

Scan XSS on Site (full) http://flowplayer.org/demos/index.html

Info Domain www.google.com

Info Client www.google.com

Show Cookie www.google.com

5.2.2.1Scanning SQL Injection pada URL

Halaman ini berfungsi untuk melakukan pencarian kelemahan alamat URL pada tab yang sedang aktif terhadap injeksi SQL. Berikut tampilan website sebelum dan sesudah dilakukan pencarian terhadap tab yang sedang aktif.

Gambar 5.2 Tampilan Sebelum Diinjeksi SQL pada Tab Ur l

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi SQL.

Pada gambar diatas merupakan tampilan setelah dilakukan proses pencarian pada website tersebut terhadap injeksi SQL. Pada sub menu

Scan SQLi on URL ditemukan 1 alamat URL yang memiliki kelemahan

terhadap injeksi SQL dari proses pencarian yang dilakkukan sebelumnya dan diuji coba pada browser. Muncul sebuah informasi error dari server

database yang dipergunakan oleh website yaitu Postgree dengan ditandai

dengan query dengan nama pg_query().

5.2.2.2 Scanning SQL Injection pada PAGE

Halaman ini berfungsi untuk melakukan pencarian kelemahan halaman URL pada tab yang sedang aktif terhadap injeksi SQL dengan cara mengakses semua alamat URL yang didapat pada halaman tersebut. Berikut tampilan website sebelum dilakukan pencarian terhadap page yang sedang aktif.

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi SQL jadi informasi yang tampil masih sesuai dengan informasi asli dari web tersebut

Gambar 5.5 Hasil Scanning SQL Injection pada Page

Pada gambar diatas dilakukan proses pencarian pada website tersebut terhadap injeksi SQL. Pada sub menu Scan SQLi on Page ditemukan 1 alamat URL yang memiliki celah yang dimungkinkan untuk di injeksi.

Gambar diatas adalah tampilan hasil dari proses pencarian yang dilakakukan sebelumnya dan diuji coba pada browser. Muncul sebuah informasi query failed : you have an error in your SQL syntax.

5.2.2.3Scanning SQL Injection pada SITE Secar a Cepat

Halaman ini berfungsi untuk melakukan pencarian kelemahan halaman URL pada page yang sedang aktif terhadap injeksi SQL dengan cara mengakses semua alamat URL yang didapat pada halaman. Berikut tampilan website sebelum dilakukan pencarian terhadap sebuah website dimana pada scan berikut ini akan berhenti bila ditemukan satu kelemahan.

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi SQL jadi informasi yang tampil masih sesuai dengan informasi asli.

Gambar 5.8 Hasil Scanning SQL Injection pada Site (FAST)

Dilakukan proses pencarian pada website tersebut terhadap injeksi

SQL. Pada sub menu Scan SQLi on Site (cepat) ditemukan 1 alamat URL

yang memiliki terhadap injeksi SQL.

Gambar diatas adalah tampilan hasil dari proses pencarian yang dilakakukan sebelumnya dan diuji pada browser. Muncul sebuah informasi error dari server database yang dipergunakan oleh website yaitu

postgree.

5.2.2.4 Scanning SQL Injection pada SITE Secar a Penuh

Pada submenu terakhir sama dengan submenu sebelumnya tetapi proses pencarian tidak berhenti saat ditemukan satu alamat URL yang memiliki kelemahan terhadap injeksi SQL melainkan proses pencarian akan berhenti jika tidak lagi ada alamat URL dari semua alamat URL yang ditemukan dalam website tersebut yang belum diproses. Berikut tampilan

website sebelum dilakukan pencarian terhadap sebuah website yang

sedang aktif.

Gambar 5.10Tampilan Sebelum Diinjeksi SQL pada Site (FULL)

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi SQL jadi informasi yang tampil masih sesuai dengan isi asli dari website tersebut.

Gambar 5.11 Hasil Scanning SQL Injection pada Site (FULL)

Dilakukan proses pencarian pada website tersebut terhadap injeksi

SQL. Pada sub menu Scan SQLi on Site (full) ditemukan banyak sekali

celah yang dimungkinkan untuk dapat di injeksi.

Gambar diatas adalah tampilan hasil dari proses pencarian yang dilakakukan sebelumnya dan diujicobakan pada browser. Muncul sebuah informasi error dari server database yang dipergunakan oleh website yaitu

PgSQL.

Pada beberapa percobaan diatas dapat terjadi dikarenakan dalam pengiriman sebuah nilai menggunakan metode GET sehingga nilai akan ditampakkan pada alamat URL. Nilai tersebut langsung dipergunakan dalam penggunaan Query SQL tanpa penyaringan untuk penggunaan nilai yang didapat dari alamat URL yang akan dipergunakan untuk Query SQL. Saat alamat URL diubah pada nilainya dengan menambahkan simbol (‘) maka simbol (‘) juga akan masuk ke Query SQL yang mengakibatkan pengeksekusian Query SQL mengalami kegagalan. Dari kegagalan tersebut Server dari SQL akan memunculkan pesan error dari kegagalan pengeksekusian tersebut. Apabila simbol (‘) digantikan dengan perintah lainnya maka perintah tersebut akan dieksekusi oleh Server dari SQL sehingga informasi yang terdapat pada Server akan diperlihatkan sesuai perintah yang dimasukkan pada alamat URL.

5.2.2.5 Scanning XSS Injection pada URL

Halaman ini berfungsi untuk melakukan pencarian kelemahan alamat URL pada tab yang sedang aktif terhadap injeksi XSS. Berikut tampilan website sebelum dilakukan pencarian terhadap website.

Gambar 5.13 Tampilan Sebelum Diinjeksi XSS pada Tab Url

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi XSS jadi informasi yang tampil masih sesuai dengan situs aslinya.

Pada gambar diatas dilakukan proses pencarian pada website tersebut terhadap injeksi XSS. Pada sub menu Scan XSS on URL ditemukan 1 alamat URL yang memiliki kelemahan terhadap injeksi XSS.

Gambar diatas adalah tampilan hasil dari proses pencarian yang dilakakukan sebelumnya dan di uji pada browser. Muncul sebuah sebuah pesan XSS INJECTION berarti membuktikan bahwa situs tersebut memiliki celah yang bisa di injeksi.

5.2.2.6Scanning XSS Injection pada PAGE

Halaman ini berfungsi untuk merupakan halaman page yang digunakan untuk SQL injection dimana pada situs tersebut juga teridentifikasi dengan penyerangan XSS dengan cara mengakses semua alamat URL yang didapat pada halaman tersebut. Berikut tampilan website sebelum dilakukan pencarian.

Gambar 5.16 Tampilan Sebelum Diinjeksi XSS pada Page Gambar 5.15 Tampilan Sesudah Diinjeksi XSS pada Tab Url

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi XSS jadi informasi yang tampil masih sesuai data pada halaman website.

Gambar 5.17 Hasil Scanning XSS Injection pada Page

Dilakukan proses pencarian pada website tersebut terhadap injeksi

XSS. Pada sub menu Scan XSS on Page ditemukan alamat URL yang

memiliki kelemahan terhadap injeksi XSS yang di mungkinkan memiliki kelemahan.

Gambar 5.18 Tampilan Sesudah Diinjeksi XSS pada Page

Gambar diatas adalah tampilan hasil dari proses pencarian yang dilakakukan sebelumnya dan diujicobakan pada browser. Muncul sebuah sebuah pesan XSS INJ ECTION dan hal tersebut membuktikan bahwa website tersebut memiliki celah kelemahan

5.2.2.7Scanning XSS Injection pada SITE Secar a Cepat

Halaman ini berfungsi untuk melakukan pencarian kelemahan halaman URL pada tab yang sedang aktif terhadap injeksi XSS dengan cara mengakses semua alamat URL yang didapat pada halaman. Berikut tampilan website sebelum dan sesudah dilakukan pencarian terhadap sebuah website yang sedang aktif tetapi berhenti saat sudah ditemukan sebuah alamat URL yang mempunyai kelemahan terhadap injeksi XSS.

Gambar 5.19 Tampilan Sebelum Diinjeksi XSS pada Site (cepat)

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi XSS dan merupakan situs yang digunakan pada SQL

injection.

Gambar 5.20 Hasil Scanning XSS Injection pada Site (FAST)

Dilakukan proses pencarian pada website tersebut terhadap injeksi

yang memiliki kelemahan terhadap injeksi dimana pada menu tersebut dilengkapi dengan metode POST.

Gambar 5.21 Tampilan Sesudah Diinjeksi XSS pada Site (cepat) Gambar diatas adalah tampilan hasil dari proses scanning. Muncul sebuah sebuah pesan XSS INJECTION tersebut yang merupakan hasil eksekusi script oleh web server yang digunakan oleh website tersebut.

5.2.2.8Scanning XSS Injection pada SITE Secar a Penuh

Pada submenu terakhir sama dengan submenu sebelumnya tetapi proses pencarian berhenti saat semua URL telah diproses dan jika tidak lagi ada alamat URL dari semua alamat URL yang ditemukan dalam website tersebut yang belum diproses. Berikut tampilan website sebelum dan sesudah dilakukan pencarian terhadap sebuah website yang sedang aktif.

Gambar 5.22Tampilan Sebelum Diinjeksi XSS pada Site (FULL)

Tampilan diatas adalah tampilan halaman website yang belum dilakukan injeksi XSS jadi informasi yang tampil masih benar sesuai data pada halaman website.

Dilakukan proses pencarian pada website tersebut terhadap injeksi

XSS. Pada sub menu Scan XSS on Site (penuh) ditemukan alamat URL

yang memiliki kelemahan terhadap injeksi XSS dan website tersebut memiliki celah yang dapat di injeksi dengan serangan XSS berikut ini adalah tampilan website tersebut setelah dilakukan penyerangan dengan menggunakan metode XSS.

Gambar 5.24 Tampilan Sesudah Diinjeksi XSS pada Site (FULL)

Gambar diatas adalah tampilan hasil dari proses pencarian yang dilakakukan sebelumnya dan diujicobakan pada browser. Muncul sebuah sebuah pesan XSS INJECTION setelah kata “search them” dari hasil eksekusi script oleh web server yang digunakan oleh website tersebut.

Pada beberapa percobaan diatas dapat terjadi dikarenakan dalam pengiriman sebuah nilai menggunakan metode GET sehingga nilai akan

ditampatkan pada alamat URL. Nilai tersebut langsung ditampilkan ulang pada Tag HTML tanpa penyaringan untuk menghindari adanya script

HTML ataupun Javascript akan dieksekusi oleh Web Server sehingga

informasi yang terdapat pada Server akan diperlihatkan sesuai perintah yang dimasukkan pada alamat URL.

5.2.2.9 Get Info about Domain Website

Halaman ini berfungsi untuk mendapatkan informasi mengenai domain yang dipakai oleh website yang sedan diakses tersebut dan berikut adalah tampilan hasil info domain pada www.google.com.

Pada gambar diatas aplikasi melakukan pemeriksaan sebuah website untuk mendapatkan informasi mengenai domain yang digunakan

oleh website tersebut. Informasi tersebut hasil pengolahan yang didapat dari website http://who.is/whois.com.

5.2.2.10 Get Info about Client Connection

Halaman ini berfungsi untuk mendapatkan informasi mengenai koneksi yang dipakai oleh pengguna untuk terhubung dengan internet. Berikut tampilan informasi koneksi yang sedang digunakan oleh pengguna.

Gambar 5.25 Informasi Client Connection

Pada gambar diatas aplikasi melakukan pemeriksaan sebuah website untuk mendapatkan informasi mengenai koneksi internet yang

digunakan oleh pengguna. Informasi tersebut hasil pengolahan yang didapat dari website http://www.ip-address.org/

5.2.2.11 Get Information about Cookie

Halaman ini berfungsi untuk mendapatkan informasi cookie dari

browser Mozilla firefox. Informasi Cookie yang didapat disaring sesuai

nama domain yang sama dengan nama website pada tab yang sedang aktif.

Gambar 5.26 Hasil Get Information about Cookie

Pada gambar diatas aplikasi melakukan pemeriksaan semua cookie yang didapat dari Mozila Firefox untuk diproses sesuai domain pada

5.2.3 Analisis

Pada table berikut ini menampilkan nilai asumsi dari hasil scan yang dilakukan pada SQL injection dan XSS injection pada masing-masing menu sehingga didapatkan hasil seperti yang terdapat pada table dibawah ini :

Hasil informasi dari semua percobaan bila dilihat dengan grafik maka hasilnya sebagai berikut :

Gambar 5.27 Per bandingan Alamat URL dar i Semua Per cobaan

Dari grafik diatas dapat dijelaskan bahwa didalam proses antara Scan yang dilakukan oleh addons SQL injection dan XSS memperlihatkan hasil yang signifikan didalam hasil scanning. Bahwa dapat dilihat dari perolehan hasil yang diperoleh menunjukkan hasil yang lebih sedikit dibandingkan dengan hasil pada proses, hal ini menunjukkan bahwa didalam pendeteksian sebuah website ternyata memiliki banyak sekali alamat-alamat yang sebenarnya telah memiliki tingkat keamanan yang baik dan tidak menutup kemungkinan juga memiliki kelemahan seperti pembahasan sebelumnya. Yang dibuktikan dari beberapa website yang telah diujicobakan ternyata memiliki hasil yang signifikan perbedaannya.

Maka disimpulkan dari grafik tersebut hasil akhir dari scanning memiliki tingkat perolehan yang lebih sedikit dibandingkan dengan perolehan proses dimana website yang telah diuji coba memiliki tingkat keamanan yang masih memiliki lemah meskipun tidak seperti proses yang ada disetiap URL.

6.1 Kesimpulan

Dari uraian pada bab-bab sebelumnya dan menjawab dari rumusan masalah yang telah dipaparkan pada bab 1. Maka dapat ditarik kesimpulan tentang perancangan addons, pembuatan addons dan uji coba yakni sebagai berikut :

a. Pembuatan dari addons pada mozilla firefox cukup mengikuti tutorial yang

telah disediakan pada website

http://blog.mozilla.com/addons/2009/01/28/how-to-develop-a-firefox-extension/ dimana pada website tersebut diberikan juga contoh addons sederhana yang bisa di modifikasi.

b. Dalam penggunaan SQL injection pendeteksiannya cukup

memodifikasikan alamat link setelah tanda (=) dengan tanda(‘) sehingga hasil dari pendeteksian dapat diketahui dan memiliki hasil seperti pada testing sebelumnya.

c. Didalam pendeteksian XSS injection ditambahkan script yang mana bisa

masuk kedalam URL setelah tanda (=) tersebut yang dapat membuktikan bahwa website tersebut memiliki kelemahan .

d. Tampilan dari addons tersebut dimunculkan pada newtab pada saat addons

tersebut dijalan sesuai dengan kebutuhan dari user tersebut yang bertujuan untuk mempermudah penggunaan sehingga tidak perlu membuka window baru untuk melihat hasil prosesnya.

6.2Sar an

Untuk pengembangan selanjutnya addons tersebut dapat melakukan pendeteksian kepada beberapa alamat yang memiliki tingkat keamanan yang tinggi serta dapat melakukan penyerangan yang sederhana, bahwa dapat membuktikan celah yang telah terdeteksi dapat diinjeksi lebih dalam lagi, Serta demi kemajuan aplikasi addons agar dilengkapi sistem monitoring agar admin dari website tersebut dapat memonitor setiap gerakan mencurigakan dari addons tersebut agar tidak disalah gunakan misalnya dengan memperoleh hasil report dari pengguna tersebut.

mudah-xss-attack.html

2. Gavin Zuchlinski."Advanced Cross Site Scripting".Oktober 2003.http://libox.net

3. Purnama,dede.2010. sejarah “website da n br owser ”

http://www.dedepurnama.com/2010/07/sejarah-web-browser.html

4. Desrizal. 2010. “J avascr ipt Guide”. http://blog.codingwear.com/

JavascriptGuide.zip

5. Utuh. 2011. “XSS: Internet Explorer & Mozilla Firefox”.

http://www.jasakom.com/content.php?803-Salah-Satu-Bahaya-XSS-Stealing-Account-Information (diakses tanggal 12 April 2011) 6.

http://roachfiend.com/archives/2004/12/08/how-to-create-firefox-extensions/

7. http://blog.mozilla.com/addons/2009/01/28/how-to-develop-a-firefox-extension/

8. Wibowo Tunardy. 2009. “Pengertian Internet”. http://www.tunardy.com/

pengertian-internet/

9. Stafitan.2007. “tutor ial sql injection”.

http://stafiyan.blogspot.com/2007/10/tutor ial-sql-injection_22.html 10.