EVALUASI KEAMANAN WEBSITE
MENGGUNAKAN WEB VULNERABILITY
SCANNER (ACUNETIX) PADA PT.XYZ
Nama Penulis :
Stevani 1301059292
JL. Yos SUDARSO 94 Majenang, 62-81-70004601, stevani.liem@yahoo.com
Maulana Triasa 1301066953
Jl. Peta Utara komplek merpati blok c no 10, 62-812-87859654, Lana3asa@yahoo.com
Dosen Pembimbing :
Drajad Wiryawan
ABSTRAK
TUJUAN PENELITIAN,
ialah, melakukan evaluasi terhadap keamanan website yang dimiliki pada PT.XYZ dengan
menggunakan pendekatan Computer Assisted Audit Techniques (CAATs) yaitu dengan
software Web Vulenerability Scanner (Acunetix v.8). METODE PENELITIAN yang digunakan
yaitu dengan menggunakan studi pustaka, dan studi lapangan. 3 cara studi lapangan yang
dilakukan, yaitu observasi, wawancara, dan studi dokumentasi. HASIL YANG DICAPAI
adalah mengetahui vurnerability (kerentanan), hole (lubang/celah), ataupun resiko yang
sewaktu-waktu muncul. Hasil dari scanning Acunetix ditemukan open port dan web alert
dimana dapat menimbulkan hole yang mengakibatkan vulnerability memberikan
usulan-usulan perbaikan sehingga tingkat keamanan sistem pada website menjadi lebih aman dan
dapat berjalan dengan baik. KESIMPULAN pada pembahasan website www.xyz.com tidak
sesuai standar baku keamanan, tidak adanya bagian website maintenance yang menjaga
kerentanan-kerentanan website secara sistematis. Sebaiknya pada PT.XYZ lebih
memperhatikan dari sisi keamanan seperti melakukan konfigurasi firewall, melakukan
filtered port, melakukan update secara berkala, menetapkan kebijakan user access
berdasarkan standard SANS Institute dan menetapkan standard internasional ISO 27002 (ISO
31000).
RESEARCH OBJECTIVES,
Is to evaluate the security of the website which is owned by XYZ approach Computer Assisted
Audit Techniques (CAATs) are with Web software Vulenerability Scanner (Acunetix v.8).
METHODS used is by using literature review, and field studies. 3 ways conducted field studies,
observation, interview, and documentation. RESULTS ACHIEVED is knowing vulnerability,
hole / gap, or risks that arise from time to time. Results of scanning open ports are found
Acunetix and web alerts which can cause holes resulting vulnerability gives improvement
suggestions so that the level of security of the system on the website to be more secure and can
run well. Conclusions on the discussion website www.xyz.com incompatible security standards,
no part of website maintenance that keep vulnerabilities systematically website. XYZ should pay
more attention to in terms of security such as firewall configuration, perform filtered ports,
periodically update, assign user access policies based on standard SANS Institute and establish
international standards ISO 27002 (ISO 31000).
Keywords: Evaluation of Website Security, CAATs.
.
PENDAHULUAN
Kemajuan ilmu pengetahuan dan teknologi yang semakin pesat khususnya teknologi
informasi mempengaruhi berbagai aspek dunia bisnis sehari-hari. Dalam perkembangannya, internet menjadi salah satu pokok utama untuk mendapatkan informasi-informasi yang dibutuhkan. Untuk mendapatkan informasi menggunakan internet, banyak cara untuk mengaksesnya. Salah satunya yaitu dengan mengakses website, dimana merupakan kumpulan halaman yang digunakan untuk menampilkan informasi teks, gambar, suara yang bersifat statis atau dinamis yang saling terkait dan dihubungkan dengan hyperlink (Saputro, 2007).
Pada masa modern ini, sudah banyak beragam website yang bermunculan, sehingga webiste sudah tidak asing lagi dikalangan masyarakat. Banyak pula perusahaan yang menerapkan e-commerce untuk pemasaran, pembelian, penjualan atau pertukaran produk dan jasa yang terdapat pada website (Irmawati, 2011).
Untuk tetap dapat bersaing dengan kompetitor, maka perusahaan berlomba-lomba
menawarkan kelebihan satu sama lain. Semua itu ditunjukan tidak lain dan tidak bukan adalah untuk mempertahankan kelangsungan bisnisnya dikemudian hari. Persaingan antara perusahaan ada yang bersifat negatif maupun positif, persaingan negatif diantaranya dengan adanya serangan Defacement, yaitu penyerang merusak, mengubah tampilan halaman website yang sebenarnya, dimana penyerang melakukan sistem crack, yang masuk ke website server dan mengganti website hosting dengan menggunakan SQL Injection untuk masuk ke account administrator (Tushar, Vineet, Vivek 2012), dan serangan Denial of Service (DoS) yaitu serangan yang mengirimkan volume yang sangat besar melalui website hosting, sehingga membuat jaringan out of service (S. A. Arunmozhi, Y.
Venkataramani 2011). Hal tersebut dapat menyebabkan kerusakan pada sistem, apabila tidak dilakukan pengujian keamanan secara sistematis. Namun untuk persaingan positif dapat dilakukan dengan menunjukan konten webstore, melakukan pengujian keamanan, dan melakukan
maintenance/upgrade sistem. Oleh karena hal tersebut, maka perlu bagi perusahaan untuk selalu menjaga dan mengamankan, bahkan menganalisis tingkat persaingan atas produk yang ditawarkan.
Pada saat ini, penulis akan menjelaskan tentang salah satu contoh perusahaan yang bergerak di bidang jasa penjualan barang elektronik. Dalam hal ini penulis menyamarkan perusahaan tersebut dengan nama lain yaitu PT.XYZ. Perusahaan ini berdiri pada Juli 2004 yang mulai banyak dikenal di masyarakat dalam jasa penjualan barang elektronik secara online maupun offline. Perusahaan ini tetap bertahan dan berani bersaing dengan kompetitor dalam dunia perdagangan karena dalam penjualannya, memberikan produk berkualitas dan harga yang terjangkau serta dapat diakses secara online dengan mengunjungi alamat website www.xyz.com.
Agar website tersebut aman dan berjalan sesuai proses bisnisnya, maka diperlukan
pengendalian untuk menghindari terjadinya kesalahan pada sistem. Oleh karena hal tersebut, maka perlu dilakukan evaluasi keamanan website pada perusahaan PT.XYZ, untuk mengetahui apakah website tersebut memiliki kerentanan ataupun risiko yang sewaktu-waktu muncul, sehingga tidak ada akses dari para attackers untuk menyerang sistem keamanan yang ada. Kemudian memberikan usulan-usulan perbaikan, sehingga dapat mencegah terjadinya vurnerability (kerentanan), dan hole (lubang/celah), sehingga tingkat kemanan sistem pada website menjadi lebih aman dan dapat berjalan dengan baik.
Tujuan dilakukannya penelitian adalah untuk mengetahui sistem operasi dan sistem keamanan yang berjalan pada website PT.XYZ, mengetahui kelemahan, vulnerability (kerentanan), dan hole (lubang/celah) pada website yang telah dikembangkan PT.XYZ, dan Membuat usulan-usulan perbaikan atas permasalahan yang ditemukan dalam website tersebut.
METODE PENELITIAN
Metodologi yang digunakan dalam memperoleh data untuk penyusunan skripsi ini adalah: 1. Studi Pustaka
Yaitu melakukan pencarian, pengumpulan dan pembelajaran informasi dari berbagai buku literatur, internet ataupun media informasi lainnya yang berhubungan dengan objek penelitian sehingga dapat dijadikan sebagai landasan teori.
2. Studi Lapangan.
Dilakukan pengamatan langsung terhadap perusahaan yang menjadi objek penelitian agar mendapatkan data dan informasi yang lebih akurat. Dalam studi lapangan ini, digunakan tiga metode, yaitu:
a. Wawancara
Penulis melakukan wawancara langsung dengan pihak HRD Director yaitu Ibu Rini dan dibantu oleh Manager E-commerce yaitu Bapak Wisman Odhin untuk memperoleh gambaran secara rinci mengenai sistem yang terkait dengan keamanan website serta memperoleh data-data perusahaan yang dibutuhkan selama penyusunan skripsi.
b. Observasi
Penulis melakukan observasi dengan secara langsung maupun tidak langsung ke perusahaan PT.XYZ untuk mengamati website yang sedang berjalan sebagai bahan penyusunan skripsi. c. Dokumentasi
Mengumpulkan dokumentasi terkait yang digunakan oleh perusahaan dalam menjalankan kegiatan operasionalnya dan berhubungan dengan masalah yang diteliti untuk mendukung data yang telah diperoleh hasil wawancara.
3. Metode Pengujian
Metode pengujian yang digunakan adalah dengan pendekatan CAATs (Computer Audit Assisted Techniques) dimana proses pengujian dilakukan dengan software Acunetix Web Vulnerability Scanner v.8 dan Nmap.
HASIL DAN BAHASAN
Port Scanning
Port Scanning dilakukan untuk mengetahui port mana saja yang terbuka pada sebuah website. Dengan mengetahui port yang terbuka, maka dapat diketahui celah yang dapat dimanfaatkan oleh penyerang. Berikut hasil port scanning terhadap website dan CMS PT.XYZ dengan menggunakan Acunetix, yaitu :
Open port 22/SSH
Port 22 merupakan port untuk menjalankan protokol SSH yang digunakan untuk mengakses ke dalam web server melalui jarak jauh (remote login) dan mengeksekusi beberapa perintah seperti menambah, mengubah maupun menghapus serta men-download file secara remote. Setiap file yang di transfer ke dalam web server terenskripsi sehingga proses transfer file akan lebih aman dilakukan.
Open port 25/SMTP
Port 25 merupakan port untuk menjalankan SMTP yang digunakan untuk mengatur lalu lintas pengiriman email dari client ke SMTP server. Port 25 memungkinkan email yang tidak
terotorisasi untuk dikirim, mengakibatkan beberapa malware yang dikirim melalui port sehingga data yang akan dikirim terkena virus.
Open port 80/HTTP
Port 80 merupakan port untuk menjalankan Hypertext Transfer Protokol (HTTP) yang digunakan untuk men-transfer dokumen atau halaman dalam World Wide Web (WWW). HTTP
menyampaikan permintaan atas aksi apa saja yang harus dilakukan oleh web server dan merespon atas permintaan dari web browser.
Open port 81/HOSTS 2-NS
Port 81 digunakan untuk alternatif dalam mengakses web terhadap HyperText Transfer Protocol (HTTP). Port 81 dapat untuk mendefinisikan format komunikasi antara pengguna dan internet. Cara kerja port ini yaitu menampilkan url pada halaman, khususnya ketika HTTP atau WWW yang terdapat pada halaman.
Open port 82/XFER
Port 82 merupakan port yang digunakan attacker yang tidak terotorisasi untuk masuk kedalam sistem untuk melakukan serangan dengan Denial of Service (DoS) attack.
Open port 110/POP3
Port 110 merupakan port yang digunakan oleh protokol POP3 (Post Office Protocol) untuk men-download dan menyimpan email pada server komputer pengguna. (contohnya Outlook Express, Nestcape, dan lain-lain).
Port 119 News Network Transfer Protocol (NNTP) digunakan untuk menyediakan host server pada news group internet.
Open port 143/IMAP
Port 143 merupakan port yang digunakan oleh IMAP untuk men-download email dari email server. Pada dasarnya IMAP memiliki fungsi yang sama pada POP3 yaitu men-download email dari email server, tetapi client dapat memilih email yang akan diambil, membuat folder disk server, mencari pesan email tertentu dan dapat menghapus email yang ada.
Open port 443/HTTPS
Port 443 digunakan oleh HTTPS untuk melakukan komunikasi web browser secara aman karena data yang ditransfer melalui koneksi ini terenkripsi sehingga aman dari penyadapan dan
gangguan. HTTPS pada dasarnya memiliki fungsi yang sama dengan HTTP namun HTTPS menyajikan data dengan menggunakan protokol Secure Socket Layer (SSL).
Open port 465/SMTPS
Port 465 SMTPS digunakan untuk mengamankan SMTP dengan Transport Layer Security (TLS). SMTPS memiliki protokol kriptografi untuk memblokir gangguan yang tidak diinginkan dan kekurangan dari browsing internet, mengecek email, dan pesan yang menimbulkan ancaman konektivitas. Menyediakan otentikasi, keintegrasian dan kerahasiaan data. Di sini, client dan server tetap mengirimkan email secara normal melalui SMTP pada application layer, tetapi koneksinya diamankan oleh SSL (Secure Socket Layer).
Open Port 563/SNEWS
Port 563 digunakan untuk layanan NNTP. Port memiliki kerentanan terhadap virus yang masuk seperti virus trojan, dimana jika ada aplikasi yang digunakan secara bersamaan akan
menyebabkan konflik. Open Port 587/SUBMISSION
Port 587 merupakan port yang ditunjuk untuk SMTP Mail Submission Agent. Port ini digunakan saat mengirim email ke server email.
Open Port 993/IMAPS
Port 993 digunakan oleh protokol IMAPS untuk mengelola email. IMAPS merupakan metode untuk mengamankan IMAP dengan SSL. IMAPS menyediakan otentikasi, keintegrasian dan kerahasiaan data. Di sini client dapat memilih pesan email yang akan diambil, membuat folder di server, mencari pesan email tertentu bahkan menghapus pesan email yang ada dengan koneksi secure oleh SSL.
Open Port 995/POP3S
Port 995/POP3S merupakan metode untuk mengamankan POP3 dengan SSL. POP3S
menyediakan otentikasi, keintegrasian dan kerahasiaan data. Email pada server akan di-download secara otomatis dan data terenkripsi sehingga data akan lebih aman.
Open Port 3128/SQUID-HTTP
Port 3128 digunakan sebagai proxy HTTP dimana attacker dapat melewati firewall dan keamanan sistem dalam mengakses website.
Open Port 8080/HTTP-PROXY
Port 8080 HTTP-PROXY menyediakan cara bagi attacker untuk berpura-pura menjadi komputer anda. Attacker yang telah menyadap dapat melihat alamat komputer anda melalui port ini.
Port 8081 adalah port perangkat lunak yang digunakan untuk layanan BlackICE-ICECAP dalam komunikasi dan pengiriman data secara efisien. Port ini menggunakan TCP/UDP dengan koneksi antara dua host.
Open Port 8888/SUN-ANSWERBOOK
Port 8888 merupakan port perangkat lunak yang digunakan untuk pengiriman paket data dan mencuri password menggunakan virus trojan dengan kemampuan akses remote.
Open Port 10000/SNET-SENSOR MGMT
Port 10000 merupakan port default untuk banyak aplikasi, sistem jaringan dan komponen yang meliputi Jaringan Data Management Protocol (RNPB). Port 10000 juga dimanfaatkan oleh Webmin, bersama dengan port 20000. Webmin adalah antarmuka berbasis web untuk administrasi sistem dalam sistem Unix dan Linux.
Melalui port yang terbuka ini, banyak para penyerang (attacker) yang mencoba-coba untuk menyusup ke sistem jaringan dan menjebol sistem jaringan tersebut. Oleh karena itu dibutuhkan seorang web admin yang cukup ahli dalam menjaga keamanan sistem dari serangan orang-orang yang tidak bertanggung jawab.
Web Alert
Berikut merupakan kerentanan-kerentanan yang berhubungan dengan web alert yang ditemukan berdasarkan Acunetix :
Blind SQL Injection
Blind SQL Injection adalah kerentanan yang memungkinkan penyerang untuk mengubah pernyataan SQL backend dengan memanipulasi input user. Sebuah SQL Injection terjadi ketika aplikasi web menerima input user yang di kirim ke pernyataan SQL dan filtered data yang dianggap berbahaya. Berdasarkan hasil scanning dengan menggunakan Acunetix, ditemukan kerentanan pada website PT.XYZ yang lemah. Adapun detail Blind SQL Injection yang ditemukan adalah seperti berikut :
Affected items detail
• / • /brand/akg.html • /brand/ye.html • /catalogsearch/result/index • /monitor.html • /netbook.html • /notebook.html • /smart-phone.html • /tablet.html
Cross Site Scripting/XSS
Cross Site Scripting/XSS adalah kerentanan yang memungkinkan penyerang untuk mengirim kode berbahaya berupa kode pemrograman dalam Java Script ke user lain. Sebuah browser tidak dapat mengetahui script mana yang seharusnya diterima atau tidak. untuk mengetahui serangan, maka akan dilakukan eksekusi script context user dan mengakses beberapa cookies atau konfirmasi password dari browser. Berdasarkan hasil scanning dengan menggunakan Acunetix, ditemukan kerentanan pada website PT.XYZ yang lemah. Adapun detail Cross Site Scripting/XSS yang ditemukan adalah seperti berikut :
Affected items detail
• /catalogsearch/result/index
Apache 2.x Version Older Than 2.2.9
Di dalam Apache 2.x version older than 2.2.9 terdapat kerentanan yang terjadi yaitu :
1.
low : rentan terhadap serangan Cross Site Request Forgery (CSRF)2.
moderate :a. Sebuah kecacatan ditemukan pada server pada saat menggunakan mod_proxy_http.
b. Penyerang melakukan serangan yang menghambat atau mematikan kinerja pada sebuah layanan pengguna.
Adapun detail Apache 2.x version older than 2.2.9 yang ditemukan yaitu : Affected items detail
• Web Server
Apache Httpd Remote Denial of Service
Apache httpd remote Denial of Service telah ditemukan kerentanan yaitu serangan Denial of Service (DoS) dimana serangan ini menghambat atau mematikan kinerja layanan pengguna. Untuk mengatasinya, maka tool attack yang ada telah diaktifkan, dan ditangani oleh Apache HTTPD Server sehingga pemakaian memori dan penggunaan server dapat berjalan dengan baik. Adapun detail Apache httpd remote Denial of Serfice yang ditemukan yaitu :
Affected items detail
• Web Server
Application Error Message
Halaman ini berisi peringatan kesalahan pesan dimana dapat memberitahukan kesalahan file yang tidak teratasi dan informasi kesalahan pesan ini sangat sensitif terhadap kesalahan pesan yang terdeteksi. Adapun detail Application error message yang ditampilkan adalah sebagai berikut : Affected items detail
• /
• /contacts/contacts/post
HTML form without CSRF Protection
CSRF, atau Cross Site Request Forgery adalah kerentanan yang sangat umum untuk melakukan pemalsuan dengan meniru bentuk website yang serupa. Berdasarkan hasil scanning dengan menggunakan Acunetix, ditemukan kerentanan HTML yang mana tidak ada implementasi yang jelas dan tidak terlindungi. Adapun detail CSRF, atau Cross-Site Request yang ditemukan adalah seperti berikut :
Affected items detail
• / • /1215b-1.html • /acer-aspire-one-765.html • /acer-aspire-one-770.html • /acer-iconia-b1-a71-bundle.html • /acer-iconia-w511.html • /aspire-p3-171-bundle.html • /aspire-p3-171-bundle.html (60752ef40ef361fa40d7453d2ca9db6b) • /aspire-s3-i7.html • /asus-google-nexus-7-32gb.html • /asus-memo-pad-me172v.html • ....(s/d) • /zenbook-ux42vs-w3020h.html
Halaman ini bersifat tidak aman (HTTP). Halaman ini dapat di hack dengan sebuah serangan Man-In-The-Middle dan penyerang dapat mengganti halaman target yang akan diserang. Adapun Insecure Transition from HTTP to HTTPS adalah sebagai berikut :
Affected items detail
• /
Insecure Transition from HTTPS to HTTP
HTTPS tampilan halaman yang bersifat aman dan HTTP tampilan halaman yang tidak aman, hal ini dapat membuat user kesulitan dalam mengakses dikarenakan tidak dapat mengakses halaman yang seharusnya dapat diakses. Adapun Insecure Transition from HTTPS to HTTP adalah sebagai berikut :
Affected items detail
• /windows8device
Login Page Password-Guessing Attack
Sebuah ancaman yang umum dari web developer adalah serangan menebak password yang dikenal sebagai serangan brute force. Serangan ini mencoba menemukan password dengan setiap kemungkinan yaitu kombinasi huruf, angka, simbol sampai menemukan kombinasi yang tepat dan berhasil login. Halaman login tidak ada perlindungan khusus terhadap serangan ini. Adapun Login page password-guessing attack adalah sebagai berikut :
Affected items detail
• /customer/account/loginPost/
Session Cookie without HTTP Only Flag Set
Jika cookie di setting dengan menggunakan Http Only Flag Set, maka cookie hanya dapat di akses melalui saluran yang aman yaitu SSL (Secure Socket Layer). Tingkat keamanan cookie lebih terjamin dimana memungkinkan informasi yang diakses atau dikirimkan ke server hanya boleh melalui HTTPS, sehingga attacker tidak memiliki kesempatan melihat cookie atau mencuri informasi melalui HTTP.
Affected items detail
• /
Cookie name: “session” Cookie domain : www.xyz.com
Session Cookie without Secure Flag Set
Jika sebuah cookie di setting dengan menggunakan secure flag set, maka cookie hanya dapat di akses menggunakan koneksi yang aman yaitu Secure Socket Layer (SSL). Tingkat keamanan cookie lebih terjamin dimana memungkinkan informasi yang di akses ataupun dikirimkan ke server hanya boleh melalui HTTPS, sehingga para attacker tidak memiliki kesempatan untuk melihat cookies ataupun mencuri informasi didalamnya yang lewat di tengah perjalanan melalui HTTP. Affected items detail
• /
Cookie name : “session” Cookie domain : www.xyz.com
Trace Method is Enabled
Dengan adanya kerentanan cross-domain di web browser, maka informasi utama dapat diketahui dari setiap banyaknya domain yang ada, oleh karena itu HTTP TRACE method di aktifkan oleh web server. Adapun detail Trace method is enabled yang ditampilkan adalah sebagai berikut : Affected items detail
Broken Links
Broken links mengacu pada setiap link dimana jika mengalami kesalahan sistem maka akan menampilkan informasi-informasi seperti dokumen, gambar, ataupun web page yang tidak sama dengan kesamaan informasi sebelumnya. Halaman ini terhubung dengan website tapi tidak dapat diakes. Adapun detail Broken links yang ditampilkan adalah sebagai berikut :
Affected items detail
• /brand/toshiba/m840-1025xg.html • /corporate (eef471b3719b685101c0cb8ad0a04e9d) • /customer • /event/pazia-2nd-anniversary • /js • /mandiri-clickpay-info/http/www.bankmandiri.co.id • /media • /media/bannerimg • /media/catalog • /media/catalog/category ...(s/d) • /z930-2000.html
Password Type Input with Autocomplete Enabled
Ketika akan menginput sebuah email dan password dari sebuah form yang akan di submit, browser bertanya apakah password akan di simpan. Kemudian ketika form ditampilkan, email dan password secara otomatis akan terdapat history email pada field. Penyerang yang mengakses lokal akan mendapatkan history cleartext password yang sebenarnya dari cache browser. Adapun detail Password Type Input with Autocomplete Enabled yang ditampilkan adalah sebagai berikut : Affected items detail
• /customer/account/create • /customer/account/login • /customer/account/login/referer/aHR0cDovL3d3dy5wYXppYXNob3AuY29tL3Jldmlldy9wcm9k dWN0L2xpc3QvaWQvMjA1Lz9fX19TSUQ9VSNyZXZpZXctZm9ybQ,, • /customer/account/login/referer/aHR0cDovL3d3dy5wYXppYXNob3AuY29tL3Jldmlldy9wcm9k dWN0L2xpc3QvaWQvMjcxMy8_X19fU0lEPVUjcmV2aWV3LWZvcm0, ...(s/d) • /customer/account/login/referer/aHR0cDovL3d3dy5wYXppYXNob3AuY29tL3Jldmlldy9wcm9k dWN0L2xpc3QvaWQvOTYzLz9fX19TSUQ9VSNyZXZpZXctZm9ybQ,,
SIMPULAN DAN SARAN
Kesimpulan
Berdasarkan pada pembahasan bab-bab sebelumnya, maka dapat diambil kesimpulan mengenai hasil Evaluasi Keamanan Website Menggunakan Web Vulnerability Scanner (ACUNETIX) pada PT.XYZ:
1. Security website yang terdapat pada website www.xyz.com tidak sesuai dengan standar baku
keamanan yang semestinya, sehingga menimbulkan banyak celah dan kesempatan bagi para attacker untuk melakukan eksploitasi.
2. Tidak adanya bagian website maintenance yang menjaga kerentanan-kerentanan website secara sistematis, sehingga website www.xyz.com pada PT.XYZ sering mengalami serangan-serangan yang dapat membahayakan sisi operasionalnya.
4. Pada saat acunetix melakukan scanning terhadap website www.xyz.com, ditemukan beberapa web alert yang berisiko tinggi serta port-port yang berbahaya, seperti Blind SQL Injection dan XSS (Cross Site Scripting).
5.
Tempat hosting website www.xyz.com belum menetapkan standar keamanan yang baku sesuai dengan keamanan ISO 27002 ( ISO 31000).
Saran
Dari hasil pengujian terhadap keamanan website dan CMS PT.XYZ, penulis memberikan beberapa saran yang dapat dijadikan bahan pertimbangan dari segi keamanan website, CMS, dan web server yaitu :
1. Perlu agar lebih menyempurnakan struktur tim yang terdapat di dalam PT.XYZ seperti bagian IT, dan bagian E-commerce yang memiliki keahlian dan tanggung jawab untuk melakukan pengujian dan pengamanan website agar dapat berkembang di masa mendatang.
2. Sebaiknya PT.XYZ menerapkan standar keamanan yang dapat dijadikan sebagai tolok ukur dengan mengacu pada ISO 27002.
3. Sebaiknya PT.XYZ menetapkan kebijakan user access sesuai dengan standard SANS Institute, misalnya penggunaan password, panjang pendeknya user name.
4. PT.XYZ perlu melakukan konfigurasi firewall pada web server, didalam meningkatkan keamanan web server dan website yang dikelolanya.
5. PT.XYZ sebaiknya melakukan penyaringan (filter), terhadap port-port yang memiliki risiko tinggi.
6. Sebaiknya website PT.XYZ melakukan pengujian keamanan secara rutin dan berkala, baik dengan berkonsultasi kepada bidang terkait ataupun konsultan yang ada.
REFERENSI
Arens, A.A., Loebbecke, J.K. (2003). Auditing Pendekatan Terpadu. (edisi ke-3). Jakarta: Salemba Empat.
Dony Ariyus dan Abas Ali Pangera.(2010). Sistem Operasi. Yogyakarta: C.V Andi Offset. Dulaney, E. (2009). CompTIA Security+ TM Deluxe Study Guide. (Deluxe ed ition). Indiana: Wiley Publishing, Inc.
Gondodiyoto, S., Hendarti, H. (2007). Audit Sistem Informasi Lanjutan. (edisi ke-1). Jakarta : Mitra Wacana Media.
Hall, J.A., Singleton, T. (2005). Information Technology Auditing and Assurance. (2nd edition). South Western: Thomson.
Hariyanto, Bambang. 2003. Sistem Operasi Lanjut. Bandung: Informatika.
Kristanto, Andri.(2008). Perancangan Sistem Informasi dan Aplikasinya. Yogyakarta: Gava Media. Larman, Craig. (2005). Applying UML And Patterns. Third Edition. Pearson Education, Inc, New Jersey.
Laudon, K.C., Laudon, J.P. (2003). Essentials of Management Information Systems. (5th edition). New Jersey : Pearson Prentice Hall.
edition). Washington D.C: O'Reilly Media, Inc.
Lukas, J. (2006). Jaringan Komputer. Graha Ilmu, Yogyakarta.
McLeod, R.Jr., & Schell, G.P. (2004). Management Information System. (9th edition).New Jersey: Pearson Prentice Hall.
McLeod, R.Jr., & Schell, G.P. (2007). Management Information Systems, edisi ke-10. Pearson Prentice Hall, New Jersey.
O’Brien, J.A. (2005). Pengantar Sistem Informasi: Perspektif Bisnis dan Manajerial. (edisi ke-12). Terjemahan Dewi Fitriasari dan Deny Arnos. Jakarta: Salemba Empat.
O’Brien, James A. & Marakas, George M. (2007). Management Information Systems, Edisi ke-7. McGraw-Hill, New York.
Peltier, T.R. (2005). Information Security Risk Analysis. (2nd edition). Washington D.C: Taylor & Francis Group, LLC.
Pressman, Roger S. (2005). Software Eng ineering: A Practicion er's Approach, Sixth Edition. McGraw- Hill Companies, USA.
Resha, Muhammad. (2005). Mambo CMS Membangun Website Profesional Dengan Mudah. Dian Rakyat, Jakarta.
Sakam, R. Djunaedy , Mellia Liyanthy . (2007). “Audit Sistem Informasi Akademik di Fakultas Teknik Universitas Pasundan dengan M etode COBIT”, Jurnal INFOMATEK
(Informatika, Manajemen dan Teknologi), Vol.9, No.2, Hlm. 77-150, ISSN: 1411-0865. Bandun g: Fakultas Teknik Universitas Pasundan.
Saputro, H.W. 2007. Pengertian Website, Web Hosting dan Domain Name. Retrieved (10-09-2011) from http://www.baliorange.web.id/pengertianwebsite-webhosting-domainname/.
Sayana, S. A. 2003. Using CAATs to Support IS Audit. Retrieved ( 10-08-2011) from http://www.isaca.org/Journal/Past-Issues/2003/Volume-1/Pages/Using-
CAATS-to-Support-IS-Audit.aspx.
Shelly, G. B., Woods, D. M., & Dorin, W. J. (2009). HTML: Comprehensive Concepts and Techniques (5th end.). Boston: Cengage Learning.
RIWAYAT PENULIS
Stevani lahir di kota cilacap pada 20 juli 1991. Penulis menamatkan pendidikan S1 di bina nusantara dalam
bidang komputerisasi akuntansi pada tahun 2013.
Maulana triasa lahir di kota medan pada 26 september 1991. Penulis menamatkan pendidikan S1 di bina