PENERAPAN INFORMATION GATHERING BERDASARKAN
OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE
SCRIPTI
Skripsi
oleh
TOAR LUKKI ROGI 22084503
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASI UNIVERSITAS KRISTEN DUTA WACANA
2015
PENERAPAN INFORMATION GATHERING BERDASARKAN
OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE
SCRIPTI
Skripsi
Diajukan kepada Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Duta Wacana
Sebagai Salah Satu Syarat dalam Memperoleh Gelar Sarjana Komputer
Disusun oleh TOAR LUKKI ROGI
22084503
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASI UNIVERSITAS KRISTEN DUTA WACANA
2015
SLIAN SKRIPSI
PERNYATAAN KEASLIAN SKRIPSI
Saya menyatakan dengan sesungguhnya bahwa skripsi dengan judul:
PENERAPAN INFORMATION GATHERING BERDASARKAN OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE
SCRIPTI
yang saya kerjakan untuk melengkapi sebagian persyaratan menjadi Sarjana Komputer pada pendidikan Sarjana Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Duta Wacana, bukan merupakan tiruan atau duplikasi dari skripsi kesarjanaan di lingkungan Universitas Kristen Duta Wacana maupun di Perguruan Tinggi atau instansi manapun, kecuali bagian yang sumber informasinya dicantumkan sebagaimana mestinya.
Jika dikemudian hari didapati bahwa hasil skripsi ini adalah hasil plagiasi atau tiruan dari skripsi lain, saya bersedia dikenai sanksi yakni pencabutan gelar kesarjanaan saya.
Yogyakarta, 28 Januari 2016
TOAR LUKKI ROGI 22084593
HALAMAN PERSETUJUAN
HALAMAN PERSE
TUJUAN
Judul Skripsi : PENERARAPAN INFORMATION GATHERING BERDASARKAN OWASP TESTING GUIDE 2014 V4.4 STUDI KASUS WEBSITE SCRIPTI
Nama Mahasiswa : TOAR LUKKI ROGI
N I M : 22084503
Matakuliah : Skripsi (Tugas Akhir)
Kode : TIW276
Semester : Gasal
Tahun Akademik : 2015/2016
Telah diperiksa dan disetujui di Yogyakarta,
Pada tanggal 28 Januari 2016
Dosen Pembimbing I
Willy Sudiarto Raharjo, SKom.,M.Cs.
Dosen Pembimbing II
Budi Susanto, Skom.,M.T.
HALAMAN PENGESAHAN
PENERAPAN INFORMATION GATHERING BERDASARKAN OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE
SCRIPTI
Oleh: TOAR LUKKI ROGI / 22084503
Dipertahankan di depan Dewan Penguji Skripsi
Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Duta Wacana - Yogyakarta
Dan dinyatakan diterima untuk memenuhi salah satu syarat memperoleh gelar Sarjana Komputer
pada tanggal 7 Januari 2016
Yogyakarta, 28 Januari 2016 Mengesahkan, Dewan Penguji:
1. Willy Sudiarto Raharjo, SKom.,M.Cs. ………
2. Budi Susanto, SKom.,M.T. ………
3. Lukas Chrisantyo, S.Kom., M.Eng. ………
4. Gani Indriyanta, Ir. M.T. ………
Dekan
(Budi Susanto, SKom.,M.T.) Ketua Program Studi
(Gloria Virginia, Ph.D.)
©UKDW
vi KATA PENGANTAR
Puji syukur penulis panjatkan ke hadirat Tuhan Yesus Kristus atas anugerah, berkat, rahmat, dan karunianya sehingga penulis dapat menyelesaikan Tugas Akhir dengan judul “Penerapan Information Gathering Berdasarkan OWASP Testing guide 2014 V4.0 Studi Kasus Website Scripti” dengan baik.
Penulisan laporan ini merupakan kelengkapan dan pemenuhan dari salah satu syarat dalam memperoleh gelar Sarjana Komputer. Selain itu, penulisan laporan Tugas Akhir ini juga bertujuan untuk melatih mahasiswa agar dapat menghasilkan suatu karya yang dapat dipertanggungjawabkan secara ilmiah, sehingga dapat bermanfaat bagi penggunanya.
Dalam menyelesaikan penelitian dan laporan Tugas Akhir ini, penulis telah banyak menerima bimbingan, saran, dan masukkan dari berbagai pihak, baik secara langsung maupun secara tidak langsung. Untuk itu dengan segala kerendahan hati, pada kesempatan ini penulis menyampaikan ucapan terima kasih kepada :
1.
Tuhan Yesus Kristus yang telah menyertai penulis untuk menyelesaikan
penelitian dan penyusunan Laporan Tugas Akhir.
2.
Bapak Willy Sudiarto Raharjo, S.Kom.,M.Cs. selaku dosen pembimbing I
yang telah sabar dalam membimbing penulis dalam mengerjakan
penelitian dan penyusunan laporan Tugas Akhir.
3.
Bapak Budi Susanto, SKom.,M.T. selaku dosen pembimbing II yang
selalu sabar dan baik membimbing penulis dalam mengerjakan penelitian
dan penyusunan laporan Tugas Akhir.
4.
Keluarga dan saudara yang selalu memberikan doa dan semangat kepada
penulis dalam menyelesaikan Tugas Akhir.
5.
Yonathan Bambang dan Tisa Indah Nugraheni selaku bapak gembala dan
ibu gembala yang senantiasa memberikan dukungan kepada penulis dalam
menyelesaikan Tugas Akhir.
6.
Rekan-rekan sepelayanan Gereja Behany Magelang yang dengan tulus
memberikan dukungan, saran, dan, sharing dalam pengerjaan Tugas Akhir
maupun penulisan laporan Tugas Akhir.
vii
7.
Rekan-rekan penulis yang dengan senang hati memberikan arahan, saran,
dan, sharing dalam pengerjaan Tugas Akhir maupun penulisan laporan
Tugas Akhir.
8.
Pihak lain yang tidak dapat penulis sebutkan satu per satu, sehingga Tugas
Akhir ini dapat terselesaikan dengan baik.
Penulis menyadari bahwa penelitian dan laporan Tugas Akhir ini masih jauh dari sempurna. Oleh karena itu, penulis sangat mengharapkan kritik dan saran yang membangun dari pembaca sekalian.
Akhir kata penulis meminta maaf bila ada kesalahan dalam penyusunan laporan maupun sewaktu penulis melakukan penelitian Tugas Akhir. Semoga penelitian dan laporan Tugas Akhir ini dapat berguna bagi kita semua.
Yogyakarta, 28 Januari 2016
Penulis
©UKDW
viii INTISARI
Information Gathering merupakan tahapan bagi seorang penetration testing dalam melakukan pengujian terhadap sistem atau aplikasi. Information Gathering berperan sebagai pijakan awal sebelum penguji melanjutkan ke tahapan ekspoitasi atau penyerangan terhadap sistem atau aplikasi yang menjadi target. Information Gathering pada penelitian ini menggunakan panduan OWASP Testing Guide V4.0 yang memberikan beberapa kontrol yang secara umum dilakukan untuk mendapatkan sebanyak mungkin informasi penting yang berguna bagi penguji untuk melakukan eksploitasi pada sistem atau aplikasi target.
Penelitian ini bertujuan untuk menggali informasi sebanyak mungkin
terkait dengan semua hal dapat diperoleh dari
website
scripti.ukdw.ac.id.melalui
beberapa metode yang telah dipaparkan melalui OWASP Testing Guide V4.0
dengan melibutkan cara secara langsung dan menggunakan beberapa
tool
yang
memiliki fungsi untuk
scanning
dan
fingerprinting
akan teknologi yang ada pada
website
scripti.ukdw.ac.id.
Hasil dari analisa dengan menggunakan metode tersebut memberikan
informasi penting mengenai beberapa kelemahan yang memiliki potensi sebagai
celah keamanan aplikasi
website
tersebut salah satunya ialah versi aplikasi yang
digunakan teridentifikasi memiliki fitur yang yang berpotensi sebagai celah
kelemahan, selain itu penelitian ini memberikan rekomendasi atau saran dalam
pengelolaan
selanjutnya
demi
kelangsungan
layanan
aplikasi
website
scripti.ukdw.ac.id. Penelitian ini memberikan manfaat bagi pengelola dalam
memberikan gambaran terkini mengenai keamanan
website
scripti.ukdw.ac.id,
celah maupun kelemahan yang berpotensi di kemudian hari dapat diantisipasi
dengan hasil analisa yang telah dilakukan pada penelitian ini.
Kata Kunci : Information Gahtering, OWASP, Penetration Testing, Security
©UKDW
ix DAFTAR ISI
HALAMAN JUDUL ... i
PERNYATAAN KEASLIAN SKRIPSI ... iii
HALAMAN PERSETUJUAN ... iv
HALAMAN PENGESAHAN... v
KATA PENGANTAR ... vi
INTISARI ... viii
DAFTAR ISI ... ix
DAFTAR TABEL ... xii
DAFTAR GAMBAR ... xiv
BAB I PENDAHULUAN ... 1 1.1 Latar Belakang ... 1 1.2 Rumusan Masalah ... 2 1.3 Batasan Masalah ... 2 1.4 Tujuan Penelitian ... 2 1.6 Metodologi Penelitian ... 3 1.7 Sistematika Penulisan ... 3
BAB II TINJAUAN PUSTAKA ... 5
2.1 Tinjauan Pustaka.. ... 5
2.2 Landasan Teori ... 6
2.2.1 OWASP ... 6 2.2.2 (OTG-INFO-001) Conduct Search Engine Discovery
x
and Reconnaissance for Information Leakage ... 7
2.2.3 (OTG-INFO-002) Fingerprint Web Server ... 8
2.2.4 (OTG-INFO-003) Review Webserver Metafiles Information Leakage ... 9
2.2.5 (OTG-INFO-004) Enumerate Application Webserver ... 9
2.2.6 (OTG-INFO-005) Review Webpage Comments and Metadata for Information Leakage ... 10
2.2.7 (OTG-INFO-006) Identify Application Entry Points ... 10
2.2.8 (OTG-INFO-007) Map Execution Paths Through Application ... 10
2.2.9 (OTG-INFO-008) Fingerprint Web Application Framework ... 11
2.2.10 (OTG-INFO-009) Fingerprint Web Application ... 11
2.2.11 (OTG-INFO-010) Map Application Architecture ... 12
BAB III PERANCANGAN SISTEM ... 13
3.1 Kebutuhan Sistem ... 13
3.1.1 Kebutuhan Perangkat Lunak ... 13
3.1.2 Kebutuhan Perangkat Keras ... 14
3.1.3 Arsitektur Pengujian Information Gahtering ... 14
3.2 Kontrol dan Proses ... 16
3.2.1 Conduct Search Engine Discovery/Reconnaissance for Information Leakage ... 16
3.2.2 Fingerprint Web Server ... 17
3.2.3 Review Webserver Metafiles for Information Leakage ... 18
©UKDW
xi
3.2.4 Enumerate Application on Webserver ... 19
3.2.5 Review Webpage Comments and Metadata for Information Leakage ... 20
3.2.6 Identify Application Entry Points ... 20
3.2.7 Map Execution Paths Through Application ... 20
3.2.8 Fingerprint Web Application Framework... 21
3.2.9 Fingerprint Web Application ... 21
3.2.10 Map Application Architecture ... 22
BAB IV ANALISIS SISTEM INFORMATION GATHERING ... 23
4.1 Analisis Sistem Kontrol Conduct Search Engine Discovery/ Reconnaisance for Information Leakage ... 23
4.1.1 Informasi yang Diperoleh dari Mesin Pencari (Search Engine) ... 23
4.1.2 Informasi yang Diperoleh dengan Menggunakan Tools ... 27
4.1.3 Analisis Informasi yang Diperoleh ... 30
4.2 Analisis Sistem Kontrol Fingerprint Web Server ... 32
4.2.1 Mengidentifikasi Web Server Dengan Tools ... .. 32
4.3 Analisis Sistem Kontrol Review Webserver Metafiles for Information Leakage ... 36
4.4 Analisis Sistem Kontrol Enumerate Application on Webserver ... 39 4.5 Analisis Sistem Kontrol Review Webpage Comments and
xii
Metadata for Information Leakage ... 44
4.6 Analisis Sistem Kontrol Identify Application Entry Points ... 47
4.7 Analisis Sistem Kontrol Map Execution Paths Through Application ... 54
4.8 Analisis Sistem Kontrol Fingerprint Web Application Framework ... 56
4.9 Analisis Sistem Kontrol Identify Application Entry Points ... 58
4.10 Analisis Sistem Kontrol Map Application Architecture ... 61
Bab V KESIMPULAN DAN SARAN……… ... 63
5.1 Kesimpulan ……. ... 63
5.2 Saran ……. ... 64
DAFTAR PUSTAKA ………. ... 65
xiii DAFTAR TABEL
Tabel 4.1 Hasil Keluaran Mesin Pencari ... 30
Tabel 4.2 Urutan Hasil Keluaran Tiap Mesin Pencari ... 30
Tabel 4.3 Hasil Scan Port Dengan NMap V7.00 ... 40
Tabel 4.4 Daftar Vulnerability Tool Nikto ... 41
Tabel 4.5 Deskripsi Referensi ID Open Source Vulnerability Database ... 44
Tabel 4.6 Informasi Detil Request dan Response ... 49
xiv DAFTAR GAMBAR
Gambar 2.1 Proses Penetration Testing ... 7
Gambar 2.2 Kontrol yang Digunakan Untuk Menguji Selama Pengkajian Pada Information Gathering ... 7
Gambar 3.1 Proses Penetration Testing ... 14
Gambar 3.2 Proses Information Gathering ... 14
Gambar 4.1 Hasil Keluaran Mesin Pencari Google ... 24
Gambar 4.2 Hasil Keluaran Mesin Pencari Google ... 24
Gambar 4.3 Hasil Keluaran Mesin Pencari Bing ... 25
Gambar 4.4 Hasil Keluaran Mesin Pencari Bing ... 25
Gambar 4.5 Hasil Keluaran Mesin Pencari Duck Duck Go ... 26
Gambar 4.6 Hasil Keluaran Mesin Pencari Duck Duck Go ... 26
Gambar 4.7 Hasil Keluaran Mesin Pencari Ixquick... 27
Gambar 4.8 Hasil Keluaran Mesin Pencari Ixquick... 27
Gambar 4.9 Hasil Menggunakan Tool FoundStone SiteDigger V3.0 ... 28
Gambar 4.10 Hasil Menggunakan Tool GoogleHacker 101 ... 28
Gambar 4.11 Hasil Menggunakan Tool GoogleHacker 101 ... 29
Gambar 4.12 Hasil Menggunakan Tool GoogleHacker 101 ... 29
Gambar 4.13 Hasil Fingerprint Httprint ... 32
Gambar 4.14 Hasil Fingerprint Httprint dalam HTML ... 33
Gambar 4.15 Hasil Fingerprint Httprecon ... 33
Gambar 4.16 Hasil Fingerprint Httprecon ... 34
Gambar 4.17 Hasil Fingerprint Netcraft ... 34
©UKDW
xv
Gambar 4.18 Hasil Fingerprint Desenmascarame ... 35
Gambar 4.19 CVE Vulnerabiltiy Statistic Web Server Apache 2.4.16 ... 35
Gambar 4.20 Mendapatkan robots.txt Dengan WGET ... 36
Gambar 4.21 Mendapatkan robots.txt Dengan CURL ... 37
Gambar 4.22 Mendapatkan robots.txt Dengan Web Browser ... 37
Gambar 4.23 Cek robots.txt Web Based Application ... 38
Gambar 4.24 NMap Scanning Command Line ... 39
Gambar 4.25 Nikto Scanning Command Line ... 41
Gambar 4.26 PHP 5 ChangeLog ... 42
Gambar 4.27 Bug#70748 PHP 5.4.45 ... 43
Gambar 4.28 First and End Line Page Source scripti.ukdw.ac.id ... 45
Gambar 4.29 Metadata Dari Web Based Application Desenmascarame ... 46
Gambar 4.30 Monitoring Request Method OWASP ZAP ... 47
Gambar 4.31 Monitoring Request Method OWASP ZAP ... 48
Gambar 4.32 Informasi Request dan Response... 49
Gambar 4.33 Identifikasi Web Application Wappalyzer ... 56
Gambar 4.34 Identifikasi Framework Dari Review Page Source ... 57
Gambar 4.35 Fingerprinting Application Whatweb Running On Kalilinux VMWare ... 58
Gambar 4.36 Deskripsi Parameter Apache ... 58
Gambar 4.37 Deskripsi Parameter Country dan HTML5... 59
Gambar 4.38 Deskripsi Parameter HTTP Server, IP, dan JQuery ... 59
Gambar 4.39 Deskripsi Parameter OpenSSL, PHP, dan SVN ... 59 Gambar 4.40 Deskripsi Parameter Script, Title, X-Power-By, X-UA-
xvi Compatible ... 60 Gambar 4.41 Map Application Architecture ... 61
viii INTISARI
Information Gathering merupakan tahapan bagi seorang penetration testing dalam melakukan pengujian terhadap sistem atau aplikasi. Information Gathering berperan sebagai pijakan awal sebelum penguji melanjutkan ke tahapan ekspoitasi atau penyerangan terhadap sistem atau aplikasi yang menjadi target. Information Gathering pada penelitian ini menggunakan panduan OWASP Testing Guide V4.0 yang memberikan beberapa kontrol yang secara umum dilakukan untuk mendapatkan sebanyak mungkin informasi penting yang berguna bagi penguji untuk melakukan eksploitasi pada sistem atau aplikasi target.
Penelitian ini bertujuan untuk menggali informasi sebanyak mungkin
terkait dengan semua hal dapat diperoleh dari
website
scripti.ukdw.ac.id.melalui
beberapa metode yang telah dipaparkan melalui OWASP Testing Guide V4.0
dengan melibutkan cara secara langsung dan menggunakan beberapa
tool
yang
memiliki fungsi untuk
scanning
dan
fingerprinting
akan teknologi yang ada pada
website
scripti.ukdw.ac.id.
Hasil dari analisa dengan menggunakan metode tersebut memberikan
informasi penting mengenai beberapa kelemahan yang memiliki potensi sebagai
celah keamanan aplikasi
website
tersebut salah satunya ialah versi aplikasi yang
digunakan teridentifikasi memiliki fitur yang yang berpotensi sebagai celah
kelemahan, selain itu penelitian ini memberikan rekomendasi atau saran dalam
pengelolaan
selanjutnya
demi
kelangsungan
layanan
aplikasi
website
scripti.ukdw.ac.id. Penelitian ini memberikan manfaat bagi pengelola dalam
memberikan gambaran terkini mengenai keamanan
website
scripti.ukdw.ac.id,
celah maupun kelemahan yang berpotensi di kemudian hari dapat diantisipasi
dengan hasil analisa yang telah dilakukan pada penelitian ini.
Kata Kunci : Information Gahtering, OWASP, Penetration Testing, Security
©UKDW
1
BAB 1
PENDAHULUAN
1.1
Latar Belakang
Keamanan sebuah sistem atau aplikasi merupakan salah satu faktor
terpenting yang perlu dirancang sedemikian rupa demi melindungi informasi
penting yang menjadi tujuan dilancarkannya serangan oleh pihak tertentu guna
memperoleh suatu informasi dalam sistem atau aplikasi tersebut atau bahkan
memiliki motivasi yang bersifat merugikan yakni untuk melumpuhkan sistem atau
aplikasi agar tidak dapat beroperasi. Bagi seorang penyerang untuk bisa
melakukan sebuah serangan yang ditujukan kepada sebuah sistem tentunya perlu
mengetahui terlebih dahulu informasi apakah yang dimiliki oleh sistem yang
menjadi target. Dari proses pengumpulan informasi inilah penyerang menganalisa
dan memperoleh kesimpulan mengenai celah atau kelemahan sistem tersebut yang
selanjutnya berlanjut pada teknik
Penetration Testing
.
Proses pengumpulan informasi tersebut dapat dilakukan dengan berbagai
cara yakni dengan menggunakan
tools
yang umum seperti
search engine, scanner
,
dengan mengirimkan
request
HTTP sederhana, atau
request
khusus yang
memungkinan aplikasi tersebut membocorkan informasi. Misalnya dengan
memberikan umpan balik berupa pesan kesalahan atau memaparkan versi dan
teknologi yang digunakan pada aplikasi tersebut. Sedangkan
penetration testing
lebih fokus pada sejauh apakah seorang penyerang dapat menyerang dan masuk
ke suatu sistem dengan memanfaatkan beragam kelemahan atau celah yang
ditemukan, salah satunya dengan menggali lebih dalam beragam informasi yang
telah diperoleh dari target yang telah berhasil di eksploitasi.
Dalam kasus ini penulis akan melakukan proses pengumpulan informasi
(
Information Gathering
) dari
website
scripti.ukdw.ac.id yang menjadi studi kasus
untuk melancarkan
Information Gathering
berdasarkan pada
The Open Web
Application Securty Project (OWASP) Testing Guide 2014 V4.0
.
2
1.2
Rumusan Masalah
Berdasarkan latar belakang yang telah dikemukakan di atas, maka
penulis akan melakukan penelitian terkait dengan:
1. Informasi penting terkait dengan kelemahan
website
scripti.ukdw.ac.id
yang dapat digali dengan penggunaan metode Information Gathering
berdasarkan OWASP 2014 V.4.
1.3
Batasan Sistem
Penulis membatasi masalah yakni langkah apa saja yang diperlukan
dalam proses penelitian ini
.
Penulis diasumsikan sebagai penguji (
tester)
dari pihak luar, bukan pihak dalam yang memiliki akun yang teregistrasi
pada
website
scripti. Waktu pengujian yang dilakukan oleh penulis dimulai
pada 12 Oktober 2015 dan berakhir pada 17 Desember 2015.
1.4
Tujuan Penelitian
Penulisan tugas akhir ini bertujuan untuk :
1.
Mengetahui proses pengumpulan informasi (
Information Gathering
)
berdasar OWASP Testing Guide V4.0.
2.
Menilai tingkat kerentanan (
vulnerability
) pada sebuah aplikasi website
setelah dilakukan metode OWASP Tesing Guide V4.0 yaitu pada
website
scripti.ukdw.ac.id.
3.
Memberikan rekomendasi kepada pengelola layanan scripti menghadapi
kelemahan yang dimiliki website scripti.ukdw.ac.id tersebut.
Dengan mengacu pada penelitian ini diharapkan dapat memberikan
kontribusi bagi pihak pengelola
website
scripti.ukdw.ac.id dan juga
gambaran akan hal-hal yang perlu diperhatikan dalam membangun sebuah
aplikasi
website
yang handal dalam mengantisipasi ketika terdapat
serangan berdasar OWASP Testing Guide V4.0.
3
1.5
Metodologi Penelitian
Metode penelitian yang akan digunakan dalam penelitian ini adalah:
1. Metode yang digunakan untuk mengumpulkan data dan informasi
dalam tugas akhir ini dengan studi kasus
website
scripti.ukdw.ac.id
ialah dengan mempelajari metode Information Gathering bedasarkan
OWASP Testing Guide 2014 V4.0,
selanjutya penulis melakukan
proses pengumpulan informasi secara langsung terhadap
website
yang
sudah ditentukan.
2. Konsultasi dengan dosen pembimbing dari awal proses dilakukannya
penelitian sampai selesainya laporan yang dikerjakan.
1.6
Sistematika penulisan
Sistematika laporan tugas akhir ini secara garis besar dapat dituliskan
sebagai berikut:
BAB 1 : Pendahuluan
Berisi latar belakang beserta batasan masalah, tujuan tugas akhir
dan sistematika penulisan.
BAB 2 : Landasan Teori
Berisi teori-teori yang mendasari topik yang telah ditentukan
beserta ilmu-ilmu lain yang mendukung.
BAB 3 : Perancangan Sistem
Berisi tentang langkah yang akan dilakjkan dalam proses
Information Gathering secara umum mulai dari tahap analisa
kontrol awal sampai pada tahap peniliaian dari hasil analisa
penerapan proses Information Gathering terhadap
website
scripti.ukdw.ac.id.
4
BAB 4 : Analisis
Berisi tentang proses Information Gathering secara umum mulai
dari tahap kontrol awal analisa sampai pada tahap kontrol akhir
proses
Information
Gathering
terhadap
website
scripti.ukdw.ac.id.
BAB 5: Kesimpulan dan Saran
Berisi kesimpulan dari hasil analisa menggunakan metode
penerapan Information Gathering berdasarkan OWASP 2014
V.4.0.
63
BAB V
KESIMPULAN DAN SARAN
5.1. Kesimpulan
Berdasarkan
analisa
yang
telah
dilakukan
terhadap
website
scripti.ukdw.ac.id dengan metode
Information Gathering
sesuai dengan OWASP
Testing Guide V4.0, maka diambil kesimpulan sebagai berikut :
1.
Secara umum
website
scripti.ukdw.ac.id pada saat diakses tanpa
melakukan
login
sistem tidak ditemukan masalah atau kelemahan
terkait keamanannya, karena informasi penting yang lebih detil dan
fitur-fitur mengenai sistem hanya dapat diakses lebih lanjut ketika
penguji sudah melakukan
login
ke dalam sistem tersebut.
2.
Informasi mengenai versi PHP 5.4.45 yang digunakan
website
scripti.ukdw.ac.id terdapat
bug
yang telah teridentifikasi dan telah
diumukan melalui situs resminya. Informasi tersebut menjadi sangat
penting karena dapat menjadi celah keamanan bagi aplikasi
website.
64
5.2. Saran
Berdasarkan hasil penelitian
Information Gathering
yang diperoleh,
adapun saran bagi pengelolaan
website
scripti.ukdw.ac.id :
1. Melakukan
upgrade
versi PHP 5.4.45 yang saat ini masih digunakan
untuk mengantisipasi terjadi kerusakan di kemudian hari.
2. Mengikuti
update
yang telah dilakukan oleh tim OWASP untuk
selanjutnya hasil penelitian tersebut dapat digunakan untuk menguji
keamanan sistem atau aplikasi yang dimiliki oleh universitas .
3. Melakukan pengujian berkala terhadap sistem atau aplikasi yang
digunakan oleh pihak universitas, karena hanya dibutuhkan satu celah
untuk dapat merusak suatu sistem atau aplikasi. Keamanan sistem atau
aplikasi merupakan proses yang harus terus dilakukan.
65
DAFTAR PUSTAKA
Huang, Y.-W., Huang, S.-K.,Lin, T.-P., Tsai, Ch.-H. (2003)
Web application
security assessment by fault injection and behavior monitoring
. In:
Proceedings of the 12th international conference on World Wide Web,
May 20-24 (2003).
Hutahaean, I.H. (2004).
Program Bantu Pencarian Kerentanan Web Server
Dengan Memanfaatkan Aplikasi Cgi.
(Undergraduate thesis, Duta Wacana
Christian University, 2004). Retrieved from http://sinta.ukdw.ac.id
Mullins, M. (2005).
Choose the Best Penetration Testing Method for your
Company
. Diakses pada tanggal 24 September 2014, diambil dari alamat
situs
http://www.techrepublic.com/article/choose-the-best-penetration-testing-method-for-yourcompany/5755555
Nilasari, E.S. (2014).
Studi Standar Keamanan Sistem Informasi Berdasarkan Iso
1799.
(Undergraduate thesis, Duta Wacana Christian University, 2014).
Retrieved from http://sinta.ukdw.ac.id
Novianto, W.P. (2011).
Owasp Testing Guide Berbasis Web.
(Undergraduate
thesis, Duta Wacana Christian University, 2011). Retrieved from
http://sinta.ukdw.ac.id
OWASP. (2014.
OWASP Testing Guide 2014 V.4).
[Versi Elektronik].
Diakses
pada
30
Oktober
2014
dari
World
Wide
Web:
https://www.owasp.org.
66