PENERAPAN INFORMATION GATHERING BERDASARKAN

OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE

SCRIPTI

Skripsi

oleh

TOAR LUKKI ROGI 22084503

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASI UNIVERSITAS KRISTEN DUTA WACANA

2015

PENERAPAN INFORMATION GATHERING BERDASARKAN

OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE

SCRIPTI

Skripsi

Diajukan kepada Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Duta Wacana

Sebagai Salah Satu Syarat dalam Memperoleh Gelar Sarjana Komputer

Disusun oleh TOAR LUKKI ROGI

22084503

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASI UNIVERSITAS KRISTEN DUTA WACANA

2015

SLIAN SKRIPSI

PERNYATAAN KEASLIAN SKRIPSI

Saya menyatakan dengan sesungguhnya bahwa skripsi dengan judul:

PENERAPAN INFORMATION GATHERING BERDASARKAN OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE

SCRIPTI

yang saya kerjakan untuk melengkapi sebagian persyaratan menjadi Sarjana Komputer pada pendidikan Sarjana Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Duta Wacana, bukan merupakan tiruan atau duplikasi dari skripsi kesarjanaan di lingkungan Universitas Kristen Duta Wacana maupun di Perguruan Tinggi atau instansi manapun, kecuali bagian yang sumber informasinya dicantumkan sebagaimana mestinya.

Jika dikemudian hari didapati bahwa hasil skripsi ini adalah hasil plagiasi atau tiruan dari skripsi lain, saya bersedia dikenai sanksi yakni pencabutan gelar kesarjanaan saya.

Yogyakarta, 28 Januari 2016

TOAR LUKKI ROGI 22084593

HALAMAN PERSETUJUAN

HALAMAN PERSE

TUJUAN

Judul Skripsi : PENERARAPAN INFORMATION GATHERING BERDASARKAN OWASP TESTING GUIDE 2014 V4.4 STUDI KASUS WEBSITE SCRIPTI

Nama Mahasiswa : TOAR LUKKI ROGI

N I M : 22084503

Matakuliah : Skripsi (Tugas Akhir)

Kode : TIW276

Semester : Gasal

Tahun Akademik : 2015/2016

Telah diperiksa dan disetujui di Yogyakarta,

Pada tanggal 28 Januari 2016

Dosen Pembimbing I

Willy Sudiarto Raharjo, SKom.,M.Cs.

Dosen Pembimbing II

Budi Susanto, Skom.,M.T.

HALAMAN PENGESAHAN

PENERAPAN INFORMATION GATHERING BERDASARKAN OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE

SCRIPTI

Oleh: TOAR LUKKI ROGI / 22084503

Dipertahankan di depan Dewan Penguji Skripsi

Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Duta Wacana - Yogyakarta

Dan dinyatakan diterima untuk memenuhi salah satu syarat memperoleh gelar Sarjana Komputer

pada tanggal 7 Januari 2016

Yogyakarta, 28 Januari 2016 Mengesahkan, Dewan Penguji:

1. Willy Sudiarto Raharjo, SKom.,M.Cs. ………

2. Budi Susanto, SKom.,M.T. ………

3. Lukas Chrisantyo, S.Kom., M.Eng. ………

4. Gani Indriyanta, Ir. M.T. ………

Dekan

(Budi Susanto, SKom.,M.T.) Ketua Program Studi

(Gloria Virginia, Ph.D.)

©UKDW

vi KATA PENGANTAR

Puji syukur penulis panjatkan ke hadirat Tuhan Yesus Kristus atas anugerah, berkat, rahmat, dan karunianya sehingga penulis dapat menyelesaikan Tugas Akhir dengan judul “Penerapan Information Gathering Berdasarkan OWASP Testing guide 2014 V4.0 Studi Kasus Website Scripti” dengan baik.

Penulisan laporan ini merupakan kelengkapan dan pemenuhan dari salah satu syarat dalam memperoleh gelar Sarjana Komputer. Selain itu, penulisan laporan Tugas Akhir ini juga bertujuan untuk melatih mahasiswa agar dapat menghasilkan suatu karya yang dapat dipertanggungjawabkan secara ilmiah, sehingga dapat bermanfaat bagi penggunanya.

Dalam menyelesaikan penelitian dan laporan Tugas Akhir ini, penulis telah banyak menerima bimbingan, saran, dan masukkan dari berbagai pihak, baik secara langsung maupun secara tidak langsung. Untuk itu dengan segala kerendahan hati, pada kesempatan ini penulis menyampaikan ucapan terima kasih kepada :

1.

Tuhan Yesus Kristus yang telah menyertai penulis untuk menyelesaikan

penelitian dan penyusunan Laporan Tugas Akhir.

2.

Bapak Willy Sudiarto Raharjo, S.Kom.,M.Cs. selaku dosen pembimbing I

yang telah sabar dalam membimbing penulis dalam mengerjakan

penelitian dan penyusunan laporan Tugas Akhir.

3.

Bapak Budi Susanto, SKom.,M.T. selaku dosen pembimbing II yang

selalu sabar dan baik membimbing penulis dalam mengerjakan penelitian

dan penyusunan laporan Tugas Akhir.

4.

Keluarga dan saudara yang selalu memberikan doa dan semangat kepada

penulis dalam menyelesaikan Tugas Akhir.

5.

Yonathan Bambang dan Tisa Indah Nugraheni selaku bapak gembala dan

ibu gembala yang senantiasa memberikan dukungan kepada penulis dalam

menyelesaikan Tugas Akhir.

6.

Rekan-rekan sepelayanan Gereja Behany Magelang yang dengan tulus

memberikan dukungan, saran, dan, sharing dalam pengerjaan Tugas Akhir

maupun penulisan laporan Tugas Akhir.

vii

7.

Rekan-rekan penulis yang dengan senang hati memberikan arahan, saran,

dan, sharing dalam pengerjaan Tugas Akhir maupun penulisan laporan

Tugas Akhir.

8.

Pihak lain yang tidak dapat penulis sebutkan satu per satu, sehingga Tugas

Akhir ini dapat terselesaikan dengan baik.

Penulis menyadari bahwa penelitian dan laporan Tugas Akhir ini masih jauh dari sempurna. Oleh karena itu, penulis sangat mengharapkan kritik dan saran yang membangun dari pembaca sekalian.

Akhir kata penulis meminta maaf bila ada kesalahan dalam penyusunan laporan maupun sewaktu penulis melakukan penelitian Tugas Akhir. Semoga penelitian dan laporan Tugas Akhir ini dapat berguna bagi kita semua.

Yogyakarta, 28 Januari 2016

Penulis

©UKDW

viii INTISARI

Information Gathering merupakan tahapan bagi seorang penetration testing dalam melakukan pengujian terhadap sistem atau aplikasi. Information Gathering berperan sebagai pijakan awal sebelum penguji melanjutkan ke tahapan ekspoitasi atau penyerangan terhadap sistem atau aplikasi yang menjadi target. Information Gathering pada penelitian ini menggunakan panduan OWASP Testing Guide V4.0 yang memberikan beberapa kontrol yang secara umum dilakukan untuk mendapatkan sebanyak mungkin informasi penting yang berguna bagi penguji untuk melakukan eksploitasi pada sistem atau aplikasi target.

Penelitian ini bertujuan untuk menggali informasi sebanyak mungkin

terkait dengan semua hal dapat diperoleh dari

website

scripti.ukdw.ac.id.melalui

beberapa metode yang telah dipaparkan melalui OWASP Testing Guide V4.0

dengan melibutkan cara secara langsung dan menggunakan beberapa

tool

yang

memiliki fungsi untuk

scanning

dan

fingerprinting

akan teknologi yang ada pada

website

scripti.ukdw.ac.id.

Hasil dari analisa dengan menggunakan metode tersebut memberikan

informasi penting mengenai beberapa kelemahan yang memiliki potensi sebagai

celah keamanan aplikasi

website

tersebut salah satunya ialah versi aplikasi yang

digunakan teridentifikasi memiliki fitur yang yang berpotensi sebagai celah

kelemahan, selain itu penelitian ini memberikan rekomendasi atau saran dalam

pengelolaan

selanjutnya

demi

kelangsungan

layanan

aplikasi

website

scripti.ukdw.ac.id. Penelitian ini memberikan manfaat bagi pengelola dalam

memberikan gambaran terkini mengenai keamanan

website

scripti.ukdw.ac.id,

celah maupun kelemahan yang berpotensi di kemudian hari dapat diantisipasi

dengan hasil analisa yang telah dilakukan pada penelitian ini.

Kata Kunci : Information Gahtering, OWASP, Penetration Testing, Security

©UKDW

ix DAFTAR ISI

HALAMAN JUDUL ... i

PERNYATAAN KEASLIAN SKRIPSI ... iii

HALAMAN PERSETUJUAN ... iv

HALAMAN PENGESAHAN... v

KATA PENGANTAR ... vi

INTISARI ... viii

DAFTAR ISI ... ix

DAFTAR TABEL ... xii

DAFTAR GAMBAR ... xiv

BAB I PENDAHULUAN ... 1 1.1 Latar Belakang ... 1 1.2 Rumusan Masalah ... 2 1.3 Batasan Masalah ... 2 1.4 Tujuan Penelitian ... 2 1.6 Metodologi Penelitian ... 3 1.7 Sistematika Penulisan ... 3

BAB II TINJAUAN PUSTAKA ... 5

2.1 Tinjauan Pustaka.. ... 5

2.2 Landasan Teori ... 6

2.2.1 OWASP ... 6 2.2.2 (OTG-INFO-001) Conduct Search Engine Discovery

x

and Reconnaissance for Information Leakage ... 7

2.2.3 (OTG-INFO-002) Fingerprint Web Server ... 8

2.2.4 (OTG-INFO-003) Review Webserver Metafiles Information Leakage ... 9

2.2.5 (OTG-INFO-004) Enumerate Application Webserver ... 9

2.2.6 (OTG-INFO-005) Review Webpage Comments and Metadata for Information Leakage ... 10

2.2.7 (OTG-INFO-006) Identify Application Entry Points ... 10

2.2.8 (OTG-INFO-007) Map Execution Paths Through Application ... 10

2.2.9 (OTG-INFO-008) Fingerprint Web Application Framework ... 11

2.2.10 (OTG-INFO-009) Fingerprint Web Application ... 11

2.2.11 (OTG-INFO-010) Map Application Architecture ... 12

BAB III PERANCANGAN SISTEM ... 13

3.1 Kebutuhan Sistem ... 13

3.1.1 Kebutuhan Perangkat Lunak ... 13

3.1.2 Kebutuhan Perangkat Keras ... 14

3.1.3 Arsitektur Pengujian Information Gahtering ... 14

3.2 Kontrol dan Proses ... 16

3.2.1 Conduct Search Engine Discovery/Reconnaissance for Information Leakage ... 16

3.2.2 Fingerprint Web Server ... 17

3.2.3 Review Webserver Metafiles for Information Leakage ... 18

©UKDW

xi

3.2.4 Enumerate Application on Webserver ... 19

3.2.5 Review Webpage Comments and Metadata for Information Leakage ... 20

3.2.6 Identify Application Entry Points ... 20

3.2.7 Map Execution Paths Through Application ... 20

3.2.8 Fingerprint Web Application Framework... 21

3.2.9 Fingerprint Web Application ... 21

3.2.10 Map Application Architecture ... 22

BAB IV ANALISIS SISTEM INFORMATION GATHERING ... 23

4.1 Analisis Sistem Kontrol Conduct Search Engine Discovery/ Reconnaisance for Information Leakage ... 23

4.1.1 Informasi yang Diperoleh dari Mesin Pencari (Search Engine) ... 23

4.1.2 Informasi yang Diperoleh dengan Menggunakan Tools ... 27

4.1.3 Analisis Informasi yang Diperoleh ... 30

4.2 Analisis Sistem Kontrol Fingerprint Web Server ... 32

4.2.1 Mengidentifikasi Web Server Dengan Tools ... .. 32

4.3 Analisis Sistem Kontrol Review Webserver Metafiles for Information Leakage ... 36

4.4 Analisis Sistem Kontrol Enumerate Application on Webserver ... 39 4.5 Analisis Sistem Kontrol Review Webpage Comments and

xii

Metadata for Information Leakage ... 44

4.6 Analisis Sistem Kontrol Identify Application Entry Points ... 47

4.7 Analisis Sistem Kontrol Map Execution Paths Through Application ... 54

4.8 Analisis Sistem Kontrol Fingerprint Web Application Framework ... 56

4.9 Analisis Sistem Kontrol Identify Application Entry Points ... 58

4.10 Analisis Sistem Kontrol Map Application Architecture ... 61

Bab V KESIMPULAN DAN SARAN……… ... 63

5.1 Kesimpulan ……. ... 63

5.2 Saran ……. ... 64

DAFTAR PUSTAKA ………. ... 65

xiii DAFTAR TABEL

Tabel 4.1 Hasil Keluaran Mesin Pencari ... 30

Tabel 4.2 Urutan Hasil Keluaran Tiap Mesin Pencari ... 30

Tabel 4.3 Hasil Scan Port Dengan NMap V7.00 ... 40

Tabel 4.4 Daftar Vulnerability Tool Nikto ... 41

Tabel 4.5 Deskripsi Referensi ID Open Source Vulnerability Database ... 44

Tabel 4.6 Informasi Detil Request dan Response ... 49

xiv DAFTAR GAMBAR

Gambar 2.1 Proses Penetration Testing ... 7

Gambar 2.2 Kontrol yang Digunakan Untuk Menguji Selama Pengkajian Pada Information Gathering ... 7

Gambar 3.1 Proses Penetration Testing ... 14

Gambar 3.2 Proses Information Gathering ... 14

Gambar 4.1 Hasil Keluaran Mesin Pencari Google ... 24

Gambar 4.2 Hasil Keluaran Mesin Pencari Google ... 24

Gambar 4.3 Hasil Keluaran Mesin Pencari Bing ... 25

Gambar 4.4 Hasil Keluaran Mesin Pencari Bing ... 25

Gambar 4.5 Hasil Keluaran Mesin Pencari Duck Duck Go ... 26

Gambar 4.6 Hasil Keluaran Mesin Pencari Duck Duck Go ... 26

Gambar 4.7 Hasil Keluaran Mesin Pencari Ixquick... 27

Gambar 4.8 Hasil Keluaran Mesin Pencari Ixquick... 27

Gambar 4.9 Hasil Menggunakan Tool FoundStone SiteDigger V3.0 ... 28

Gambar 4.10 Hasil Menggunakan Tool GoogleHacker 101 ... 28

Gambar 4.11 Hasil Menggunakan Tool GoogleHacker 101 ... 29

Gambar 4.12 Hasil Menggunakan Tool GoogleHacker 101 ... 29

Gambar 4.13 Hasil Fingerprint Httprint ... 32

Gambar 4.14 Hasil Fingerprint Httprint dalam HTML ... 33

Gambar 4.15 Hasil Fingerprint Httprecon ... 33

Gambar 4.16 Hasil Fingerprint Httprecon ... 34

Gambar 4.17 Hasil Fingerprint Netcraft ... 34

©UKDW

xv

Gambar 4.18 Hasil Fingerprint Desenmascarame ... 35

Gambar 4.19 CVE Vulnerabiltiy Statistic Web Server Apache 2.4.16 ... 35

Gambar 4.20 Mendapatkan robots.txt Dengan WGET ... 36

Gambar 4.21 Mendapatkan robots.txt Dengan CURL ... 37

Gambar 4.22 Mendapatkan robots.txt Dengan Web Browser ... 37

Gambar 4.23 Cek robots.txt Web Based Application ... 38

Gambar 4.24 NMap Scanning Command Line ... 39

Gambar 4.25 Nikto Scanning Command Line ... 41

Gambar 4.26 PHP 5 ChangeLog ... 42

Gambar 4.27 Bug#70748 PHP 5.4.45 ... 43

Gambar 4.28 First and End Line Page Source scripti.ukdw.ac.id ... 45

Gambar 4.29 Metadata Dari Web Based Application Desenmascarame ... 46

Gambar 4.30 Monitoring Request Method OWASP ZAP ... 47

Gambar 4.31 Monitoring Request Method OWASP ZAP ... 48

Gambar 4.32 Informasi Request dan Response... 49

Gambar 4.33 Identifikasi Web Application Wappalyzer ... 56

Gambar 4.34 Identifikasi Framework Dari Review Page Source ... 57

Gambar 4.35 Fingerprinting Application Whatweb Running On Kalilinux VMWare ... 58

Gambar 4.36 Deskripsi Parameter Apache ... 58

Gambar 4.37 Deskripsi Parameter Country dan HTML5... 59

Gambar 4.38 Deskripsi Parameter HTTP Server, IP, dan JQuery ... 59

Gambar 4.39 Deskripsi Parameter OpenSSL, PHP, dan SVN ... 59 Gambar 4.40 Deskripsi Parameter Script, Title, X-Power-By, X-UA-

xvi Compatible ... 60 Gambar 4.41 Map Application Architecture ... 61

viii INTISARI

Information Gathering merupakan tahapan bagi seorang penetration testing dalam melakukan pengujian terhadap sistem atau aplikasi. Information Gathering berperan sebagai pijakan awal sebelum penguji melanjutkan ke tahapan ekspoitasi atau penyerangan terhadap sistem atau aplikasi yang menjadi target. Information Gathering pada penelitian ini menggunakan panduan OWASP Testing Guide V4.0 yang memberikan beberapa kontrol yang secara umum dilakukan untuk mendapatkan sebanyak mungkin informasi penting yang berguna bagi penguji untuk melakukan eksploitasi pada sistem atau aplikasi target.

Penelitian ini bertujuan untuk menggali informasi sebanyak mungkin

terkait dengan semua hal dapat diperoleh dari

website

scripti.ukdw.ac.id.melalui

beberapa metode yang telah dipaparkan melalui OWASP Testing Guide V4.0

dengan melibutkan cara secara langsung dan menggunakan beberapa

tool

yang

memiliki fungsi untuk

scanning

dan

fingerprinting

akan teknologi yang ada pada

website

scripti.ukdw.ac.id.

Hasil dari analisa dengan menggunakan metode tersebut memberikan

informasi penting mengenai beberapa kelemahan yang memiliki potensi sebagai

celah keamanan aplikasi

website

tersebut salah satunya ialah versi aplikasi yang

digunakan teridentifikasi memiliki fitur yang yang berpotensi sebagai celah

kelemahan, selain itu penelitian ini memberikan rekomendasi atau saran dalam

pengelolaan

selanjutnya

demi

kelangsungan

layanan

aplikasi

website

scripti.ukdw.ac.id. Penelitian ini memberikan manfaat bagi pengelola dalam

memberikan gambaran terkini mengenai keamanan

website

scripti.ukdw.ac.id,

celah maupun kelemahan yang berpotensi di kemudian hari dapat diantisipasi

dengan hasil analisa yang telah dilakukan pada penelitian ini.

Kata Kunci : Information Gahtering, OWASP, Penetration Testing, Security

©UKDW

1

BAB 1

PENDAHULUAN

1.1

Latar Belakang

Keamanan sebuah sistem atau aplikasi merupakan salah satu faktor

terpenting yang perlu dirancang sedemikian rupa demi melindungi informasi

penting yang menjadi tujuan dilancarkannya serangan oleh pihak tertentu guna

memperoleh suatu informasi dalam sistem atau aplikasi tersebut atau bahkan

memiliki motivasi yang bersifat merugikan yakni untuk melumpuhkan sistem atau

aplikasi agar tidak dapat beroperasi. Bagi seorang penyerang untuk bisa

melakukan sebuah serangan yang ditujukan kepada sebuah sistem tentunya perlu

mengetahui terlebih dahulu informasi apakah yang dimiliki oleh sistem yang

menjadi target. Dari proses pengumpulan informasi inilah penyerang menganalisa

dan memperoleh kesimpulan mengenai celah atau kelemahan sistem tersebut yang

selanjutnya berlanjut pada teknik

Penetration Testing

.

Proses pengumpulan informasi tersebut dapat dilakukan dengan berbagai

cara yakni dengan menggunakan

tools

yang umum seperti

search engine, scanner

,

dengan mengirimkan

request

HTTP sederhana, atau

request

khusus yang

memungkinan aplikasi tersebut membocorkan informasi. Misalnya dengan

memberikan umpan balik berupa pesan kesalahan atau memaparkan versi dan

teknologi yang digunakan pada aplikasi tersebut. Sedangkan

penetration testing

lebih fokus pada sejauh apakah seorang penyerang dapat menyerang dan masuk

ke suatu sistem dengan memanfaatkan beragam kelemahan atau celah yang

ditemukan, salah satunya dengan menggali lebih dalam beragam informasi yang

telah diperoleh dari target yang telah berhasil di eksploitasi.

Dalam kasus ini penulis akan melakukan proses pengumpulan informasi

(

Information Gathering

) dari

website

scripti.ukdw.ac.id yang menjadi studi kasus

untuk melancarkan

Information Gathering

berdasarkan pada

The Open Web

Application Securty Project (OWASP) Testing Guide 2014 V4.0

.

2

1.2

Rumusan Masalah

Berdasarkan latar belakang yang telah dikemukakan di atas, maka

penulis akan melakukan penelitian terkait dengan:

1. Informasi penting terkait dengan kelemahan

website

scripti.ukdw.ac.id

yang dapat digali dengan penggunaan metode Information Gathering

berdasarkan OWASP 2014 V.4.

1.3

Batasan Sistem

Penulis membatasi masalah yakni langkah apa saja yang diperlukan

dalam proses penelitian ini

.

Penulis diasumsikan sebagai penguji (

tester)

dari pihak luar, bukan pihak dalam yang memiliki akun yang teregistrasi

pada

website

scripti. Waktu pengujian yang dilakukan oleh penulis dimulai

pada 12 Oktober 2015 dan berakhir pada 17 Desember 2015.

1.4

Tujuan Penelitian

Penulisan tugas akhir ini bertujuan untuk :

1.

Mengetahui proses pengumpulan informasi (

Information Gathering

)

berdasar OWASP Testing Guide V4.0.

2.

Menilai tingkat kerentanan (

vulnerability

) pada sebuah aplikasi website

setelah dilakukan metode OWASP Tesing Guide V4.0 yaitu pada

website

scripti.ukdw.ac.id.

3.

Memberikan rekomendasi kepada pengelola layanan scripti menghadapi

kelemahan yang dimiliki website scripti.ukdw.ac.id tersebut.

Dengan mengacu pada penelitian ini diharapkan dapat memberikan

kontribusi bagi pihak pengelola

website

scripti.ukdw.ac.id dan juga

gambaran akan hal-hal yang perlu diperhatikan dalam membangun sebuah

aplikasi

website

yang handal dalam mengantisipasi ketika terdapat

serangan berdasar OWASP Testing Guide V4.0.

3

1.5

Metodologi Penelitian

Metode penelitian yang akan digunakan dalam penelitian ini adalah:

1. Metode yang digunakan untuk mengumpulkan data dan informasi

dalam tugas akhir ini dengan studi kasus

website

scripti.ukdw.ac.id

ialah dengan mempelajari metode Information Gathering bedasarkan

OWASP Testing Guide 2014 V4.0,

selanjutya penulis melakukan

proses pengumpulan informasi secara langsung terhadap

website

yang

sudah ditentukan.

2. Konsultasi dengan dosen pembimbing dari awal proses dilakukannya

penelitian sampai selesainya laporan yang dikerjakan.

1.6

Sistematika penulisan

Sistematika laporan tugas akhir ini secara garis besar dapat dituliskan

sebagai berikut:

BAB 1 : Pendahuluan

Berisi latar belakang beserta batasan masalah, tujuan tugas akhir

dan sistematika penulisan.

BAB 2 : Landasan Teori

Berisi teori-teori yang mendasari topik yang telah ditentukan

beserta ilmu-ilmu lain yang mendukung.

BAB 3 : Perancangan Sistem

Berisi tentang langkah yang akan dilakjkan dalam proses

Information Gathering secara umum mulai dari tahap analisa

kontrol awal sampai pada tahap peniliaian dari hasil analisa

penerapan proses Information Gathering terhadap

website

scripti.ukdw.ac.id.

4

BAB 4 : Analisis

Berisi tentang proses Information Gathering secara umum mulai

dari tahap kontrol awal analisa sampai pada tahap kontrol akhir

proses

Information

Gathering

terhadap

website

scripti.ukdw.ac.id.

BAB 5: Kesimpulan dan Saran

Berisi kesimpulan dari hasil analisa menggunakan metode

penerapan Information Gathering berdasarkan OWASP 2014

V.4.0.

63

BAB V

KESIMPULAN DAN SARAN

5.1. Kesimpulan

Berdasarkan

analisa

yang

telah

dilakukan

terhadap

website

scripti.ukdw.ac.id dengan metode

Information Gathering

sesuai dengan OWASP

Testing Guide V4.0, maka diambil kesimpulan sebagai berikut :

1.

Secara umum

website

scripti.ukdw.ac.id pada saat diakses tanpa

melakukan

login

sistem tidak ditemukan masalah atau kelemahan

terkait keamanannya, karena informasi penting yang lebih detil dan

fitur-fitur mengenai sistem hanya dapat diakses lebih lanjut ketika

penguji sudah melakukan

login

ke dalam sistem tersebut.

2.

Informasi mengenai versi PHP 5.4.45 yang digunakan

website

scripti.ukdw.ac.id terdapat

bug

yang telah teridentifikasi dan telah

diumukan melalui situs resminya. Informasi tersebut menjadi sangat

penting karena dapat menjadi celah keamanan bagi aplikasi

website.

64

5.2. Saran

Berdasarkan hasil penelitian

Information Gathering

yang diperoleh,

adapun saran bagi pengelolaan

website

scripti.ukdw.ac.id :

1. Melakukan

upgrade

versi PHP 5.4.45 yang saat ini masih digunakan

untuk mengantisipasi terjadi kerusakan di kemudian hari.

2. Mengikuti

update

yang telah dilakukan oleh tim OWASP untuk

selanjutnya hasil penelitian tersebut dapat digunakan untuk menguji

keamanan sistem atau aplikasi yang dimiliki oleh universitas .

3. Melakukan pengujian berkala terhadap sistem atau aplikasi yang

digunakan oleh pihak universitas, karena hanya dibutuhkan satu celah

untuk dapat merusak suatu sistem atau aplikasi. Keamanan sistem atau

aplikasi merupakan proses yang harus terus dilakukan.

65

DAFTAR PUSTAKA

Huang, Y.-W., Huang, S.-K.,Lin, T.-P., Tsai, Ch.-H. (2003)

Web application

security assessment by fault injection and behavior monitoring

. In:

Proceedings of the 12th international conference on World Wide Web,

May 20-24 (2003).

Hutahaean, I.H. (2004).

Program Bantu Pencarian Kerentanan Web Server

Dengan Memanfaatkan Aplikasi Cgi.

(Undergraduate thesis, Duta Wacana

Christian University, 2004). Retrieved from http://sinta.ukdw.ac.id

Mullins, M. (2005).

Choose the Best Penetration Testing Method for your

Company

. Diakses pada tanggal 24 September 2014, diambil dari alamat

situs

http://www.techrepublic.com/article/choose-the-best-penetration-testing-method-for-yourcompany/5755555

Nilasari, E.S. (2014).

Studi Standar Keamanan Sistem Informasi Berdasarkan Iso

1799.

(Undergraduate thesis, Duta Wacana Christian University, 2014).

Retrieved from http://sinta.ukdw.ac.id

Novianto, W.P. (2011).

Owasp Testing Guide Berbasis Web.

(Undergraduate

thesis, Duta Wacana Christian University, 2011). Retrieved from

http://sinta.ukdw.ac.id

OWASP. (2014.

OWASP Testing Guide 2014 V.4).

[Versi Elektronik].

Diakses

pada

30

Oktober

2014

dari

World

Wide

Web:

https://www.owasp.org.

66

Shewmaker, J. (2008).

Introduction to Penetration Testing

[Versi Elektronik].

Diakses

pada

24

September

2014

dari

World

Wide

Web:

http://www.dts.ca.gov/pdf/news_events/SANS_Institute-Introduction_to_Network_Penetration_Testing.pdf, accessed on Nov. 23,

2011

Su, Zh., Wassermann, G. (2006).

The essence of command injection attacks in

web applications

. In: ACM SIGPLAN Notices, vol. 41, no.1, pp. 372-382.

Syafrizal, M. (2005).

Pengantar Jaringan Komputer

. ANDI offset,

Yogyakarta.

Wiegenstein, A., Weidemann, F., Schumacher, M., Schinzel, S. (2006).

Web

Application Vulnerability Scanners - a Benchmark

. Virtual Forge GmbH.