ANALISIS CELAH KEAMANAN WEBSITE INSTENSI PEMERINTAHAN STUDI KASUS PADA WEBSITE PERPUSTAKAAN

(1)

Masyarakat Telematika Dan Informasi : Jurnal Penelitian Teknologi Informasi dan Komunikasi Volume: 12 No. 1 (Januari – Juni 2021) Hal.: 45 - 56

ANALISIS CELAH KEAMANAN WEBSITE INSTENSI PEMERINTAHAN STUDI KASUS PADA WEBSITE PERPUSTAKAAN

GOVERNMENT INSTITUTION WEBSITE SECURITY ANALYSIS, CASE STUDY ON THE LIBRARY WEBSITE

Muhammad Yogi Mustofa, Sunarto

Program Studi Informatika, Institut Teknologi Indonesia

Jl. Raya Puspiptek, Setu, Kec. Serpong, Kota Tangerang Selatan, Banten 15314 E-mail : [email protected], [email protected]

Naskah diterima tanggal 13 November 2019, direvisi tanggal 6 Agustus 2020, disetujui pada tanggal 25 November 2021

Absract

Website security is an important thing in designing a website. But there are still many website developers who are not careful in improving the security of their websites. Website developers should implement good website security at the beginning of their website design because maybe one day the website they have built will be the target of damage by hackers. In addition, website developers must also often follow the latest attack trends so that they can maintain and improve their website from things that are not desirable. There are several problems in the security gap such as: cross- site scripting, information leakage, authentication and authorization, Session management, SQL injection, CSRF, and others. This study analyzed several security holes in several websites of government agencies in Jakarta taken from the local domain in Jakarta government agencies, these websites usually are very vulnerable from cybercrime. From the results of this analysis, a handling model for every security hole on each website will be designed. The long-term goal of this research is to produce a model of good handling of every security hole on a website based on the level of vulnerability of a website. While the specific purpose of this study is to analyze some of the security holes that exist on the website and the level of vulnerability of each website. The research method used is the Black Box Model with three stages namely Post-attack phase, Attack phase and Pre-attack phase. The final results of this test have been modeled in the form of use case diagrams to facilitate further research.

Keywords: security hole, website, pentest

Abstrak

Keamanan website merupakan satu hal penting dalam perancangan sebuah website. Namun masih banyak developer website yang kurang teliti dalam meningkatkan keamanan website mereka. Seharusnya para developer website harus menerapkan keamanan website yang baik di awal perancangan website mereka, karena mungkin suatu saat website yang telah mereka bangun akan menjadi target pengerusakan oleh hacker. Selain itu developer website juga harus sering mengikuti tren serangan terbaru agar mereka dapat mempertahankan dan memperbaiki website mereka dari hal-hal yang tidak diinginkan. Ada beberapa masalah pada celah keamanan diantaranya : cross-site scripting, information leakage, authentication and authorization, Session management, SQL injection, CSRF dan lain – lain. Pada penelitian ini dianalisis beberapa celah keamanan pada beberapa website instansi pemerintahan di jakarta yang diambil dari domain lokal di instansi pemerintahan jakarta, karena biasanya website ini sangat rentan dari cybercrime. Dari hasil analisis ini akan dirancang sebuah model penanganan dari setiap celah keamanan pada setiap website mengunakan Pentest. Tujuan jangka panjang dari penelitian ini adalah menghasilkan model penanganan yang baik dari setiap celah keamanan pada website berdasarkan tingkat kerentanan sebuah website. Sedangkan tujuan khusus dari penelitian ini menganalisis beberapa celah keamanan yang terdapat pada website dan tingkat kerentanan setiap website. Metode penelitian yang dilakukan ialah Model Black Box dengan tiga tahapan yaitu Post-attack phase, Attack phase dan Pre-attack phase. Hasil akhir dari pengujian ini telah dimodelkan kedalam bentuk use case diagram untuk mempermudah penelitian-penelitian selanjutnya.

Kata Kunci : celah keamanan, website, pentest

(2)

Perancangan Modul Registrasi Lender Pada Peer To Peer Lending Platform Untuk Mencegah Potensi Pencucian Uang

Rabiah Al Adawiyah dan Betty Purwandari

PENDAHULUAN

Dalam dunia pengembangan website, pengamanan terhadap sebuah website seringkali luput dari benak pengembang web.

Pada kenyataanya, mencari suatu bug atau kelemahan keamanan dan melakukan audit terhadap suatu website cukup sulit untuk dilakukan. Melihat kenyataan tersebut, para pengembang ataupun praktisi keamanan web mengaplikasikan berbagai teknik keamanan.

Setiap pengembang website harus memperbaiki pengamanan terhadap website yang dibangunnya. Pengamanan harus diterapkan sejak awal karena penerapannya akan sangat sulit jika telah terjadi masalah di kemudian hari. Akan tetapi, hal tersebut tidak menjamin website tersebut aman 100% karena selalu terdapat celah-celah yang harus diminimalisir jumlahnya. Salah satu faktor yang menyebabkan kurangnya tingkat keamanan pada aplikasi web adalah kesalahan penulisan kode program.

Kesalahan penulisan kode program dalam pembuatan aplikasi web adalah hal yang sering dimanfaatkan oleh para penyerang, hal ini mengakibatkan rata-rata aplikasi web bisa diserang dengan memanfaatkan kesalahan ini.

Kelemahan-kelemahan penulisan kode yang sering dimanfaatkan aleh para penyerang untuk menyerang korbannya. (Kesuma et al., 2012)

Beberapa website yang sering diakses oleh pengguna diantaranya search engine, e- commerce, social networking, forum, portal berita dan lain – lain. Akan tetapi dibalik kemudahan layanan yang disediakan oleh setiap website tersebut ternyata terdapat beberapa masalah pada celah keamanan diantaranya : cross-site scripting, information leakage, authentication and authorization, Session management, SQL injection, CSRF dan lain–lain. Dengan memanfaatkan celah kemanan ini seseorang dapat melakukan hacking pada website tersebut.

Penetration and testing atau yang juga sering disingkat ‘pentest’ merupakan serangkaian proses pengujian yang dilakukan untuk memastikan keamanan sistem informasi.. Dalam melakukan penetration testing, seorang pentester atau orang yang

melakukan pengujian akan melakukan serangkaian simulasi serangan untuk menemukan kelemahan-kelemahan sistem agar nantinya bisa diperbaiki.

Penelitian ini menggunakan konsep ethical hacking karena berhubungan erat dengan beberapa materi cybercrimes yang diatur dalam UU ITE, antara lain:

Penelitian ini menggunakan konsep ethical hacking karena berhubungan erat dengan beberapa materi cybercrimes yang diatur dalam UU ITE (Undang-Undang Republik Indonesia Nomor 11 Tahun 2008 Tentang Informasi Dan Transaksi Elektronik, 2008), antara lain:

1. Konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/

pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE);

2. Akses ilegal (Pasal 30);

3. Intersepsi ilegal (Pasal 31);

4. Gangguan terhadap data (data interference, Pasal 32 UU ITE);

5. Gangguan terhadap sistem (system interference, Pasal 33 UU ITE);

6. Penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE).

Adapun yang menjadi rumusan masalah dalam penelitian ini, yaitu: Seberapa besar tingkat kerentanan sebuah website jika dilakukan pengujian pada beberapa jenis celah keamanan dan bagaimana menghasilkan model penanganan yang baik dari setiap celah keamanan pada website. Manfaat dari penelitian ini adalah memberikan kontribusi dalam meningkatkan keamanan dan penanganan kepada pengelola website sehingga dapat mengoptimalkan siklus hidup, pemeliharaan dan pengujian website.

KAJIAN LITERATUR Keamanan Komputer

Adalah keamanan informasi yang

diaplikasikan kepada komputer dan

jaringannya. Computer security atau

keamanan komputer bertujuan membantu user

agar dapat mencegah penipuan atau

mendeteksi adanya usaha penipuan di sebuah

(3)

sistem yang berbasis informasi. Informasinya sendiri memiliki arti non fisik. Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk keamanan komputer, serta membuat strategi pemrograman untuk menghasilkan program komputer yang dapat diandalkan.

1. Berikut ini jawaban dari para ahli:John D.

Howard dalam bukunya yang berjudul

“An Analysis of security incidents on the internet” yang menyatakan bahwa:

Keamanan komputer adalah suatu tindakan pencegahan dari serangan pengguna komputer lain atau pengakses jaringan yang tidak bertanggung jawab.

2. Gollmann pada tahun 1999 dalam bukunya yang berjudul “Computer Security” menyatakan bahwa:

Keamanan suatu komputer merupakan berhubungan dengan pencegahan diri dan deteksi terhadap tindakan yang mengganggu yang tidak dikenali di dalam system komputer.

Pada keamanan sistem komputer yang harus kita lakukan adalah untuk mempersulit orang lain mengganggu sistem yang sedang kita gunakan, baik kita menggunakan komputer yang sifatnya pribadi , jaringan lokal ataupun jaringan global. Kita harus memaastikan system dapat berjalan dengan baik atau lancar serta kondusif, selain itu program dari aplikasinya masih dapat dipakai tanpa adanya suatu masalah.

3. Garfinkel dan Spafford, seorang ahli dalam computer security, komputer di katakan aman apabila dapat di andalkan serta perangkat lunaknya bekerja sesuai dengan apa yang diharapkan. (Teks.co.id, 2020)

Dari berbagai macam jenis implementasi computer security ada hal yang perlu untuk diperhatikan dalam menjaga keamanan komputer. Di bawah ini adalah masalah penting di kehidupan sehari-hari yang harus diperhatikan dalam keamanan komputer : 1. Kehilangan data / data loss

Masalah data loss dapat disebabkan oleh:

• Bencana

• Kesalahan perangkat lunak dan perangkat keras

• Kesalahan manusia / human error

• Penyusup / intruder

Penyusup bisa dikategorikan kedalam dua jenis :

1) Penyusup pasif yaitu membaca data yang tidak terotorisasi (tidak berhak mengakses)

2) Penyusup aktif yaitu mengubah susunan sistem data yang tidak terotorisasi.

Selain itu ancaman lain terhadap sistem keamanan komputer bisa dikategorikan dalam empat macam:

1. Interupsi / interruption

Sumber daya sistem komputer dihancurkan sehingga tidak berfungsi. Contohnya penghancuran harddisk atau pemotongan kabel. Ini merupakan ancaman terhadap ketersediaan.

2. Intersepsi / interception

Orang yang tak diotorisasi dapat masuk/mengakses ke sumber daya sistem.

Contohnya menyalin file yang terotorisasi. Ini merupakan ancaman terhadap kerahasiaan.

3. Modifikasi / modification

Orang yang tak diotorisasi tidak hanya dapat mengakses tetapi juga mengubah,merusak sumber daya. Contohnya mengubah isi pesan, atau mengacak program. Ini merupakan ancaman terhadap integritas.

4. Fabrikasi / fabrication

Orang yang tak diotorisasi menyisipkan objek palsu ke dalam sistem. Contohnya memasukkan pesan palsu, menambah data palsu. Dari kategori yang ada diatas dan jika dikaitkan dalam kehidupan sehari-hari pasti kita akan menemukan masalah dalam komputer.(Harisandi, 2018)

Website

Website atau situs dapat diartikan

sebagai kumpulan halaman yang menampilkan

informasi data teks, data gambar diam atau

gerak, data animasi, suara, video dan atau

gabungan dari semuanya, baik yang bersifat

(4)

statis maupun dinamis yang membentuk satu rangkaian bangunan yang saling terkait dimana masing-masing dihubungkan dengan jaringan-jaringan halaman (hyperlink).Bersifat statis apabila isi informasi website tetap, jarang berubah, dan isi informasinya searah hanya dari pemilik website. Bersifat dinamis apabila isi informasi website selalu berubah- ubah, dan isi informasinya interaktif dua arah berasal dari pemilik serta pengguna website.

Contoh website statis adalah berisi profil perusahaan, sedangkan website dinamis adalah seperti facebook, Twitter, dll. Dalam sisi pengembangannya, website statis hanya bisa diupdate oleh pemiliknya saja, sedangkan website dinamis bisa diupdate oleh pengguna maupun pemilik. Penggunaan website juga sangat beragam, kamu bisa menggunakan website untuk berbagai kepentingan seperti untuk usaha bisnis online, untuk website personal hingga kebutuhan lainnya.

(IDCloudHost, 2016)

Pentest (Penetration Testing)

Penetration testing adalah serangkaian proses berisi prosedur dan teknik mengevaluasi keamanan terhadap sistem komputer atau jaringan dengan melakukan simulasi penyerangan untuk mengetahui letak celah-celah kerawanan pada sistem agar kemudian celah tersebut ditutup/diperbaiki.

Penetration testing dilakukan sebagai langkah preventive untuk mengatasi terjadinya peretasan pada suatu sistem.

Secara umum penetration testing terdiri dari 5 tahap, yakni planning, information

gathering, vulnerability

assessment,Exploiting, dan reporting.

1. Planning

Biasanya dibicarakan ruang lingkup pentest, jangka waktu, dokumen legal (NDA), jumlah tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest, dll.

2. Gathering dan analysis.

Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan. Kemudian dilakukan network survey untuk

mengumpulkan informasi domain, server, layanan yang ada, ip address, host, firewall, dll.

3. Vulnerability assessment

Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan manual atau secara automatis tergantung pada tools yang digunakan.

4. Exploit

Yakni percobaan penyerangan (penetration attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat.

Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem.

5. Reporting

Laporan berisi langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan. Tahapan selanjutnya biasanya tindak lanjut, yang biasanya harus dilakukan bersama-sama dengan admin untuk memperbaiki sistem. (Mulyadi, 2018)

METODOLOGI PENELITIAN

Tahapan–Tahapan Penelitian

Pada penelitian ini dianalisis beberapa celah keamanan pada beberapa website instansi pemerintahan jakarta yang diambil dari domain lokal di salah satu instansi pemerintahan, karena biasanya website ini sangat rentan dari cybercrime. Beberapa celah keamanan yang diuji diambil dari hasil survey Application Acunetix Web Vulnerability Scanner 1992-2012. Dari hasil analisis ini akan dirancang sebuah model penanganan dari setiap celah keamanan pada setiap website.Penelitian ini menggunakan model black box dengan tiga tahapan dalam uji penetrasi

website, yaitu:

1. Pre-attack phase: mengumpulkan

informasi dengan footprinting dari

website yang akan di uji. Website yang

akan diuji diambil dari domain lokal di

salah satu instansi di jakarta yang

merupakan website resmi pemerintahan

(5)

daerah yang berada di jakarta.

2. Attack phase : mencoba melakukan serangan dari informasi yang didapat dari tahapan sebelumnya, misalnya menembus sistem, mendapatkan hak akses ke dalam sistem, mengekspolitasi data yang sensitif dan menanamkan kode yang berbahaya.

Pada tahap ini celah keamanan yang akan diuji berdasarkan laporan dari Application Acunetix Web Vulnerability Scanner 1992-2012.

3. Post-attack phase : menghasilkan analisis dari semua serangan berdasarkan celah keamanan yang telah di uji pada tahap kedua sehingga akan ditemukan tingkat kerentanan website berdasarkan serangan yang telah dilakukan. Hasil akhir analisis berupa model penanganan celah keamanan yang akan direkomendasikan kepengelola website.

Peubah Penelitian

Peubah yang diamati dalam penelitian ini yaitu, beberapa alamat website resmi pemerintahan daerah di jakarta dengan domain lokal, beberapa celah keamanan yang diuji berdasarkan laporan dari Application Acunetix Web Vulnerability Scanner 1992-2012 dan tingkat kerentanan dari setiap celah kemanan yang ada.

Teknik Pengumpulan Dan Analisis Data Teknik pengumpulan data yang digunakan sebagai berikut :

1) Observasi: melakukan pengamatan dan analisis beberapa celah keamanan dan tingkat kerentanan website dengan menggunakan Web Application Security Scanner

2) Kepustakaan: mencari data yang berhubungan dengan variabel yang diamati berupa buku, jurnal, surat kabar, artikel, majalah dan sebagainya.

Proses analisis data yang dilakukan yaitu

menghitung presentase dan

mengklasifikasikan beberapa celah keamanan sesuai dengan tingkat kerentanan yang ditimbulkan serta disajikan pada rancangan penelitian.

Rancangan Penelitian

Rancangan penelitian yang direncanakan digambarkan dalam bentuk diagram blok seperti gambar berikut :

Gambar 1. Rancangan Penelitian Dari gambar 1 perancangan penelitian menjelaskan langkah langkah mecari celah kerawanan sebuah website dan sebagai contohnya saya mengambil salah satu alamat website yaitu 172.30.0.*** (perpustakaan).

Langkah pertama :

1. Pre- attack Phase ( Mencari Celah Keamaan Dengan Website Scanner) A. Acunetix web vulnerability scanner Acunetix web vulnerability scanner adalah sebuah alat layanan aplikasi web untuk pengujian keamanan otomatis yang mengaudit aplikasi web Anda dengan memeriksa kerentanan seperti SQL Injection, Cross site scripting, dan kerentanan web yang dieksploitasi lainnya. Acunetix merupakan alat otomatis yang dapat membantu perusahaan memindai aplikasi web mereka untuk mengidentifikasi dan menyelesaikan kerentanan dieksploitasi. (Centerklik, 2019) Langkah langkah mengunakan accunetix adalah sebagai Berikut:

Pre- Attack phase

( mencari celah keamaan dengan website scanner)

Attack phase

( mencoba serangan kedalam Website)

Post- Attack phase

( analisis dan model dari celah keamanan

website)

(6)

1. Klik New scan di atas pojok kiri

2. Masukkan situs target kalian diwebsite url

3. klik next

4. selesai klik finish

Dalam accunetix sudah terdapat kelemahan titik situs tersebut dan akan muncul kalimat di situs lain yang bertuliskan "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near" yang terdapat pada gambar 4 dibawah ini. berarti, website tersebut bisa di dump denga havij.

Gambar 2. Prosses acunetix

Gambar 3. Memasukan URL ke accunetix

Gambar 4. Hasil dari prosses accunetix

Maka dari hasil yang di dapatkan dari gambar 4 adalah celah kerawanan yang ada atau yang muncul di dalam acunetix ini yang akan di eksekusi ke tahap selanjutnya.

Dan sebelum nya ada 4 tingakatan celah kerawanan :

1) High Risk Alert Level 3 : Kerentanan dikategorikan sebagai yang paling berbahaya, yang menempatkan target scan pada risiko maksimum untuk hacking dan pencurian data.

2) Medium Risk Alert Level 2 : Kerentanan disebabkan oleh server misconfiguration dan sitecoding yang lemah, yang memfasilitasi gangguan server dan intrusi.

3) Low Risk Alert Level 1 : Kerentanan berasal dari kurangnya enkripsi lalu lintas data atau jalur direktori pengungkapan.

4) Information Alert : ini adalah item yang telah ditemukan selama scan dan yang dianggap menarik, misalnya kemungkinan pengungkapan alamat internal IP atau alamat email, atau pencocokan string pencarian ditemukan di database Google Hacking, atau informasi tentang layanan yang telah ditemukan selama scanning.

Dan setelah muncul 4 kerentanan diatas maka, pilihlah dan fokus kepada high risk level 3 karena inti dari semua celah kerawanan yang membahayakan berada di level 3.

Setelah itu, semuanya yang ada di level 3 akan di eksekusi ke tahap selanjutnya.

Langkah kedua :

2. Attack phase ( mencoba serangan kedalam Website)

Havij

Havij adalah sebuah tool SQL Injection yang memiliki metode injection dengan tingkat keberhasilan 90%. Tool ini mampu melakukan test dan analisa SQL Injection pada website yang memiliki bug atau vulnerability di dalamnya. Tujuannya adalah untuk bisa melakukan exploit kepada website yang memiliki celah SQLi dan dapat mengetahui isi dari databasenya. (Aridha. Nanda , dkk 2017) Langkah langkah mengunakan havij sebagai berikut:

1. Pilih salah satu alamat yang error yang sudah di Scan oleh Accunetix.

2. Lalu, pindahkan alamat tersebut ke kolom target yang berada di havij

3. Setelah itu Scan, dan tunggu hingga

selesai.

(7)

4. Jika tiba- tiba berhenti dan muncul error maka, alamat tersebut tidak bisa di lanjutkan.

5. Maka, langkah selanjutnya adalah ambil alamat error yang baru yang berada di accunetix.

Gambar 5. Prosses SQL injection mengunakan havij

Maka dari hasil yang di dapatkan dari gambar 5 adalah mencari data data keseluruhan yang ada di havij lalu mengacu ke satu titik yaitu username dan password tetapi, pada prosses ini tidak bisa di prosses lalu berhenti di tengah jalan atau tidak bisa di run maka, langkah selanjutnya yaitu :

SqlMap

SQLMap adalah alat uji penetrasi open source yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan injeksi SQL dan mengambil alih basis data server. Jadi sqlmap ini adalah tools yang dapat mendeteksi dan melakukan exploit pada bug SQL injection secara otomatis. dengan melakukan serangan SQL injection seorang attacker dapat mengambil alih serta memanipulasi sebuah database di dalam sebuah server.(Gugel88, 2017)

Gambar 6. Prosses SQL injection password mengunakan sqlmap di windows

Maka dari hasil yang di dapatkan dari gambar 6 yaitu mencari data-data keseluruhan yang ada lalu mengacu ke satu titik sama seperti havij yaitu username dan password tetapi, prosses ini tidak bisa di prosses karena berhenti di tengah jalan atau tidak bisa di run juga sama seperti prosses havij maka, langkah selanjutnya.

Brute Force Attack

Brute Force Attack adalah metode untuk meretas password (password cracking) dengan cara mencoba semua kemungkinan kombinasi yang ada pada “wordlist“. Wordlist yaitu sekumpulan kata angka bahkan simbol yg digunakan untuk mecrack password pada web maupun celah brute force. Metode ini dijamin akan berhasil menemukan password yang ingin diretas.

Namun, proses untuk meretas password dengan menggunakan metode ini akan memakan banyak waktu. Lamanya waktu akan ditentukan oleh panjang dan kombinasi karakter password yang akan diretas. (Bima Mandala Putra, 2019)

Langkah langkah mengunakanya adalah : 1. Pilih salah satu alamat yang error yang

sudah di Scan oleh Accunetix.

2. Lalu, pindahkan alamat tersebut ke kolom target yang berada di Brute force attack.

3. Setelah itu, combo list yang berada di pass mode bagian kanan bawah.

4. Setelah itu klik tombol start, dan tunggu hingga selesai.

Gambar 7 . Teknik brute force memakai dictionary user dan pass

Maka dari hasil yang di dapatkan dari

gambar 5 yaitu mencari username dan

password secara acak, dan akhirnya proses

(8)

mengunkan metode ini barhasil dan mendapatakan beberapa username dan password untuk dicoba dalam prsses login di website yang telah di scan dengan acunetix.

Dan inilah gambar dari hasil yang di dapat dari teknik brute force Attack di dalam url website.

Gambar 8. Proses login mengunakan username dan password dari Brute Force

Dari gambar 8 menjelaskan percobaan beberapa username dan password yaang telah di dapatkan dalam teknik brute force attack.

Gambar 9. Pengaturan user

Dari gambar 9 ini menjelaskan Setelah berhasil masuk atau login mengunakan username dan password dari brute force Attack maka prosses login selesai dan bisa

masuk ke dalam pengaturan user.

Gambar 10. Pencarian buku

Dari gambar 10 ini menjelaskan setelah masuk ke pengaturan user, kita bisa menuju dalam pencarian buku di dalam website perpustakaan ini beserta informasi-informasi yang terkait didalam buku.

3. Post- Attack phase ( analisis dan model dari celah keamanan website)

Hasil akhir analisis berupa model penanganan celah keamanan yang akan direkomendasikan kepengelola website adalah memperbaiki username dan password dengan memperkuat username dan password tersebut dengan mengenkripsinya.

Dan tambahan Aplikasi yang sedikit

‘memaksa’ pengguna untuk memasukkan password dengan kriteria tertentu.

• Yaitu harus menggunakan kombinasi huruf besar, huruf kecil, angka, simbol, serta memiliki minimal panjang karakter tertentu.

• Tambahan penggunaan Captca untuk memastikan yang menginput password tersebut adalah manusia dan bukan robot/komputer.

• Maksimal kesalahan input password sebanyak tiga kali kemudian akun akan otomatis disable atau tidak dapat diakses kecuali membuka dari email, handphone, atau aplikasi yang telah dikoneksikan sebelumnya. (Wowrack, 2017)

HASIL DAN PEMBAHASAN

Pada sub bab ini dipaparkan hasil penelitian dari tahapan pre-attack phase dari 59 sub domain yang terdaftar hanya 20 sub domain yang aktif dengan kategori domain lokal di salah satu instansi pemerintahan di jakarta. Berikut ini alamat website dengan jumlah celah keamanan yang terbanyak yaitu : 1. Port 172.30.0.*** (perpustakaan) dengan

5 celah keamanan

2. Port 172.30.0.** (pengaduan perizinan) dengan 30 celah keamanan

3. Port 202.89.117.***/tvdigital dengan 3 celah keamanan

pada alamat website tersebut juga memiliki celah keamanan dengan tingkat yang tinggi.

Berikut ini adalah ditampilkan

(9)

perbandingan jenis celah keamanan dari 59 sub domain dan yang aktif dapat dilihat pada gambar 9.

Gambar 11. Perbandingan Jenis Celah Keamanan

Gambar 11 menjelaskan perbandingan tingkat celah keamanan dari 20 sub domain dari 59 alamat webiste yang terdaftar dan diuji menunjukkan 28% dengan tingkat celah keamanan yang tinggi dan 72% dengan tingkat celah keamanan yang menengah.

Selanjutnya pada tahapan attack phase dipaparkan beberapa URL dari seluruh alamat website yang memiliki celah keamanan sesuai dengan jenis celah keamanannya.

1. Use case Diagram : Celah Keamanan

Gambar 12. use case diagram : celah keamanan

Dari gambar 12 menjelaskan macam macam celah keamanan yang ada diantaranya adalah SQL injection, Blind SQL injection, Code injection, File inclusion, Cross Site Request Forgery, Cross Site Scripting, Path Traversal, Clickjacking.

2. Use case Diagram : SQL Injection & Blind

SQL Injection

SQL injection adalah serangan yang memanfaatkan kelalaian dari website yang mengijinkan user untuk menginputkan data tertentu tanpa melakukan filter terhadap malicious character. Inputan tersebut biasanya di masukan pada box search atau bagian- bagian tertentu dari website yang berinteraksi dengan database SQL dari situs tersebut.

Perintah yang dimasukan para attacker biasanya adalah sebuah data yang mengandung link tertentu yang mengarahkan para korban ke website khusus yang digunakan para attacker untuk mengambil data pribadi korban.

Blind SQL Injection adalah tipe serangan SQL Injection yang paling sulit. Dalam serangan ini, tidak ada pesan error yang diterima dari database. Hampir sama dengan serangan SQL Injection lainnya, yang membuatnya beda adalah bagaimana cara data diambil dari database.

Gambar 13. use case diagram : SQL injection

& Blind SQL injection

Dari gambar 13 menejelaskan bahwa ketika seorang user mengimput data disarankan untuk memfilternya terlebih dahulu agar tidak terkena SQL injection dan disarankan agar meningkatkan database server agar admin mengetahui cara pengambilan data yang di ambil oleh blind SQL injection.

4. Use case Diagram : Code Injection

Code Injection adalah Jenis serangan

yang mengeksploitasi penanganan data yang

tidak dipercaya dengan buruk. Jenis serangan

ini biasanya dimungkinkan karena kurangnya

validasi data input / output yang tepat. Adapun

terkaitan penjelasan dari pembahasan pada

gambar 12.

(10)

Gambar 14. use case diagram : code injection

Dari gambar 14 menejelaskan bahwa seorang user harus memeriksa client languages javascript dan memeriksa server languages php,asp,jsp dll karena seorang penyerang akan memanfaatkan serangan injeksi dan meningkatkan kerentanan code injection lebih jauh lagi sehingga seorang penyerang bisa sewenang-wenang di server.

5. Use case Diagram : File Inclusion &

Remote File Inclusion

File inclusion adalah Kerentanan file yang memungkinkan penyerang untuk memasukkan file, biasanya mengeksploitasi mekanisme "inklusi file dinamis" yang diterapkan dalam aplikasi target. Kerentanan terjadi karena penggunaan input yang diberikan pengguna tanpa validasi yang tepat.

Ini dapat menyebabkan sesuatu seperti mengeluarkan isi file, tetapi tergantung pada tingkat keparahannya, itu juga dapat menyebabkan:

• Eksekusi kode di server web

• Eksekusi kode pada sisi klien seperti JavaScript yang dapat menyebabkan serangan lain seperti skrip lintas situs (XSS)

• Denial of Service (DoS)

• Keterbukaan Informasi Sensitif

Remote File Inclusion (RFI) adalah teknik yang terbaik untuk hack situs web dan lebih dari 60% website di internet menggunakan PHP rentan terhadap serangan ini dan merupakan metode hacking situs dan mendapatkan hak admin server dengan menyisipkan remote file biasa sebagai tempurung (shell adalah user interface file grafis yang digunakan untuk browsing file remote dan menjalankan kode Anda sendiri di web server) ke situs web, yang dimasukkan

memungkinkan hacker untuk menjalankan perintah sisi server sebagai pengguna saat log on, dan memiliki akses ke semua file server.

Gambar 15. use case diagram : file inclusion &

remote file inclusion

Dari gambar 15 menjelaskan bahwa seorang admin di haruskan memeriksa bagian-bagian alur file sudah ada lalu memvalidasikan data yang sudah

input dan meningkatkan framework agar seorang penyerang tidak bisa menanamkan shell ke dalam situs web.

6. Use case Diagram : Cross Site Scripting &

Cross Site Request Forgery

Cross-Site Scripting adalah sebuah aplikasi mengakses data yang tidak terpercaya dan mengirimkannya lewat web tanpa ada konfirmasi validasi sebagaimana mestinya.

Kejadian XSS akan memberikan keleluasaan bagi penyerang sistem untuk menggunakan script dari browser guna mengakses web tanpa izin. Misalnya mengarahkan ke website palsu atau bahkan melakukan redirect ke situs berbahaya.

Cross Site Request Forgery adalah

dengan memaksa masuk ke browser pengguna

yang kemudian mengirimkan permintaan HTTP,

termasuk cookies, serta berbagai informasi

rahasia yang tersimpan di browser, ke aplikasi

web gadungan. Hal ini akan membuat pengguna

seolah-olah mengakses aplikasi tersebut secara

langsung, padahal tidak. (gamatechno, 2019)

(11)

Gambar 16. use case diagram : cross site scripting & cross site request forger

Dari gambar 16 menjelaskan bahwa seorang admin harus memeriksa kode javascript agar tidak terjadi Cross Site Scripting seorang admin harus memeriksa hasil input form dan memeriksa kode sesi pada website.

7. Use case Diagram : Path Traversal

Path Traversal adalah salah satu dari banyak kerentanan keamanan aplikasi web kritis. Ini memungkinkan penyerang untuk mendapatkan akses ke file di server web yang awalnya tidak dapat diakses olehnya. Ini menggunakan metode menipu aplikasi web - atau langsung ke server web di mana aplikasi berjalan ke dalam lalu mengembalikan file yang ada di luar folder root web.

Gambar 17. use case diagram : path traversal

Dari gambar 17 menjelaskan bahwa seorang admin harus memeriksa bagian-bagian alur file yang sudah ada, direktori root, dan alur yang relatif agar tidak terjadi Path Traversal.

8. Use case Diagram : Clickjacking

Clickjacking adalah teknik menipu pengguna atau ekploit dimana pengkodean berbahaya di sembunyikan di bawah tombol sehingga ketika seorang user mengkliknya di sembarangan Web yang tampaknya tidak berbahaya lalu, seorang penyerang dapat mengambil informasi rahasia atau mengambil alih komputer mereka sementara.

Gambar 18. use case diagram : clickjacking

Dari keseluruhan gambar use case diagram tersebut, terdapat komponen actor yaitu admin. Admin merupakan pengelola website yang bertanggung jawab dalam menjaga keamanan website. Dalam menjaga keamanan website tersebut seorang admin harus dapat memantau secara berkala kemungkinan terjadinya penyusupan, pengerusakan dan tindakan–tindakan ilegal lainnya. Oleh karena itu admin dapat menggunakan model use case diagram tersebut dalam menjalankan aktifitas pemantauan terhadap websitenya. Seluruh use case diagram tersebut dibagi menjadi beberapa bagian sesuai dengan jenis celah kemanan yang didapat. Selain itu admin juga dapat menentukan tindakan pencegahan terhadap kemungkinan serangan yang akan terjadi dan tindakan perbaikan jika seandainya website telah dirusak oleh orang lain.

REKOMENDASI

Rekomendasi disusun berdasarkan Hasil pembahasan yang dapat dirancang beberapa model penanganan, dimana model ini dapat digunakan oleh tim pengelola website untuk melakukan kegiatan pencegahan dan perbaikan dari setiap celah keamanan yang ditemukan yaitu dengan cara:

1. Memilih Hosting yang terpercaya.

2. Menganti nama dari User Admin.

3. Mengunakan Password yang sulit ditebak.

4. Membatasi Prosses login.

5. Membatasi hak akses file-file penting.

6. Selalu Update Themes,Plugin dan versi website atau wordpress.

7.

Mengunakan dua step Authentication.

Batasi IP yang masuk dan menutup port yang tidak perlu.

KESIMPULAN

(12)

Website pemerintahan di provinsi jakaart memiliki beberapa celah keamanan seperti SQL injection, Blind SQL Injection, Code Injection, File Inclusion, Remote File Inclusion, Cross Site Request Forgery, Cross Site Scripting, Path Traversal dan Clickjacking.

Metode penelitian yang dilakukan ialah Model Black Box dengan tiga tahapan yaitu Post-attack phase, Attack phase dan Pre- attack phase. Dari 59 sub domain yang terdatar hanya 20 sub domain yang aktif Dari hasil penelitian terdapat beberapa website yang memiliki celah keamanan yang terbanyak yaitu: 172.30.0.*(perpustakaan), 172.30.0.(pengaduan perizinan) , 202.89.117.224/tvdigital dengan tingkat celah keamanan yang tinggi.

Hasil pembahasan dapat dirancang beberapa model penanganan dalam bentuk use case diagram. Dimana model ini dapat digunakan oleh pengelola website untuk melakukan kegiatan pencegahan dan perbaikan dari setiap celah keamanan yang ditemukan.

Saran

Berikut beberapa saran yang dapat peneliti berikan kepada pihak perusahaan setelah melakukan penelitian yaitu:

1. Diperlukan uji penetrasi secara berkelanjutan dan terjadwal serta dilakukan menggunakan tools yang lebih canggih lagi, agar setiap bug dapat diketahui lebih dalam dan bisa memberikan evaluasi dari setiap bug secara lengkap dan rinci kepada tim develop website atau pihak staff IT.

2. Melakukan pembaharuan akun yang memiliki kombinasi username dan password yang rumit atau tidak mudah ditebak oleh hacker.

DAFTAR PUSsTAKA

Aridha, Nanda R, dkk. (2017). Laporan Tugas Besar Keamanan Jaringan : SQL Injection Dengan Tools Havij Dan Sqlmap, Universitas Muhammadiyah Malang

Kesuma, M. C., Shiddiqi, A. M., & Pratomo, B. A.

(2012). Pencari Celah Keamanan pada Aplikasi Web. Paper and Presentation of Informatic Engineering, RSIf 005.8 Kes p, 2013, 1–6. http://digilib.its.ac.id/public/ITS- paper-25617-5108100006-Paper.pdf

Bima Mandala Putra. (2019). Brute Force Attack -

Teknik Hacking.

Linkpengetahuan.Blogspot.Com.

https://linkpengetahuan.blogspot.com/2019/

03/pengertian-brute-force-attack-teknik- hacking.html

Centerklik. (2019). Amankan Website dengan acunetix web Vulnerability Scanner.

Centerklik.Com.

https://www.centerklik.com/amankan- website-dengan-acunetix-web- vulnerability-scanner

Gugel88. (2017). Sqlmap.

https://www.gugel88.com/2017/04/apa-itu- sqlmap-dan-apa-fungsinya.html

Harisandi, A. (2018). SISTEM KEAMANAN KOMPUTER.

Ahmadharisandi7.Wordpress.Com.

https://ahmadharisandi7.wordpress.com/20 18/05/31/sistem-keamanan-komputer/

IDCloudHost. (2016). Apa itu Website.

Idcloudhost.Com.

https://idcloudhost.com/apa-itu-website- situs/

Mulyadi. (2018). Bagaimana Melakukan Penetration Test. Kompasiana.Com.

https://www.kompasiana.com/moengil/5a4a e2655e13736b135dd7e3/bagaimana- melakukan-penetration-testing

Teks.co.id. (2020). Sistem Komputer Menurut

Para Ahli. Teks.Co.Id.

https://teks.co.id/sistem-keamanan- komputer/

Undang-Undang Republik Indonesia Nomor 11 Tahun 2008 Tentang Informasi Dan Transaksi Elektronik (p. 7). (2008).