ANALISA KEAMANAN WEBSITE PADA AJB BUMIPUTERA 1912

(1)

ANALISA KEAMANAN WEBSITE PADA AJB

BUMIPUTERA 1912

Nama Penulis :

Rofika Septi 1301023020

Binong Permai Blok D7 No. 016, 62-896-94245377, rofika_septi@yahoo.com

Deffri Azhari Nurcahyo 1301065963

Jl. Pondok Kelapa VII B Blok H1 No. 8, 62-853-13428188, deffri.nurcahyo@yahoo.co.id

Reynold Benny 1301065540

Pamulang Reni Jaya Blok AE 11 No. 11, 62-81-280980307, reynold_benny@yahoo.com

Dosen Pembimbing :

Drajad Wiryawan

ABSTRAK

TUJUAN PENELITIAN,

ialah, melakukan analisa terhadap keamanan website yang dimiliki pada AJB Bumiputera

1912 dengan menggunakan pendekatan Computer Assisted Audit Techniques (CAATs) yaitu

dengan software Netsparker. METODE PENELITIAN yang digunakan yaitu dengan

menggunakan studi pustaka dan studi lapangan. 3 cara studi lapangan yang dilakukan, yaitu

observasi, wawancara, dan studi dokumentasi. HASIL YANG DICAPAI adalah mengetahui

web alert dari analisa keamanan yang dilakukan pada website. Hasil dari scanning Netsparker

ditemukan web alert yang dapat menimbulkan hole yang mengakibatkan vulnerability, juga

memberikan usulan-usulan perbaikan sehingga tingkat keamanan sistem pada website

menjadi lebih aman dan dapat berjalan dengan baik. KESIMPULAN pada pembahasan

website www.bumiputera.com tidak sesuai standar baku keamanan. Sebaiknya AJB

Bumiputera 1912 lebih memperhatikan dari sisi kemanan, melakukan update secara berkala,

juga menetapkan standar internasional ISO 27002 (ISO 31000)

Kata kunci: Analisa Keamanan Website, Netsparker, CAATs.

(2)

RESEARCH OBJECTIVES,

Is to analyze the security of the website which is owned by AJB Bumiputera 1912 with approach

by Computer Assisted Audit Techniques (CAATs) are qith Netsparker. METHODS used is by

using literature review and field studies. 3 ways conducted field studies are observation,

interview, and documentation. RESULTS ACHIEVED is knowing web alert that come from

analyze the security of the website. Results of scanning found that web laert which can cause

holes resulting vulnerability, also gives improvement suggestions so that the level of security of

the system on the website to be more secure and can run well. CONCLUSIONS on the discussion

of the website www.bumiputera.com incompatible security standards. AJB Bumiputera 1912

should pay more attention to in terms of security, also establish international standars ISO 27002

(ISO 31000)

Keywords: Analyze of Website Security, Netsparker, CAATs.

.

PENDAHULUAN

Dengan memasuki era globalisasi seperti sekarang ini, telah banyak dilakukan penerapan teknologi informasi di berbagai bidang. Dukungan dan peran teknologi informasi sangat diperlukan dalam menghadapi perubahan situasi yang mengarah pada semakin ketatnya persaingan dan peluang bisnis yang ada.

Website yang juga merupakan salah satu pengembangan dalam pengaplikasian teknologi

informasi pada perusahaan menjadi salah satu faktor penting dalam menjalin hubungan antara perusahaan dan costumer. Menurut Saputro (2007), Website atau situs dapat diartikan sebagai kumpulan halaman yang menampilkan informasi data teks, data gambar diam atau gerak, data animasi, suara, video dan atau gabungan dari semuanya, baik yang bersifat statis maupun dinamis yang membentuk satu rangkaian bangunan yang saling terkait dimana masing-masing dihubungkan dengan jaringan-jaringan halaman (hyperlink). Sehingga website dapat membantu costumer untuk mendapatkan informasi mengenai suatu perusahaan melalui website perusahaan tersebut

Namun, ada kalanya website yang sudah digunakan oleh perusahaan, mendapat ancaman dari pihak luar yang dimana hal tersebut bisa jadi sebuah persaingan yang dapat mempengaruhi citra perusahaan. Maka dari itu, perlu bagi perusahaan untuk selalu menjaga dan mengamankan, juga menganalisa tingkat keamanan dari website yang digunakan.

AJB BUMIPUTERA 1912, merupakan perusahaan jasa yang bergerak dalam bidang asuransi dan sudah berdiri sejak tahun 1912. Dalam melayani costumer, tentu saja perusahaan terus mengembangkan pelayanan salah satunya dengan website yang menjadi portal antara perusahaan dengan costumer, sehingga informasi mengenai produk perusahaan AJB BUMIPUTERA 1912 bisa di dapat dengan hanya mengakses website www.bumiputera.com.

(3)

Dalam proses bisnis yang berjalan, diperlukan adanya pengendalian untuk menghindari terjadinya kesalahan pada sistem agar website lebih aman dari ancaman dan serangan pihak luar.

Security testing is providing evidence that an application sufficiently fulfills its requirements in the face of hostile and malicious inputs (Paco hope, Ben Walther. 2009). Dengan melakukan analisa

kemananan pada website AJB BUMIPUTERA 1912, kerentanan atau risiko yang akan muncul dapat segera dikendalikan sehingga penyerangan sistem keamanan website dapat dicegah dan tingkat keamanan website menjadi lebih aman.

METODE PENELITIAN

Metodologi yang digunakan dalam memperoleh data untuk penyusunan skripsi ini adalah: 1. Studi Pustaka

Melakukan pencarian, pengumpulan dan pembelajaran informasi dari berbagai buku

literature, internet ataupun media informasi lainnya yang berhubungan dengan objek penelitian

sehingga dapat dijadikan sebagai landasan teori 2. Studi Lapangan.

Dilakukan pengamatan langsung terhadap perusahaan yang menjadi objek penelitian agar mendapatkan data dan informasi yang lebih akurat dengan menggunakan tiga metode, yaitu : a. Wawancara

Melakukan wawancara dengan Bapak Ari Anugrah Rajatadu Rebo, ST selaku Kepala Bagian Pengembangan Sistem Informasi Departemen Teknologi Informasi untuk memperoleh informasi yang bersangkutan dengan website AJB Bumiputera 1912.

b. Observasi

Melakukan observasi dengan secara langsung maupun tidak langsung ke perusahaan AJB BUMIPUTERA 1912 dalam mengamati website yang sedang berjalan sebagai bahan penyusunan skripsi.

c. Dokumentasi

Mengumpulkan dokumen terkait yang digunakan perusahaan dalam menjalankan kegiatan operasional dan berhubungan dengan masalah yang diteliti untuk mendukung data yang diperoleh dari hasil wawancara

3. Metode Pengujian

Metode pengujian dilakukan dengan menggunakan pendekatan CAATs (Computer Assisted

Audit Techniques) dimana proses pengujian dilakukan dengan software NetSparker 2.3.0

HASIL DAN BAHASAN

Web Alert

Berikut merupakan kerentanan-kerentanan yang berhubungan dengan web alert yang ditemukan berdasarkan Acunetix :

1. Boolean Based SQL Injection

Tingkatan risiko: Critical

Keterangan: Tingkatan risiko dikategorikan Critical karena terjadinya pencarian informasi terhadap database

(4)

2. Cross-site Scripting

Tingkatan risiko: High

Keterangan: Tingkatan risiko dikategorikan High karena attacker dapat mencuri session cookie dan mengambil alih akun, menyamar sebagai user, dan mengubah isi akun

3. Password Transmitted Over HTTP

Tingkatan risiko:High

Keterangan: Tingkatan risiko dikategorikan High karena attacker dapat memasuki jalur dari jarngan yang ada, maka attacker dapat mencuri kredensial dari pengguna

4. Database User has Admin Privilleges

Tingkatan risiko: High

Keterangan: Tingkatan risiko dikategorikan High karena user mendapatkan akses penuh ke server database

5. [Possible] Cross-site Scripting

Tingkatan risiko: Medium

Keterangan: Tingkatan risiko dikategorikan Medium karena attacker dapat mengirim kode berbahaya berupa kode pemrograman dalam Java Script ke user lain dan mengambil alih akun serta mencuri informasi data website

6. Auto Complete Enabled

Tingkatan risiko: Low

Keterangan: Tingkatan risiko dikategorikan low karena berisi informasi-informasi pada histori password text dari cache browser.

7. Cookie Not Marked as HttpOnly

Keterangan: Tingkatan risiko dikategorikan low karena website AJB Bumiputera 1912 selalu mengatur HTTPOnly untuk kategori cookie sehinga memberikan lapisan tambahan perlindungan terhadap serangan Cross-site Scripting.

8. PHP Version Disclosure

Keterangan: Tingkatan risiko dikategorikan low karena belum melakukan upgrade ke versi tertentu dari PHP.

9. Apache Version Disclosure

Keterangan: Tingkatan risiko dikategorikan low karena belum mengembangkan versi tertentu dari Apache.

10. MySQL Database Identified

Tingkatan risiko: Information

11. Forbidden Resource

12. Robots.txt Identified

Keterangan: Tingkatan risiko dikategorikan Information karena konten yang ada bersifat sensitive.

(5)

13. E-mail Address Disclosure

Keterangan: Tingkatan risiko dikategorikan Information karena alamat E-mail yang valid ditemukan di dalam aplikasi yang dapat menyebabkan serangan social engineering.

14. Apache Version is Out of Date

Keterangan: Tingkatan risiko dikategorikan Information karena ditemukannya web server target sebagai Apache dan dideteksi bahwa belum di-update ke versi yang baru.

15. PHP Version is Out of Date

Keterangan: Tingkatan risiko dikategorikan Information karena ditemukannya server web target menggunakan PHP dan dideteksi bahwa belum di-update ke versi yang baru.

SIMPULAN DAN SARAN

Kesimpulan

Berdasarkan pembahasan pada bab-bab sebelumnya, mengenai hasil Analisis Keamanan Website AJB Bumiputera 1912, maka dapat diambil kesimpulan :

1. Berdasarkan hasil analisis terhadap hasil scanning pada website www.bumiputera.com menggunakan Web Vulnerability Scanner (Netsparker 2.3) pada AJB Bumiputera 1912, ditemukan beberapa web alert. Hal ini ditunjukan dengan:

a) Ditemukan kerentanan pada web alert dengan kategori risiko 1 Critical, 152 Important, 77 Medium, 4 Low, dan 5 Information.

b) Pada saat netsparker 2.3 melakukan scanning terhadap website www.bumiputera.com , ditemukan beberapa web alert yang berisiko tinggi yang berbahaya, seperti Cross-site

Scripting, Password Transmitted Over HTTP, dan Database User has Admin Privilleges

2. Pada AJB Bumiputera 1912 belum mempunyai policy mengenai hak akses karyawan. 3. AJB Bumiputera 1912 belum menetapkan standar yang baku sesuai dengan keamanan ISO

27002.

4. Sistem yang digunakan dalam mengolah website menggunakan Content Management System (CMS).

5. Bahasa pemrograman yang digunakan oleh perusahaan dalam pengelolaan website menggunakan PHP.

Saran

Dari hasil pengujian terhadap keamanan website dan AJB Bumiputera 1912, penulis memberikan beberapa saran yang dapat dijadikan bahan pertimbangan dari segi keamanan website dan web server yaitu :

1. AJB Bumiputera 1912 sebaiknya melakukan penyaringan atau mem-filter semua web alert yang dianggap memiliki tingkat risiko tinggi (high) dan web alert yang tidak digunakan agar tidak menimbulkan risiko keamanan.

2. Pada AJB Bumiputera 1912 sebaiknya menetapkan kebijakan user access sesuai standar SANS Institute, mengenai hak akses karyawan agar tidak ada karyawan yang menyalahgunakan hak akses.misalnya penggunaan password, panjang pendeknya username, kombinasi karakter angka dan huruf.

3. Sebaiknya AJB Bumiputera 1912 menerapkan standar keamanan yang dapat dijadikan sebagai tolak ukur dengan mengacu pada ISO 27002.

(6)

REFERENSI

McLeod, R. & Schell, G.P. (2007). Beating IT Risk. John Wiley and Sons,inc.,England

O’Brien, James A. & Marakas, George M.(2007). Management Information System, Edisi ke-7. McGraw- Hill , NewYork.

Peltier, Thomas R (2001). Information Security Analysis. Auerbach / CRC press Release, Washington D.C.

Rainer jr, R. Kelly, Casey G. Ceglelski. (2001). Introduction to Information Technologi , Edisi ke-3. John Wiley & Son, inc., Hoboken.

Jane,P.Laudon , & Kenneth C.,Laudon (2003). Management Information System. Hardcover. Sawyer, S.C. , & Williams , B.K. (2009). B.K.(2009). Using Information Technology, Edisi ke-6 . McGraw-Hill,NewYork.

Haag , Cummings , & Cubbery , C.(2005). Management Information System for the information Age, Edisi ke – 5 . McGraw-Hill, NewYork.

Turban, Effraim, R.Kelly Rainer, Jr. And Richard E. Potter. (2003). Introdution to information Technology . Edisi ke-2. John Wiley, inc ., NewYork.

Umar,Husein (2005) . Evaluasi Kinerja Perusahaan : Teknik Evaluasi Bisnis dan Kinerja Perusahaan secara Komperhensif,Kuantitatif, dan Modern. Gramedia Pustaka Utama, Jakarta

O’Brien, James (2005). Introduction to information system. Edisi 12. McGraw-Hill, NewYork. Gondodiyoto, Sunyoto & Hendarti, Henny & Ariefah. (2007). Pengelolaan Fungsi Audit sistem informasi. Mitra Wacana Media, Jakarta

Gondodiyoto, Sunyoto .(2007). Sistem Informasi + Pendekatan CobiT (edisi Revisi). Mitra Wacana Media , Jakarta

Arens, Alvin A., Elder , Randal J., Beasley, Mark . (2012) . Auditing and Assurance Services : an integrated approach . Edisi 14. Pearson Education

Tian,Jeff. (2005). Software quality enginering : testing,quality assurance,and quantifiable impovement. John Wiley & Sons,. Inc ., NewYork.

Kenneth,C., Laudon (2003). Network Infrastruktur Implementing and Maintaining.Pearson.NewYork

Pangera,Abas Ali & Dony Ariyus. (2010). Sistem Operasi. Penerbit Andi,Yogyakarta. Lukas,Jonathan.(2006). Jaringan Komputer. Penerbit Graha Ilmu

Andri Kristanto (2008). Jaringan Komputer. Penerbit Graha Ilmu

Arens,Alvin A., & J.K. Loebbecke.(2003). Auditing, Pendekatan Terpadu, Terjemahan Amir Abadi Jusuf, Salemba Empat,Jakarta.

(7)

Dulaney,Emmett.(2009). Linux All-in-One for Dummies : Linux basic, Linux desktops,

Networking, The internet, Administration, Security, Linux servers,Programming. John Wiley & Sons, inc., NewYork

Lehtinen,Rick., D.Russell, & G.T.Gangemi.(2006). Computer security basics. Edisi ke-2 . O’Reilly Media,inc.

Shelly,Gery., Woods,D., & Dorin,W.(2008). HTML : Comprehensive Concept and Techniques. Fifth Edition . Cource Technology

Sakam, R. Djunaedy , Mellia Liyanthy. (2007).Audit Sistem dan Teknologi Informasi Anantha Sayana, S. (2003). Using CAATs to Support IS Audit. Information Systems Control Journal , 3.

ISACA. (2008). G3 USE OF COMPUTER-ASSISTED AUDIT TECHNIQUES (CAATs). Rolling Meadows, IL: ISACA.

Hall ,James,A., &James,Singleton (2005). Information Technology Auditing and Assurance. Edisi ke-2.South-Western

Kimmel ,Weygandh & Kieso.(2011). Financial Accounting. Edisi Ke-6 . John Wiley & Sons,. John, R.,Vacca.(2009). Computer and Information Security Handbook. 1st Edition. Morgan Kaufmann.

Miarso, Yusufhadi. (2007). Teknologi Pendidikan – Terminologi. RajaGrafindo Persada, Jakarta Saputro, Hendra, W. (2007). Pengertian website dan unsure-unsurnya (online). Tersedia:

http://www.balebengong.net/topik/teknologi/2007/08/01/pengertian-website-dan-unsur-unsurnya.html. [ 3 Desember 2013, 15.25 WIB]

RIWAYAT PENULIS

Rofika Septi lahir di Tangerang pada 27 September 1991. Penulis menamatkan pendidikan S1 di bina nusantara dalam bidang komputerisasi akuntansi pada tahun 2014.

Deffri Azhari Nurcahyo lahir di Jakarta pada 20 April 1991. Penulis menamatkan pendidikan S1 di bina nusantara dalam bidang komputerisasi akuntansi pada tahun 2014.

Reynold Benny lahir di Jakarta pada 11 November 1991. Penulis menamatkan pendidikan S1 di bina nusantara dalam bidang komputerisasi akuntansi pada tahun 2014.