• Tidak ada hasil yang ditemukan

EVALUASI KEAMANAN WEBSITE MENGGUNAKAN WEB VULNERABILITY SCANNER (ACUNETIX) PADA PT.XYZ

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "EVALUASI KEAMANAN WEBSITE MENGGUNAKAN WEB VULNERABILITY SCANNER (ACUNETIX) PADA PT.XYZ"

Copied!
11
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 11 Halaman )

Teks penuh

(1)

EVALUASI KEAMANAN WEBSITE

MENGGUNAKAN WEB VULNERABILITY

SCANNER (ACUNETIX) PADA PT.XYZ

Nama Penulis :

Stevani 1301059292

JL. Yos SUDARSO 94 Majenang, 62-81-70004601, stevani.liem@yahoo.com

Maulana Triasa 1301066953

Jl. Peta Utara komplek merpati blok c no 10, 62-812-87859654, Lana3asa@yahoo.com

Dosen Pembimbing :

Drajad Wiryawan

ABSTRAK

TUJUAN PENELITIAN,

ialah, melakukan evaluasi terhadap keamanan website yang dimiliki pada PT.XYZ dengan

menggunakan pendekatan Computer Assisted Audit Techniques (CAATs) yaitu dengan

software Web Vulenerability Scanner (Acunetix v.8). METODE PENELITIAN yang digunakan

yaitu dengan menggunakan studi pustaka, dan studi lapangan. 3 cara studi lapangan yang

dilakukan, yaitu observasi, wawancara, dan studi dokumentasi. HASIL YANG DICAPAI

adalah mengetahui vurnerability (kerentanan), hole (lubang/celah), ataupun resiko yang

sewaktu-waktu muncul. Hasil dari scanning Acunetix ditemukan open port dan web alert

dimana dapat menimbulkan hole yang mengakibatkan vulnerability memberikan

usulan-usulan perbaikan sehingga tingkat keamanan sistem pada website menjadi lebih aman dan

dapat berjalan dengan baik. KESIMPULAN pada pembahasan website www.xyz.com tidak

sesuai standar baku keamanan, tidak adanya bagian website maintenance yang menjaga

kerentanan-kerentanan website secara sistematis. Sebaiknya pada PT.XYZ lebih

memperhatikan dari sisi keamanan seperti melakukan konfigurasi firewall, melakukan

filtered port, melakukan update secara berkala, menetapkan kebijakan user access

berdasarkan standard SANS Institute dan menetapkan standard internasional ISO 27002 (ISO

31000).

(2)

RESEARCH OBJECTIVES,

Is to evaluate the security of the website which is owned by XYZ approach Computer Assisted

Audit Techniques (CAATs) are with Web software Vulenerability Scanner (Acunetix v.8).

METHODS used is by using literature review, and field studies. 3 ways conducted field studies,

observation, interview, and documentation. RESULTS ACHIEVED is knowing vulnerability,

hole / gap, or risks that arise from time to time. Results of scanning open ports are found

Acunetix and web alerts which can cause holes resulting vulnerability gives improvement

suggestions so that the level of security of the system on the website to be more secure and can

run well. Conclusions on the discussion website www.xyz.com incompatible security standards,

no part of website maintenance that keep vulnerabilities systematically website. XYZ should pay

more attention to in terms of security such as firewall configuration, perform filtered ports,

periodically update, assign user access policies based on standard SANS Institute and establish

international standards ISO 27002 (ISO 31000).

Keywords: Evaluation of Website Security, CAATs.

.

PENDAHULUAN

Kemajuan ilmu pengetahuan dan teknologi yang semakin pesat khususnya teknologi

informasi mempengaruhi berbagai aspek dunia bisnis sehari-hari. Dalam perkembangannya, internet menjadi salah satu pokok utama untuk mendapatkan informasi-informasi yang dibutuhkan. Untuk mendapatkan informasi menggunakan internet, banyak cara untuk mengaksesnya. Salah satunya yaitu dengan mengakses website, dimana merupakan kumpulan halaman yang digunakan untuk menampilkan informasi teks, gambar, suara yang bersifat statis atau dinamis yang saling terkait dan dihubungkan dengan hyperlink (Saputro, 2007).

Pada masa modern ini, sudah banyak beragam website yang bermunculan, sehingga webiste sudah tidak asing lagi dikalangan masyarakat. Banyak pula perusahaan yang menerapkan e-commerce untuk pemasaran, pembelian, penjualan atau pertukaran produk dan jasa yang terdapat pada website (Irmawati, 2011).

Untuk tetap dapat bersaing dengan kompetitor, maka perusahaan berlomba-lomba

menawarkan kelebihan satu sama lain. Semua itu ditunjukan tidak lain dan tidak bukan adalah untuk mempertahankan kelangsungan bisnisnya dikemudian hari. Persaingan antara perusahaan ada yang bersifat negatif maupun positif, persaingan negatif diantaranya dengan adanya serangan Defacement, yaitu penyerang merusak, mengubah tampilan halaman website yang sebenarnya, dimana penyerang melakukan sistem crack, yang masuk ke website server dan mengganti website hosting dengan menggunakan SQL Injection untuk masuk ke account administrator (Tushar, Vineet, Vivek 2012), dan serangan Denial of Service (DoS) yaitu serangan yang mengirimkan volume yang sangat besar melalui website hosting, sehingga membuat jaringan out of service (S. A. Arunmozhi, Y.

Venkataramani 2011). Hal tersebut dapat menyebabkan kerusakan pada sistem, apabila tidak dilakukan pengujian keamanan secara sistematis. Namun untuk persaingan positif dapat dilakukan dengan menunjukan konten webstore, melakukan pengujian keamanan, dan melakukan

(3)

maintenance/upgrade sistem. Oleh karena hal tersebut, maka perlu bagi perusahaan untuk selalu menjaga dan mengamankan, bahkan menganalisis tingkat persaingan atas produk yang ditawarkan.

Pada saat ini, penulis akan menjelaskan tentang salah satu contoh perusahaan yang bergerak di bidang jasa penjualan barang elektronik. Dalam hal ini penulis menyamarkan perusahaan tersebut dengan nama lain yaitu PT.XYZ. Perusahaan ini berdiri pada Juli 2004 yang mulai banyak dikenal di masyarakat dalam jasa penjualan barang elektronik secara online maupun offline. Perusahaan ini tetap bertahan dan berani bersaing dengan kompetitor dalam dunia perdagangan karena dalam penjualannya, memberikan produk berkualitas dan harga yang terjangkau serta dapat diakses secara online dengan mengunjungi alamat website www.xyz.com.

Agar website tersebut aman dan berjalan sesuai proses bisnisnya, maka diperlukan

pengendalian untuk menghindari terjadinya kesalahan pada sistem. Oleh karena hal tersebut, maka perlu dilakukan evaluasi keamanan website pada perusahaan PT.XYZ, untuk mengetahui apakah website tersebut memiliki kerentanan ataupun risiko yang sewaktu-waktu muncul, sehingga tidak ada akses dari para attackers untuk menyerang sistem keamanan yang ada. Kemudian memberikan usulan-usulan perbaikan, sehingga dapat mencegah terjadinya vurnerability (kerentanan), dan hole (lubang/celah), sehingga tingkat kemanan sistem pada website menjadi lebih aman dan dapat berjalan dengan baik.

Tujuan dilakukannya penelitian adalah untuk mengetahui sistem operasi dan sistem keamanan yang berjalan pada website PT.XYZ, mengetahui kelemahan, vulnerability (kerentanan), dan hole (lubang/celah) pada website yang telah dikembangkan PT.XYZ, dan Membuat usulan-usulan perbaikan atas permasalahan yang ditemukan dalam website tersebut.

METODE PENELITIAN

Metodologi yang digunakan dalam memperoleh data untuk penyusunan skripsi ini adalah: 1. Studi Pustaka

Yaitu melakukan pencarian, pengumpulan dan pembelajaran informasi dari berbagai buku literatur, internet ataupun media informasi lainnya yang berhubungan dengan objek penelitian sehingga dapat dijadikan sebagai landasan teori.

2. Studi Lapangan.

Dilakukan pengamatan langsung terhadap perusahaan yang menjadi objek penelitian agar mendapatkan data dan informasi yang lebih akurat. Dalam studi lapangan ini, digunakan tiga metode, yaitu:

a. Wawancara

Penulis melakukan wawancara langsung dengan pihak HRD Director yaitu Ibu Rini dan dibantu oleh Manager E-commerce yaitu Bapak Wisman Odhin untuk memperoleh gambaran secara rinci mengenai sistem yang terkait dengan keamanan website serta memperoleh data-data perusahaan yang dibutuhkan selama penyusunan skripsi.

b. Observasi

Penulis melakukan observasi dengan secara langsung maupun tidak langsung ke perusahaan PT.XYZ untuk mengamati website yang sedang berjalan sebagai bahan penyusunan skripsi. c. Dokumentasi

(4)

Mengumpulkan dokumentasi terkait yang digunakan oleh perusahaan dalam menjalankan kegiatan operasionalnya dan berhubungan dengan masalah yang diteliti untuk mendukung data yang telah diperoleh hasil wawancara.

3. Metode Pengujian

Metode pengujian yang digunakan adalah dengan pendekatan CAATs (Computer Audit Assisted Techniques) dimana proses pengujian dilakukan dengan software Acunetix Web Vulnerability Scanner v.8 dan Nmap.

HASIL DAN BAHASAN

Port Scanning

Port Scanning dilakukan untuk mengetahui port mana saja yang terbuka pada sebuah website. Dengan mengetahui port yang terbuka, maka dapat diketahui celah yang dapat dimanfaatkan oleh penyerang. Berikut hasil port scanning terhadap website dan CMS PT.XYZ dengan menggunakan Acunetix, yaitu :

Open port 22/SSH

Port 22 merupakan port untuk menjalankan protokol SSH yang digunakan untuk mengakses ke dalam web server melalui jarak jauh (remote login) dan mengeksekusi beberapa perintah seperti menambah, mengubah maupun menghapus serta men-download file secara remote. Setiap file yang di transfer ke dalam web server terenskripsi sehingga proses transfer file akan lebih aman dilakukan.

Open port 25/SMTP

Port 25 merupakan port untuk menjalankan SMTP yang digunakan untuk mengatur lalu lintas pengiriman email dari client ke SMTP server. Port 25 memungkinkan email yang tidak

terotorisasi untuk dikirim, mengakibatkan beberapa malware yang dikirim melalui port sehingga data yang akan dikirim terkena virus.

Open port 80/HTTP

Port 80 merupakan port untuk menjalankan Hypertext Transfer Protokol (HTTP) yang digunakan untuk men-transfer dokumen atau halaman dalam World Wide Web (WWW). HTTP

menyampaikan permintaan atas aksi apa saja yang harus dilakukan oleh web server dan merespon atas permintaan dari web browser.

Open port 81/HOSTS 2-NS

Port 81 digunakan untuk alternatif dalam mengakses web terhadap HyperText Transfer Protocol (HTTP). Port 81 dapat untuk mendefinisikan format komunikasi antara pengguna dan internet. Cara kerja port ini yaitu menampilkan url pada halaman, khususnya ketika HTTP atau WWW yang terdapat pada halaman.

Open port 82/XFER

Port 82 merupakan port yang digunakan attacker yang tidak terotorisasi untuk masuk kedalam sistem untuk melakukan serangan dengan Denial of Service (DoS) attack.

Open port 110/POP3

Port 110 merupakan port yang digunakan oleh protokol POP3 (Post Office Protocol) untuk men-download dan menyimpan email pada server komputer pengguna. (contohnya Outlook Express, Nestcape, dan lain-lain).

(5)

Port 119 News Network Transfer Protocol (NNTP) digunakan untuk menyediakan host server pada news group internet.

Open port 143/IMAP

Port 143 merupakan port yang digunakan oleh IMAP untuk men-download email dari email server. Pada dasarnya IMAP memiliki fungsi yang sama pada POP3 yaitu men-download email dari email server, tetapi client dapat memilih email yang akan diambil, membuat folder disk server, mencari pesan email tertentu dan dapat menghapus email yang ada.

Open port 443/HTTPS

Port 443 digunakan oleh HTTPS untuk melakukan komunikasi web browser secara aman karena data yang ditransfer melalui koneksi ini terenkripsi sehingga aman dari penyadapan dan

gangguan. HTTPS pada dasarnya memiliki fungsi yang sama dengan HTTP namun HTTPS menyajikan data dengan menggunakan protokol Secure Socket Layer (SSL).

Open port 465/SMTPS

Port 465 SMTPS digunakan untuk mengamankan SMTP dengan Transport Layer Security (TLS). SMTPS memiliki protokol kriptografi untuk memblokir gangguan yang tidak diinginkan dan kekurangan dari browsing internet, mengecek email, dan pesan yang menimbulkan ancaman konektivitas. Menyediakan otentikasi, keintegrasian dan kerahasiaan data. Di sini, client dan server tetap mengirimkan email secara normal melalui SMTP pada application layer, tetapi koneksinya diamankan oleh SSL (Secure Socket Layer).

Open Port 563/SNEWS

Port 563 digunakan untuk layanan NNTP. Port memiliki kerentanan terhadap virus yang masuk seperti virus trojan, dimana jika ada aplikasi yang digunakan secara bersamaan akan

menyebabkan konflik. Open Port 587/SUBMISSION

Port 587 merupakan port yang ditunjuk untuk SMTP Mail Submission Agent. Port ini digunakan saat mengirim email ke server email.

Open Port 993/IMAPS

Port 993 digunakan oleh protokol IMAPS untuk mengelola email. IMAPS merupakan metode untuk mengamankan IMAP dengan SSL. IMAPS menyediakan otentikasi, keintegrasian dan kerahasiaan data. Di sini client dapat memilih pesan email yang akan diambil, membuat folder di server, mencari pesan email tertentu bahkan menghapus pesan email yang ada dengan koneksi secure oleh SSL.

Open Port 995/POP3S

Port 995/POP3S merupakan metode untuk mengamankan POP3 dengan SSL. POP3S

menyediakan otentikasi, keintegrasian dan kerahasiaan data. Email pada server akan di-download secara otomatis dan data terenkripsi sehingga data akan lebih aman.

Open Port 3128/SQUID-HTTP

Port 3128 digunakan sebagai proxy HTTP dimana attacker dapat melewati firewall dan keamanan sistem dalam mengakses website.

Open Port 8080/HTTP-PROXY

Port 8080 HTTP-PROXY menyediakan cara bagi attacker untuk berpura-pura menjadi komputer anda. Attacker yang telah menyadap dapat melihat alamat komputer anda melalui port ini.

(6)

Port 8081 adalah port perangkat lunak yang digunakan untuk layanan BlackICE-ICECAP dalam komunikasi dan pengiriman data secara efisien. Port ini menggunakan TCP/UDP dengan koneksi antara dua host.

Open Port 8888/SUN-ANSWERBOOK

Port 8888 merupakan port perangkat lunak yang digunakan untuk pengiriman paket data dan mencuri password menggunakan virus trojan dengan kemampuan akses remote.

Open Port 10000/SNET-SENSOR MGMT

Port 10000 merupakan port default untuk banyak aplikasi, sistem jaringan dan komponen yang meliputi Jaringan Data Management Protocol (RNPB). Port 10000 juga dimanfaatkan oleh Webmin, bersama dengan port 20000. Webmin adalah antarmuka berbasis web untuk administrasi sistem dalam sistem Unix dan Linux.

Melalui port yang terbuka ini, banyak para penyerang (attacker) yang mencoba-coba untuk menyusup ke sistem jaringan dan menjebol sistem jaringan tersebut. Oleh karena itu dibutuhkan seorang web admin yang cukup ahli dalam menjaga keamanan sistem dari serangan orang-orang yang tidak bertanggung jawab.

Web Alert

Berikut merupakan kerentanan-kerentanan yang berhubungan dengan web alert yang ditemukan berdasarkan Acunetix :

Blind SQL Injection

Blind SQL Injection adalah kerentanan yang memungkinkan penyerang untuk mengubah pernyataan SQL backend dengan memanipulasi input user. Sebuah SQL Injection terjadi ketika aplikasi web menerima input user yang di kirim ke pernyataan SQL dan filtered data yang dianggap berbahaya. Berdasarkan hasil scanning dengan menggunakan Acunetix, ditemukan kerentanan pada website PT.XYZ yang lemah. Adapun detail Blind SQL Injection yang ditemukan adalah seperti berikut :

Affected items detail

/ /brand/akg.html /brand/ye.html /catalogsearch/result/index /monitor.html /netbook.html /notebook.html /smart-phone.html /tablet.html

Cross Site Scripting/XSS

Cross Site Scripting/XSS adalah kerentanan yang memungkinkan penyerang untuk mengirim kode berbahaya berupa kode pemrograman dalam Java Script ke user lain. Sebuah browser tidak dapat mengetahui script mana yang seharusnya diterima atau tidak. untuk mengetahui serangan, maka akan dilakukan eksekusi script context user dan mengakses beberapa cookies atau konfirmasi password dari browser. Berdasarkan hasil scanning dengan menggunakan Acunetix, ditemukan kerentanan pada website PT.XYZ yang lemah. Adapun detail Cross Site Scripting/XSS yang ditemukan adalah seperti berikut :

Affected items detail

• /catalogsearch/result/index

(7)

Apache 2.x Version Older Than 2.2.9

Di dalam Apache 2.x version older than 2.2.9 terdapat kerentanan yang terjadi yaitu :

1.

low : rentan terhadap serangan Cross Site Request Forgery (CSRF)

2.

moderate :

a. Sebuah kecacatan ditemukan pada server pada saat menggunakan mod_proxy_http.

b. Penyerang melakukan serangan yang menghambat atau mematikan kinerja pada sebuah layanan pengguna.

Adapun detail Apache 2.x version older than 2.2.9 yang ditemukan yaitu : Affected items detail

Web Server

Apache Httpd Remote Denial of Service

Apache httpd remote Denial of Service telah ditemukan kerentanan yaitu serangan Denial of Service (DoS) dimana serangan ini menghambat atau mematikan kinerja layanan pengguna. Untuk mengatasinya, maka tool attack yang ada telah diaktifkan, dan ditangani oleh Apache HTTPD Server sehingga pemakaian memori dan penggunaan server dapat berjalan dengan baik. Adapun detail Apache httpd remote Denial of Serfice yang ditemukan yaitu :

Affected items detail

Web Server

Application Error Message

Halaman ini berisi peringatan kesalahan pesan dimana dapat memberitahukan kesalahan file yang tidak teratasi dan informasi kesalahan pesan ini sangat sensitif terhadap kesalahan pesan yang terdeteksi. Adapun detail Application error message yang ditampilkan adalah sebagai berikut : Affected items detail

• /

• /contacts/contacts/post

HTML form without CSRF Protection

CSRF, atau Cross Site Request Forgery adalah kerentanan yang sangat umum untuk melakukan pemalsuan dengan meniru bentuk website yang serupa. Berdasarkan hasil scanning dengan menggunakan Acunetix, ditemukan kerentanan HTML yang mana tidak ada implementasi yang jelas dan tidak terlindungi. Adapun detail CSRF, atau Cross-Site Request yang ditemukan adalah seperti berikut :

Affected items detail

• / • /1215b-1.html • /acer-aspire-one-765.html • /acer-aspire-one-770.html • /acer-iconia-b1-a71-bundle.html • /acer-iconia-w511.html • /aspire-p3-171-bundle.html • /aspire-p3-171-bundle.html (60752ef40ef361fa40d7453d2ca9db6b) • /aspire-s3-i7.html • /asus-google-nexus-7-32gb.html • /asus-memo-pad-me172v.html • ....(s/d) • /zenbook-ux42vs-w3020h.html

(8)

Halaman ini bersifat tidak aman (HTTP). Halaman ini dapat di hack dengan sebuah serangan Man-In-The-Middle dan penyerang dapat mengganti halaman target yang akan diserang. Adapun Insecure Transition from HTTP to HTTPS adalah sebagai berikut :

Affected items detail

• /

Insecure Transition from HTTPS to HTTP

HTTPS tampilan halaman yang bersifat aman dan HTTP tampilan halaman yang tidak aman, hal ini dapat membuat user kesulitan dalam mengakses dikarenakan tidak dapat mengakses halaman yang seharusnya dapat diakses. Adapun Insecure Transition from HTTPS to HTTP adalah sebagai berikut :

Affected items detail

• /windows8device

Login Page Password-Guessing Attack

Sebuah ancaman yang umum dari web developer adalah serangan menebak password yang dikenal sebagai serangan brute force. Serangan ini mencoba menemukan password dengan setiap kemungkinan yaitu kombinasi huruf, angka, simbol sampai menemukan kombinasi yang tepat dan berhasil login. Halaman login tidak ada perlindungan khusus terhadap serangan ini. Adapun Login page password-guessing attack adalah sebagai berikut :

Affected items detail

• /customer/account/loginPost/

Session Cookie without HTTP Only Flag Set

Jika cookie di setting dengan menggunakan Http Only Flag Set, maka cookie hanya dapat di akses melalui saluran yang aman yaitu SSL (Secure Socket Layer). Tingkat keamanan cookie lebih terjamin dimana memungkinkan informasi yang diakses atau dikirimkan ke server hanya boleh melalui HTTPS, sehingga attacker tidak memiliki kesempatan melihat cookie atau mencuri informasi melalui HTTP.

Affected items detail

• /

Cookie name: “session” Cookie domain : www.xyz.com

Session Cookie without Secure Flag Set

Jika sebuah cookie di setting dengan menggunakan secure flag set, maka cookie hanya dapat di akses menggunakan koneksi yang aman yaitu Secure Socket Layer (SSL). Tingkat keamanan cookie lebih terjamin dimana memungkinkan informasi yang di akses ataupun dikirimkan ke server hanya boleh melalui HTTPS, sehingga para attacker tidak memiliki kesempatan untuk melihat cookies ataupun mencuri informasi didalamnya yang lewat di tengah perjalanan melalui HTTP. Affected items detail

• /

Cookie name : “session” Cookie domain : www.xyz.com

Trace Method is Enabled

Dengan adanya kerentanan cross-domain di web browser, maka informasi utama dapat diketahui dari setiap banyaknya domain yang ada, oleh karena itu HTTP TRACE method di aktifkan oleh web server. Adapun detail Trace method is enabled yang ditampilkan adalah sebagai berikut : Affected items detail

(9)

Broken Links

Broken links mengacu pada setiap link dimana jika mengalami kesalahan sistem maka akan menampilkan informasi-informasi seperti dokumen, gambar, ataupun web page yang tidak sama dengan kesamaan informasi sebelumnya. Halaman ini terhubung dengan website tapi tidak dapat diakes. Adapun detail Broken links yang ditampilkan adalah sebagai berikut :

Affected items detail

• /brand/toshiba/m840-1025xg.html • /corporate (eef471b3719b685101c0cb8ad0a04e9d) • /customer • /event/pazia-2nd-anniversary • /js • /mandiri-clickpay-info/http/www.bankmandiri.co.id • /media • /media/bannerimg • /media/catalog • /media/catalog/category ...(s/d) • /z930-2000.html

Password Type Input with Autocomplete Enabled

Ketika akan menginput sebuah email dan password dari sebuah form yang akan di submit, browser bertanya apakah password akan di simpan. Kemudian ketika form ditampilkan, email dan password secara otomatis akan terdapat history email pada field. Penyerang yang mengakses lokal akan mendapatkan history cleartext password yang sebenarnya dari cache browser. Adapun detail Password Type Input with Autocomplete Enabled yang ditampilkan adalah sebagai berikut : Affected items detail

• /customer/account/create • /customer/account/login • /customer/account/login/referer/aHR0cDovL3d3dy5wYXppYXNob3AuY29tL3Jldmlldy9wcm9k dWN0L2xpc3QvaWQvMjA1Lz9fX19TSUQ9VSNyZXZpZXctZm9ybQ,, • /customer/account/login/referer/aHR0cDovL3d3dy5wYXppYXNob3AuY29tL3Jldmlldy9wcm9k dWN0L2xpc3QvaWQvMjcxMy8_X19fU0lEPVUjcmV2aWV3LWZvcm0, ...(s/d) • /customer/account/login/referer/aHR0cDovL3d3dy5wYXppYXNob3AuY29tL3Jldmlldy9wcm9k dWN0L2xpc3QvaWQvOTYzLz9fX19TSUQ9VSNyZXZpZXctZm9ybQ,,

SIMPULAN DAN SARAN

Kesimpulan

Berdasarkan pada pembahasan bab-bab sebelumnya, maka dapat diambil kesimpulan mengenai hasil Evaluasi Keamanan Website Menggunakan Web Vulnerability Scanner (ACUNETIX) pada PT.XYZ:

1. Security website yang terdapat pada website www.xyz.com tidak sesuai dengan standar baku

keamanan yang semestinya, sehingga menimbulkan banyak celah dan kesempatan bagi para attacker untuk melakukan eksploitasi.

2. Tidak adanya bagian website maintenance yang menjaga kerentanan-kerentanan website secara sistematis, sehingga website www.xyz.com pada PT.XYZ sering mengalami serangan-serangan yang dapat membahayakan sisi operasionalnya.

(10)

4. Pada saat acunetix melakukan scanning terhadap website www.xyz.com, ditemukan beberapa web alert yang berisiko tinggi serta port-port yang berbahaya, seperti Blind SQL Injection dan XSS (Cross Site Scripting).

5.

Tempat hosting website www.xyz.com belum menetapkan standar keamanan yang baku sesuai dengan keamanan ISO 27002 ( ISO 31000

).

Saran

Dari hasil pengujian terhadap keamanan website dan CMS PT.XYZ, penulis memberikan beberapa saran yang dapat dijadikan bahan pertimbangan dari segi keamanan website, CMS, dan web server yaitu :

1. Perlu agar lebih menyempurnakan struktur tim yang terdapat di dalam PT.XYZ seperti bagian IT, dan bagian E-commerce yang memiliki keahlian dan tanggung jawab untuk melakukan pengujian dan pengamanan website agar dapat berkembang di masa mendatang.

2. Sebaiknya PT.XYZ menerapkan standar keamanan yang dapat dijadikan sebagai tolok ukur dengan mengacu pada ISO 27002.

3. Sebaiknya PT.XYZ menetapkan kebijakan user access sesuai dengan standard SANS Institute, misalnya penggunaan password, panjang pendeknya user name.

4. PT.XYZ perlu melakukan konfigurasi firewall pada web server, didalam meningkatkan keamanan web server dan website yang dikelolanya.

5. PT.XYZ sebaiknya melakukan penyaringan (filter), terhadap port-port yang memiliki risiko tinggi.

6. Sebaiknya website PT.XYZ melakukan pengujian keamanan secara rutin dan berkala, baik dengan berkonsultasi kepada bidang terkait ataupun konsultan yang ada.

REFERENSI

Arens, A.A., Loebbecke, J.K. (2003). Auditing Pendekatan Terpadu. (edisi ke-3). Jakarta: Salemba Empat.

Dony Ariyus dan Abas Ali Pangera.(2010). Sistem Operasi. Yogyakarta: C.V Andi Offset. Dulaney, E. (2009). CompTIA Security+ TM Deluxe Study Guide. (Deluxe ed ition). Indiana: Wiley Publishing, Inc.

Gondodiyoto, S., Hendarti, H. (2007). Audit Sistem Informasi Lanjutan. (edisi ke-1). Jakarta : Mitra Wacana Media.

Hall, J.A., Singleton, T. (2005). Information Technology Auditing and Assurance. (2nd edition). South Western: Thomson.

Hariyanto, Bambang. 2003. Sistem Operasi Lanjut. Bandung: Informatika.

Kristanto, Andri.(2008). Perancangan Sistem Informasi dan Aplikasinya. Yogyakarta: Gava Media. Larman, Craig. (2005). Applying UML And Patterns. Third Edition. Pearson Education, Inc, New Jersey.

Laudon, K.C., Laudon, J.P. (2003). Essentials of Management Information Systems. (5th edition). New Jersey : Pearson Prentice Hall.

(11)

edition). Washington D.C: O'Reilly Media, Inc.

Lukas, J. (2006). Jaringan Komputer. Graha Ilmu, Yogyakarta.

McLeod, R.Jr., & Schell, G.P. (2004). Management Information System. (9th edition).New Jersey: Pearson Prentice Hall.

McLeod, R.Jr., & Schell, G.P. (2007). Management Information Systems, edisi ke-10. Pearson Prentice Hall, New Jersey.

O’Brien, J.A. (2005). Pengantar Sistem Informasi: Perspektif Bisnis dan Manajerial. (edisi ke-12). Terjemahan Dewi Fitriasari dan Deny Arnos. Jakarta: Salemba Empat.

O’Brien, James A. & Marakas, George M. (2007). Management Information Systems, Edisi ke-7. McGraw-Hill, New York.

Peltier, T.R. (2005). Information Security Risk Analysis. (2nd edition). Washington D.C: Taylor & Francis Group, LLC.

Pressman, Roger S. (2005). Software Eng ineering: A Practicion er's Approach, Sixth Edition. McGraw- Hill Companies, USA.

Resha, Muhammad. (2005). Mambo CMS Membangun Website Profesional Dengan Mudah. Dian Rakyat, Jakarta.

Sakam, R. Djunaedy , Mellia Liyanthy . (2007). “Audit Sistem Informasi Akademik di Fakultas Teknik Universitas Pasundan dengan M etode COBIT”, Jurnal INFOMATEK

(Informatika, Manajemen dan Teknologi), Vol.9, No.2, Hlm. 77-150, ISSN: 1411-0865. Bandun g: Fakultas Teknik Universitas Pasundan.

Saputro, H.W. 2007. Pengertian Website, Web Hosting dan Domain Name. Retrieved (10-09-2011) from http://www.baliorange.web.id/pengertianwebsite-webhosting-domainname/.

Sayana, S. A. 2003. Using CAATs to Support IS Audit. Retrieved ( 10-08-2011) from http://www.isaca.org/Journal/Past-Issues/2003/Volume-1/Pages/Using-

CAATS-to-Support-IS-Audit.aspx.

Shelly, G. B., Woods, D. M., & Dorin, W. J. (2009). HTML: Comprehensive Concepts and Techniques (5th end.). Boston: Cengage Learning.

RIWAYAT PENULIS

Stevani lahir di kota cilacap pada 20 juli 1991. Penulis menamatkan pendidikan S1 di bina nusantara dalam

bidang komputerisasi akuntansi pada tahun 2013.

Maulana triasa lahir di kota medan pada 26 september 1991. Penulis menamatkan pendidikan S1 di bina

Referensi

Unduh sekarang ( PDF - 11 Halaman - 58.39 KB )

Dokumen terkait

1. Inisialisasi a0, b0, 0, dan z0. 2. Pembangkitan.

Dalam kasus ini dan ditentukan dengan menggunakan metode yang didasarkan pada tingkah laku distribusi di sekitar modus.. Lebih lanjut diperoleh bahwa derivatif pertama

PERATURAN DAERAH KABUPATEN HALMAHERA BARAT NOMOR : 23 TAHUN 2012 TENTANG RETRIBUSI IZIN TEMPAT PENJUALAN MINUMAN BERALKOHOL DENGAN RAHMAT TUHAN YANG

Selanjutnya dengan ditetapkannya Undang-undang Nomor 28 Tahun 2009 tentang Pajak Daerah dan Retribusi Daerah, maka Pemerintah Daerah perlu menjabarkan dan melakukan

BAB II KAJIAN TEORITIS. kegiatan-kegiatan jasa dimasyarakat itu terdapat kompitisi dalam usaha merebut

Sebagai proses pelayanan berlangsung secara rutin dan berkesinambungan yang meliputi seluruh kehidupan orang dalam masyarakat (Moenir, 2000 : 17 ) yang dimaksud pelayanan

BAB IV ANALISIS HASIL PENELITIAN

Guru menyampaikan penjelasan tentang materi pokok Dakwah Nabi Muhammad SAW secara terang-terangan (Jahr). Kemudian guru membagikan kertas kepada setiap peserta didik

Prosiding SNATIF Ke-3 Tahun 2016 ISBN: MESIN CRUSHERDENGAN KAPASITAS 120 KG/JAM SEBAGAI PENGOLAH LIMBAH KERTAS DAN KAIN

Di Kabupaten Kudus, saat ini berkembang UMKM dalam usaha pembuatan eternit. UMKM ini kebanyakan terletak di Desa Getas Pejaten, kurang lebih 7 km dari pusat kota. Bahan baku

BAB II TINJAUAN PUSTAKA. penelitian terdahulu dalam jurnal yang berkaitan dengan inovasi teknologi,

Penelitian ini merujuk pada penelitian terdahulu dalam jurnal yang berkaitan dengan inovasi teknologi, persepsi kredibilitas, dan manfaat yang dirasakan terhadap

UNDANG-UNDANG REPUBLIK INDONESIA NOMOR 9 TAHUN 2015 TENTANG PERUBAHAN KEDUA ATAS UNDANG-UNDANG NOMOR 23 TAHUN 2014 TENTANG PEMERINTAHAN DAERAH

dimaksud pada huruf b, ketentuan tugas dan wewenang dewan perwakilan rakyat daerah provinsi, kabupaten/kota sebagaimana diatur dalam Undang- Undang Nomor 23 Tahun

Evaluasi Celah Keamanan Web Server pada LPSE Kota Palembang

Walaupun pada umumnya serangan yang terjadi hanya menimbulkan kesan negatif dan memalukan seperti mengganti halaman website (defacing) bukan tidak mungkin penyerang

Image