PROGRAM STUDI TEKNIK INFORMATIKA
ANALISIS KERENTANAN TERHADAP ANCAMAN
SERANGAN PADA WEBSITE PDAM TIRTA MUSI
PALEMBANG
DODA SAPUTRA AHAD
12142207N
Skripsi Ini Diajukan Sebagai Syarat Memperoleh Gelar Sarjana Komputer Di Universitas Bina Darma
FAKULTAS ILMU KOMPUTER
UNIVERSITAS BINA DARMA
PALEMBANG
2016
ANALISIS KERENTANAN TERHADAP ANCAMAN
SERANGAN PADA WEBSITE PDAM TIRTA MUSI
PALEMBANG
DODA SAPUTRA AHAD
1 2 1 4 2 2 0 7 N
Skripsi ini diajukan sebagai syarat memperoleh gelar Sarjana Komputer
PROGRAM ST UDI I NFORM AT IKA
FAKUL T AS IL MU KO MPUT E R
UNIVE R SIT AS B I NA D ARM A
2 0 16
ANALISIS KERENTANAN TERHADAP ANCAMAN SERANGAN PADA
WEBSITE PDAM TIRTAMUSI PALEMBANG
O L E H :
D O D A S A P U T R A A H A D 1 2 1 4 2 2 0 7 N
Telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer pada Program Studi Informatika
Palembang, Februari 2016 Fakultas Ilmu Komputer
Pembimbing I Universitas Bina Darma
(Muhamad Akbar, M.I.T.) (A. Haidar Mirza, M.Kom.)
Pembimbing II
HALAMAN PERSETUJUAN
Skripsi Berjudul ”Analisis Kerentanan Terhadap Ancaman Serangan Pada
Website PDAM Tirta Musi Palembang” Oleh ”DODA SAPUTRA AHAD”
telah dipertahankan didepan komisi penguji pada hari HARI tanggal TANGGAL BULAN TAHUN.
Komisi Penguji
1. Muhamad Akbar, M.I.T. Ketua (……….)
2. Maria Ulfa, M.Kom. Sekretaris (……….)
3. Leon Andretti Abdilloh, S.Kom. Anggota (……….)
4. Nita Rosa Damayanti, M.Kom. Anggota (...)
Mengetahui,
Program Studi Informatika Fakultas Ilmu Komputer Universitas Bina Darma Ketua,
M O T T O D A N P E R S E M B A H A N
M ot t o :
”jika ingin menjadi orang yang sukses, dengarkanlah orang lain”
K u p e rs e m b ah k an Ke p ad a :
Ay ah d an I bu n d a Te rc in t a
O r an g - or an g y an g k u s a y an g i
d an me n y ay an gik u
S ah a b at -s ah ab at k u
S e s e or an g y an g s e l alu
me n s u p p o rt k u s a mp a i s a at in i
M am a p ap a, c e c e h , a mo y, r ad o
d an t e m an -t e m an s e p e rj u an g a n
s e rt a
m an t a n
y an g
s u d a h
me m be r i
s e man g at
d al a m
p e n ye le s ai an l ap o r an in i.
SURAT PERNYATAAN
Yang bertanda tangan dibawah ini :
Nama : Doda Saputra Ahad
Nim : 12142207N
Fakultas : Ilmu Komputer Program Studi : Informatika
Judul Skripsi : Analisis Kerentanan Terhadap Ancaman Serangan Pada
Website PDAM Tirta Musi Palembang
Menyatakan bahwa skripsi tersebut adalah karya sendiri dan bukan karya orang lain, baik sebagian maupun keseluruhan, kecuali dalam bentuk kutipan yang telah disebutkan sumbernya, serta judul skripsi ini belum pernah di buat oleh mahasiswa Universitas Bina Darma Palembang.
Demikian surat pernyataan ini saya buat dengan sebenar-benarnya dan apabila ternyata ini tidak benar, saya bersedia mendapatkan sangsi akademis.
Palembang, Februari 2016 Yang Menyatakan,
K A T A P E N G A N T A R
Puji syukur saya panjatkan kepada Allah SWT, yang telah memberikan rahmat dan hidayah-Nya sehingga penulis dapat menyelesaikan Skripsi dengan judul “Analisis Kerentanan Terhadap Ancaman Serangan Pada Website PDAM Tirta Musi Palembang”.
Penulis mengucapkan banyak terima kasih kepada :
1. Prof. Dr. Ir. Buchori Rahman, Msc selaku Rektor Unviersitas Bina Darma Palembang.
2. M Izman Herdiansyah ST.MM.Ph.D selaku dekan Ilmu Komputer. 3. A. Haidar Mirza, M.Kom selaku Kepala Program Studi Informatika 4. Muhamad Akbar, M.I.T. selaku dosen pembimbing Akademik 1. 5. Maria Ulfa, M.Kom. selaku dosen pembimbing Akademik 2.
6. Segenap Dosen Fakultas Ilmu Komputer Universitas Bina Darma Palembang
7. Gunawan Sukmawansyah, S.T yang telah menyediakan sarana dan fasilitas dalam penyelesaian skripsi ini.
8. Rekan-rekan Program Studi Informatika Universitas Bina Darma Palembang
9. Kedua orang tuaku yang selalu mendoakan disetiap langkahku.
10. Dan semua pihak yang tidak dapat disebutkan satu persatu yang telah membantu penulisan skripsi ini
Penulis juga menyadari laporan ini banyak kekurangan baik didalam penyusunan maupun penulisan. Oleh karena itu, saran dan kritik sangat penulis harapkan demi kesepurnaan laporan berikutnya.
Akhirnya penulis hanya berharap semoga skripsi ini dapat bermanfaat bagi kita semua. Amin
Palembang, Februari 2016
ABSTRAK
Pada saat ini website merupakan salah satu media informasi yang berkembang sangat cepat. Di dalam sebuah website tidak hanya desain dan informasi yang dipentingkan tetapi aspek keamanan serta celah kerentanan mempunyai peranan penting dalam sebuah website. Kebutuhan untuk mengetahui kerentanan sebuah
website diperlukan untuk melindungi data dari kerusakan dan kehilangan data dan
dari pihak yang tidak bertanggung jawab yang hendak mengakses dan merubah data. Permasalahan yang lain adalah mencakup perlindungan dari berbagai serangan dan gangguan dari luar maupun dalam. Metode yang digunakan pada penelitian tindakan yaitu Action Research. Untuk melakukan analisis keamanan
website, software yang digunakan adalah Acunetix website vulnerability scanner, Netsparker dan Nessus. Penulis mengetahui celah kerentanan/vulnerability apa
saja yang terdapat pada website www.tirtamusi.com dan memberikan solusi kepada PDAM Tirta Musi Palembang dengan hasil analisis yang dilakukan untuk mencegah adanya gangguan berupa serangan terhadap celah yang ada pada
website tersebut.
Keyword : Website, kerentanan website, Vulnerability, Acunetix, Netsparker,
DAFTAR ISI
Halaman
HALAMAN JUDUL ... i
HALAMAN PENGESAHAN ... ii
MOTTO DAN PERSEMBAHAN ... iii
SURAT PERNYATAAN ... iv
KATA PENGANTAR ... v
ABSTRAK ... vii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xii
BAB I PENDAHULUAN 1.1 Latar Belakang ... 1
1.2 Perumusan Masalah ... 2
1.3 Batasan Masalah ... . 3
1.4 Tujuan dan Manfaat Penelitian ... 3
1.4.1 Tujun Penelitian ... 3
1.4.2 Manfaat Penelitian ... 3
1.5 Metode Penelitian 1.5.1 Metode Penelitian Tindakan (Acton Research)... 4
1.5.2 Metode Pengumpulan Data ... . 5
1.5.3 Metode Analisis ... . 6
1.5.4 Metode Analisis Kualitatif dan Penyajian Data ... . 6
1.6 Sistematika Penulisan ... . 8
BAB II TINJAUAN PUSTAKA 2.1 Objek Penelitian ... 10
2.1.1 Sejarah Singkat Perusahaan ... 10
2.1.2 Visi dan Misi Perusahaan ... 14
2.1.3 Sturktur Organisasi PDAM Tirta Musi Palembang ... 15
2.1.4 Management Perusahaan ... 20 2.1.5 Kepegawaian ... 21 2.1.6 Fasilitas Karyawan ... 21 2.1.7 Peraturan Kerja ... 22 2.2 Landasan Teori 2.2.1 Analisis ... 22 2.2.2 Vulnerability ... 23 2.2.3 Web Server ... 25 2.2.4 Web Bug ... 26
2.2.5 CVSS (Common Vulnerability Scoring System ... 27
2.3 Penelitian Sebelumnya ... 28
BAB III ANALISIS DAN PERANCANGAN 3.1 Perancangan 3.1.1 Melakukan Diagnosa Perangkat Keras (Diagnossing) ... 30
3.1.2 Melakukan Rencana Tindakan (Action Planning) ... 30
3.1.2.1 Kebutuhan Perangkat Keras ... 30
3.1.2.2 Kebutuhan Perangkat Lunak ... 30
3.1.2.3 Diagram Alur Kerja ... 31
3.1.2.4 Level Kerentanan/Vulnerability... 32
3.2 Analisis 3.2.1 Melakukan Diagnosa Perangkat Lunak (Diagnossing) ... 33
3.2.1.1 Analisa Exsternal ... 33
3.2.1.2 Analisa Internal ... 34
3.2.1.3 Scanning menggunakan Acunetic ... 35
3.2.1.4 Scanning menggunakan Netsparker ... 37
3.2.1.5 Scanning menggunakan Nessus ... 38
BAB IV HASIL DAN PEMBAHASAN 4.1 Hasil ... 42
4.2 Pembahasan ... 43
4.2.1 Melakukan Tindakan (Action Taking) ... 43
4.2.2 Scanning www.tirtamusi.com dengan Acunetic ... 43
4.2.3 Scanning www.tirtamusi.com dengan Netsparker ... 61
4.2.4 Scanning www.tirtamusi.com dengan Nessus ... 71
4.2.5 Melakukan Evaluasi (Evaluating) ... 74
4.2.6 Evaluasi Hasil Pembahasan ... 74
4.2.7 Pembelajaran (Learning) ... 75
4.2.8 Dokumentasi dan Pelaporan (Documentation and Reporting) ... 75
BAB V KESIMPULAN DAN SARAN 5.1 Kesimpulan ... 77
5.2 Saran ... 78
DAFTAR PUSTAKA ... 79 LAMPIRAN
DAFTAR GAMBAR
Halaman
Gambar 3.1 Diagram Alur Kerja ... 31
Gambar 3.2 Tampilan index pada website PDAM Tirta Musi Palembang .. 33
Gambar 3.3 Tampilan cek tagihan pelanggan ... 34
Gambar 3.4 Tampilan awal scanning menggunakan Acunetic ... 35
Gambar 3.5 Hasil scanning menggunakan Acunetic ... 36
Gambar 3.6 Tampilan awal scanning menggunakan Netsparker ... 37
Gambar 3.7 Hasil scanning menggunakan Netsparker ... 38
Gambar 3.8 Tampilan halaman address untuk mengakses Nessus ... 39
Gambar 3.9 Tampilan Login Nessus ... 39
Gambar 3.10 Gambar tampilan awal scanning menggunakan Nessus ... 40
Gambar 3.11 Hasil scanning menggunakan Nessus ... 41
Gambar 4.1 Hasil scanning menggunakan Acunetic ... 44
Gambar 4.2 Hasil penjelasan Acunetic dari Blind SQL Injection ... 45
Gambar 4.3 Hasil yang menunjukkan Blind Sql injection ... 46
Gambar 4.4 Hasil penjelasan Acunetic dari Cross Site Scripting ... 46
Gambar 4.5 Hasil penjelasan Acunetic dari Miscrosoft IIS tilde directiory . 47 Gambar 4.6 Hasil penjelasan Acunetic dari Sql inejction (verified) ... 48
Gambar 4.7 Hasil penjelasan Acunetic dari Application Error Messagess . 49 Gambar 4.8 Hasil penjelasan AcuneticHTML form without CSRF protection 50
Gambar 4.9 Tampilan website yang rentan terhadap CSRF... 51
Gambar 4.10 Hasil penjelasan Acunetic dari Clickjacking : X-frame option header missing ... 52
Gambar 4.11 Hasil penjelasan Acunetic dari possible virtual host found .... 53
Gambar 4.12 Hasil penjelasan Acunetic dari session cookie without secure flag set ... 54
Gambar 4.13 Hasil penjelasan Acunetic session cookie without secure flag set 55 Gambar 4.14 Hasil penjelasan Acunetic tentang slow respone time ... 56
Gambar 4.15 Hasil tampilan slow respone time pada website ... 57
Gambar 4.16 Hasil penjelasan Acunetic tentnag broken link ... 57
Gambar 4.17 Hasil penjelasan Acunetic tentang GHDB... 58
Gambar 4.18 Hasil dari Acunetic menunjukkan GHDB IIS server ... 59
Gambar 4.19 Hasil dari Acunetic yang menunjukkan GHDB IIS server ... 60
Gambar 4.20 Hasil yang menunjukkan GHDB IIS server ... 60
Gambar 4.21 Hasil scanning menggunakan Netsparker ... 61
Gambar 4.22 Hasil scanning Netsparker yang menunjukkan Sql Injection . 62
Gambar 4.23 Hasil browser yang menunjukkan kerentanan Sql Injection ... 63
Gambar 4.24 Hasil yang menunjukkan adanya Cross Site Scripting... 63
Gambar 4.25 Hasil browser yang menunjukkan Cross Site Scripting…... 64
Gambar 4.26 Hasil dari Netsparker menunjukkan internal server error... 64
Gambar 4.27 Hasil browser dr Netsparker menunjukkan internal server error ... 65
Gambar 4.28 Hasil dari Netsparker yang menunjukkancookie not marked as HtttpOnly... 66
Gambar 4.29 Hasil tampilan browser yang menunjukkan Cookie not marked
as HTTP only... 66
Gambar 4.30 Hasil dari Netsparker menunjukkan option method enable... 67
Gambar 4.31 Hasil dari Netsparker yang menunjukkan missing x-frame options header ... ... 68
Gambar 4.32 Hasil tampilan browser yang menunjukkan missing x-frame option header ... 68
Gambar 4.33 Hasil dari Netsparker menunjukkan programing error Messages ... 69
Gambar 4.34 Tampilan browser yang menunjukkan programing error messagesss ... 69
Gambar 4.35 Hasil tampilan database error messages disclosure ... 70
Gambar 4.36 Tampilan browser menunjukkan database error messages disclosure ... 70
Gambar 4.37 Hasil scanning menggunakan Nessus ... 71
Gambar 4.38 Hasil dari Nessus yang menampilkan Kerio MailServer ... 72
Gambar 4.39 Hasil menunjukkan adanya kerentanan tipe medium ... 73
Gambar 4.40 Hasil dari Nessus yang menampilkan kerio connect ... 73
DAFTAR TABEL
Halaman Tabel 2.1 Score and Value CVSS v3 ... 27 Table 4.1 Celah keamanan dan level kerentanan ... 75
BAB I
PENDAHULUAN
1.1 Latar Belakang
Web/Website merupakan sumber daya internet yang sangat populer dan
dapat diguakan untuk memperoleh informasi, transaksi pembelian barang, diskusi, ataupun untuk keperluan lainnya. Sedangkan Hacking (Hack) merupakan suatu aktifitas mempelajari, menganalisis, memodifikasi, dan menyusup ke dalam sebuah sistem komputer baik untuk keuntungan maupun dimotivasi oleh tantangan. Jika kedua pengertian tersebut digabungkan, maka bisa ditarik kesimpulan bahwa Web-Hacking adalah suatu aktivitas mempelajari, menganalisis, memodifikasi, ataupun menyusup kedalam sebuah sistem komputer yang menggunakan protocol HTTP, yang mana file-file diletakkan kedalam sebuah kompter yang memiliki protocol tersebut (HTTP) yang disebut dengan istilah web server (Jasman, 2015:3).
PDAM Tirta Musi Palembang adalah salah satu badan usaha milik daerah (BUMD) yang bergerak sebagai penyedia air bersih dan menyalurkan kepada masyarakat kota palembang dan sekitarnya. Demi mengutamakan kepuasan pelangggan PDAM Tirta Musi Palembang juga menggunakan situs web untuk berhubungan langsung dengan pelanggan dengan menyediakan fasilitas cek tagihan, pembayaran dan call center yang dapat diakses melalui alamat
Dari hasil wawancara dengan kepala unit bagian PDR (pengolahan data dan rekening) menyebutkan bahwa seringnya terjadi serangan terhadap situs web, dalam hal ini banyak attacker yang mencoba menyerang server dengan cara menyisipkan file Sql Injection setelah sebelumnya melakukan serangan Ddos
(Distributed Denial of Services) agar website tersebut down untuk beberapa
waktu.
Untuk menjaga situs web www.tirtamusi.com agar tetap berjalan sebagaimana mestinya serta mencegah gangguan dari pihak yang tidak bertanggung jawab, peneliti merasa perlu melakukan analisa pada situs web
www.tirtamusi.com, untuk metode penelitian menggunakan metode action
research dan dibantu tools analisis celah kerentanan dengan menggunakan Accunetic Web Vulnerability, Netsparker dan Nessus. Oleh karena itu peneliti
tertarik untuk melakukan penelitian dengan judul “Analisis Kerentanan Terhadap Ancaman Serangan Pada Website PDAM Tirta Musi Palembang” terhadap sistem keamanan untuk melihat kerentanan atau Vulnerability yang ada.
1.2
Perumusan Masalah
Dari latar belakang diatas, maka perumusan masalah dalam penelitian ini adalah bagaimana menganalisa serta menemukan kerentanan pada website PDAM Tirta Musi Palembang dengan menggunakan metode penelitian Action Research serta metode analisis kualitatif dan penyajian data dengan dibantu tools Accunetic
Web Vulnerability, Netsparker, Nessus ?.
1.3
Batasan Masalah
Agar penelitian ini lebih terarah serta tidak menyimpang dari permasalahan yang ada, maka penelitian ini dilakukan sebatas mengetahui celah ataupun Vulnerabilty pada website PDAM Tirta Musi Palembang dengan
menggunakan metode penelitian Action Research dan metode analisis kualitatif dan penyajian data yang dibantu aplikasi tambahan untuk analisis Vulnerabilty menggunakan Accunetic web Vulnerabilty, Netsparker dan Nessus dan mengkatogorikannya sesuai dengan metode CVSS (common vunerability scoring
system).
1.4
Tujuan dan Manfaat Penelitian
1.4.1 Tujuan PenelitianAdapun tujuan dari penelitian ini adalah :
1. Untuk menganalisis celah kerentanan yang ada pada situs PDAM Tirta Musi Palembang
2. Untuk mengetahui jenis kerentanan atau Vulnerability apa saja yang terdapat pada website PDAM Tirta Musi Palembang
1.4.2 Manfaat Penelitian
Adapun manfaat penelitian bagi PDAM Tirta Musi Palembang :
1. Untuk mengetahui celah kerentanan dan Vulnerability apa saja yang terdapat pada situs web www.tirtamusi.com.
2. Agar mengantisipasi terjadinya serangan akibat dari celah yang ada dari hasil analisis yang diberikan.
3. Report dari hasil penelitian ini diharapkan dapat dijadikan sebagai referensi bagi administrator dalam melakukan peningkatan keamanan pada website yang dibangun.
Adapun manfaat dari penelitian ini bagi penulis adalah :
1. Dapat memahami dan menambah ilmu pengetahuan serta wawasan tentang kerentanan website.
2. Untuk mengetahui jenis serangan apa saja yang dapat menyerang sebuah website.
3. Dapat menambah pemahaman tentang keamanan sistem terutama pada
web server
4. Sebagai pembelajaran tentang pentingnya menjaga keamanan suatu
website dari Vulnerability dan serangan yang dapat merusak sistem web itu sendiri
1.5
Metodologi Penelitian
1.5.1 Metodologi Penelitian Tindakan (Action Research)
Menurut Jean Mcniff dan Jack WhiteHead (1988), metode penelitian yang digunakan dalam penelitian ini menggunakan metode penelitan tindakan atau
action research, ada lima tahapan dalam penelitian yang merupakan siklus dari action research, yaitu :
1. Melakukan diagnosa (Diagnosing)
Pada tahapan ini peneliti akan melakukan identifikasi masalah-masalah yaitu diagnosa sistem keamanan pada web server www.tirtamusi.com
2. Membuat rencana tindakan (Action Planning)
Tahapan ini peneliti melakukan pemahaman pokok masalah yang ada dan menyusun rencana tindakan yang tepat untuk menyelesaikan masalah yang ada. Peneliti akan mulai menyusun rencana pengujian yang akan dilakukan pada web server www.tirtamusi.com
Mengimplementasikan rencana tindakan yang telah disusun. Pada langkah ini peneliti mulai melakukan tahapan-tahapan investigasi guna mendapatkan informasi kelemahan sistem dan mengujinya secara langsung dengan menggunakan tipe-tipe ancaman terhadap web server dan objeknya adalah
www.tirtamusi.com
4. Melakukan evaluasi (Evaluating)
Setelah tahapan Action Taking dilaksanakan peneliti mulai melakukan evaluasi pada hasil dari implementasi sebelumnya dan mulai menyimpulkan hasil dari langkah sebelumnya.
5. Pembelajaran (Learning)
Langkah ini merupakan tahap akhir dari penelitian yaitu melakukan review terhadap hasil dari tahapan-tahapan yang telah dilalui.
1.5.2 Metode Pengupulan Data
Dalam penyusunan penelitian ini penulis mengumpulkan data yang dibutuhkan dalam pengujian penetrasi menggunakan metode pengumpulan data sebagai berikut :
1. Pengamatan (Observation)
Peneliti melakukan peninjauan langsung ke PDAM Tirta Musi Palembang khususnya di bagian unit PDR IT yang merupakan bagian teknis di PDAM Tirta Musi Palembang dengan pemilihan, pengubahan, pencatatan dan pengkodean serangkaian perilaku dan suasana berkenaan dengan objek penelitian
Demi mendapatkan informasi dan data-data yang berhubungan dengan penelitian ini maka penulis mengajukan beberapa pertanyaan dan diskusi kepada ketua unit satuan kerja maupun teknisi TI PDAM Tirta Musi Palembang serta jajarannya guna untuk mendapatkan informasi gambaran jaringan web server serta sistem keamanan web server untuk mempermudah penelitian.
3. Studi kepustakaan (Literature)
Data diperoleh melalui studi kepustaka (literature) yaitu dengan mencari bahan dari internet, jurnal dan perpustakaan serta buku yang sesuai dengan objek yang akan diteliti.
1.5 Sisematika Penulisan
Untuk mendapatkan gambaran secara garis besar dalam penulisan penelitian ini, maka penulisan membagi menjadi 5 (Lima) Bab, yaitu :
BAB I PENDAHULUAN
Dalam bab ini dijelaskan mengenai latar belakang penulisan, perumusan masalah, tujuan dan manfaat penelitian, batasan masalah, metodologi penelitian dan sistematika tulisan ilmiah
BAB II TINJAUAN PUSTAKA
Dalam bab ini dijelaskan mengenai sejarah PDAM Tirta Musi Palembang ,landasan teori yang dipakai dalam menyusun kerangka teori dan penelitian sebelumnya untuk menjadi pacuan.
BAB III ANALISIS DAN PERANCANGAN
Dalam bab ini penulis menjelaskan langkah-langkah yang dilakukan dalam pengumpulan data menganalisis sesuai kebutuhan metode penelitian yang digunakan adalah metode penelitian tindakan (Action Research) serta merancang metode analisis (metode kualitatif dan penyajian data).
BAB IV HASIL DAN PEMBAHASAN
Dalam bab ini dijelaskan mengenai hasil dan langkah-langkah pembahasan serta pengujian terhadap website www.tirtamusi.com
BAB V PENUTUP
Dalam bab ini penulis menjelaskan secara garis besar mengenai kesimpulan dan saran dari hasil penelitian.
