JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print) 1

Abstrak— Semakin kompleks dan terhubungnya infrastruktur

digital dengan dunia global, kesulitan untuk mencapai keamanan aplikasi menjadi meningkat secara eksponensial. Dalam hal ini masalah keamanan yang sederhana tentunya tidak dapat ditoleransi lagi dimana aplikasi web telah banyak bertebaran di internet. Oleh karena hal itu, maka para developer menjadi lalai

dalam membuat sistem aplikasi yang aman. Masalah tentang celah keamanan ini terjadi karena kurangnya kesadaran para developer untuk mengikuti standar penanganan sistem keamanan pada aplikasi web. Untuk itu diharapkan perlu ada nya suatu sistem yang bisa menjadi acuan sebagai pengetahuan dalam memahami celah keamanan yang dimaksud. Dalam penelitian ini telah dibuat sebuah prototype web yang berfungsi

mensimulasikan sepuluh celah keamanan berdasarkan OWASP top 10 2013. OWASP adalah suatu organisasi yang mengatur kebijakan standar keamanan pada aplikasi web. OWASP ini sendiri mempunyai metode yang disebut dengan OWASP

framework. Pada prototype ini kemudian dilakukan penetrasi untuk mengetahui celah keamanan yang ada berdasar pada standar OWASP framework. Dari hasil penetrasi kemudian

dianalisa untuk mendapatkan solusi dari celah kemananan yang ditemukan.

Hasil yang diperoleh yaitu celah keamanan yang sering terjadi pada web yaitu terjadi pada celah keamanan “penggunaan komponen yang sudah diketahui kelemahannya” dan juga “kelemahan pada level akses control”. Dua celah keamanan ini dapat dicegah dengan melakukan review kode sumber aplikasi

apakah mengandung celah keamanan atau tidak sesuai dengan standar OWASP. Apabila aplikasi tergantung pada framework

dan atau komponen maka diusahakan komponen tersebut selalu diperbaharui sesuai dengan security release yang telah

diterbitkan vendor.

Kata Kunci— hacking, web, OWASP, database, pentration test.

I. PENDAHULUAN

engan adanya kemudahan internet yang menjadi bagian virtual dari dunia nyata dimana banyak tempat didalamnya sebagai penyedia berbagai bermacam layanan, tentunya terdapat keuntungan dan kerugian serta kebaikan dan keburukan. Internet seolah menjadi satu dunia sendiri yang mempunyai cara kerja dan informasi data yang terus mengalir dengan sangat cepat. Selanjutnya Berbagai macam penyedia layanan tersebut dimplemetasikan dalam bentuk aplikasi web. Perangkat lunak yang tidak aman telah menjadi suatu ancaman bagi segala aspek infrastuktur diantaranya yaitu keuangan, kesehatan, pertahanan, energi, dan infrastruktur penting lainnya [1]. Dengan semakin kompleks dan

terhubungnya infrastruktur digital dengan dunia global maka kesulitan untuk mencapai keamanan aplikasi menjadi meningkat secara eksponensial [1]. Dalam hal ini masalah keamanan yang sederhana tentunya tidak dapat ditoleransi lagi dimana aplikasi web tersebut banyak bertebaran di internet.

Hal ini tentunya dapat diatasi dengan melakukan pengujian keamanan dengan teknik penetration testing. Teknik ini digunakan untuk memeriksa efektifitas kemanan sebuah sistem, sehingga kelemahan yang ada dapat diketahui secara dini, dan tindakan pencegahan pengamanan dapat dilakukan [3]. Masalah keamanan pada aplikasi web dapat dikurangi juga dengan menggunakan OWASP yang merupakan salah satu organisasi yang fokus kepada masalah keamanan aplikasi web. OWASP adalah singkatan dari Open Web Application Security Project. OWASP menerbitkan suatu metodologi yang dapat digunakan untuk menemukan celah kemanan, sehingga dengan adanya standar keamanan yang bisa digunakan para developer, maka seharusnya masalah longgarnya sistem keamanan aplikasi web dapat dipenuhi.

Dapat disimpulkan bahwa masalah utama yang ada saat ini pada aplikasi web adalah kurangnya perhatian pemilik sistem dalam menerapkan pengujian keamanan pada aplikasi web. Pada umumnya setelah aplikasi web yang teresebut selesai dibuat sistem tersebut langsung dilaunch untuk digunakan.

Masalah yang akan menjadi pembahasan didalam artikel ini yaitu mencakup mengenai masalah keamanan yang terdapat pada OWASP Top 10 2013, mulai dari teknik penetrasi dan cara pencegahannya. Pembahasan ini terdiri dari pembuatan aplikasi yang mempunyai celah keamanan, kemudian melakukan penetrasi, lalu menganalisa dan melakukan tindakan pencegahan agar dampak celah keamanan yang ada dapat terhindar.

II. METODEPENELITIAN A. Model

Pembuatan situs dengan custom code dilakukan untuk melakukan simulasi penyerangan dan penanganan celah keamanan. Pembuatan situs ini ditujukan agar dapat menjelaskan lebih lanjut seberapa besar dampak celah keamanan tersebut dan cara – cara mengatasinya. Setelah situs dibuat maka pada situs tersebut dilakukan percobaan untuk penetrasi manual berdasarkan celah celah yang ada menurut OWASP TOP 10 2013. Setelah dilakukan penetrasi maka akan

Simulasi Celah Keamanan Aplikasi Web dengan

Kerangka Kerja OWASP

Riska Kurnianto Abdullah, Ahmad Zaini ST., MT., Christyowidiasmoro, ST., MT.

Jurusan Teknik Elektro, Fakultas Teknologi Industri, Institut Teknologi Sepuluh Nopember (ITS)

Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia

e-mail

: kurnianto@elect-eng.its.ac.id, zaini@ee.its.ac.id, christyowidiasmoro@gmail.com

di ak m m in di B. m de ap sy ce di ap ce di m tan Se ke di m Ke be ke ba ata lihat dampak kan dicarikan merupakan ranc Metode yang metode penetra i digabungka lakukan antara a) Pengujia pada pen pengunju Untuk a login, ser b) Pengujia pada seti c) Pengujia untuk us menurut visitor. H hanya m memerlu OWASP Top Pada perkem menghasilkan a engan fungsi plikasi yang di yarat keamana elah keamanan timbulkan ak plikasi tersebu elah keamanan a) Injeksi b) Broken c) XSS d) Refere e) Kesala f) Sensiti g) Missing h) CSRF i) Using j) Redire Pada Gamba mulai dari menggunakan c npa mengala etelah situs sel eamanan yan lakukan pen mendapatkan a emudian sete erikutnya ya eamanan terse ahan untuk an au mengubah apa yang ak solusi untuk cangan sistem g dipakai pa asi. Metode in an dengan ow a lain mencak an otentikasi nelitian ini mu ung aplikasi, area pengujian rta halamam m an otorisasi :

iap level user an manajemen ser yang tero standar diuji Hal ini dilaku merupakan a ukan sesi untuk

p 10 mbangan aplik aplikasi web dan manfaa imaksud terseb an yang mema n yang harus d kan menggang ut dan mudah n yang dimaks i n authenticatio ensi Obyek lan ahan konfigura ive data expos

g function lev components w ect dan Forwar ar 1 yaitu ada pembuatan custome code ami proses s lesai dibuat m ng menurut s netrasi. Penet atau mengek elah hasil da aitu melakuk ebut dan kemu nalisa apakah p sebagian kom an terjadi, ke k mencegahny untuk langkah ada penelitian ni secara impl wasp framew kup : : pengujian o ulai dari otenti , member s n mencakup member. melakukan pe n sesi : peng otorisasi siste ikan juga pad ukan karena a aplikasi yang k user visitor.

kasi web saa tentu tidak h at dari aplika

but juga harus adai. Menurut diperhatikan k ggu organisas untuk di eksp sud yaitu diant on and session ngsung yang ti

asi keamanan ure

vel access cont with known vul rd yang tidak

lah langkah k prototype s e. Situs terse standar peng maka satu persa standar OWA trasi tes ini ksploitasi cel ari penetrasi kan pencega udian hasil ter perlu menulis mponen saja.

emudian selan ya. Pada Gam

h kerja simula n ini yaitu d lementasi pen work [1]. Pen

otentikasi dila ikasi user bias serta adminis area register, engujian akse gujian ini dila em saja, seda da user denga aplikasi yang g sederhana at ini untuk hanya harus asi tersebut n s memenuhi sy OWASP [1] a karena dampak si yang memp ploitasi [1]. Se tara lain : n management idak aman trol lnerabilities divalidasi kerja dari pen situs yang ebut sengaja gecekan keam

atu pada setiap ASP top 10 i dilakukan ah keamanan tes didapat, ahan untuk rsebut yang m ulang seluruh njutnya mbar 1 asi. dengan nelitian netrasi akukan sa dari strator. , form es data akukan angkan an role dibuat tidak dapat sesuai namun yarat – ada 10 k yang punyai epuluh t nelitian dibuat dibuat manan. p celah 2013 untuk n [3]. maka celah menjadi h kode Gam dibu dapa C kea dim serv dan dibu kon P yan yan enk apli perl ters bera M men sem apli atau den men sehi akse Beb apli sebu sala U disin hack men diek itu dari hala baru U

mbar 1. Desain sist at sengaja menam at dianalisa bagaim Celah keamana

amanan, cela

misalkan suatu ver yang baru password def uat adalah ber nfigurasi pada Pada celah kea ng paling umu ng seharusnya kripsi. Pada be ikasi dapat di lu dienkripsi a ebut diberi b ada dari dalam Missing fun ngeksploitasi mua user yan

ikasi web. Pe upun member gan mudah d ngubah otorit ingga menjad es yang setara berapa aplikas ikasinya. Kad uah berkas k ah konfigurasi Untuk celah k ngkat dengan king yang b nguasai suatu ksekusi atas w sendiri. CSRF i halaman we aman situs die u yang tanpa d Using compon

tem untuk percob mpilkan query yan mana kode sql die an selanjutnya ah keamanan cms yang dile u saja diinstal faultnya [2]. U fokus pada ko file “php.ini”. amanan Sensi um yaitu tidak a patut dien berapa kaskus ilihat dan unt atau setidakny batas, sehingg m sistem dapat nction level celah keaman ng memiliki enyerang terse r.Penyerang y dapat mengub tas aplikasi dikan penyera a dengan admi i tidak selalu dang fungsi tin konfigurasi, d . keamanan Cro n CSRF, cela bertujuan untu u akun denga wewenang kor F merupakan eb atau situs eksekusi oleh k dikehendakidi nents with kno

baan penetrasi sql ng akan dieksekus eksekusi oleh syst a yaitu : Kesal ini terjadi etakkan pada s ll dan belum Untuk simulas onfigurasi serv .

itive data exp k melakukan e

nkripsi. Ketik s file log yang tuk hal ini se ya akses untuk ga faktor dari t terminimalisi l access nan ini penyer akses terhad ebut bisa ber yang terotorisa bah URL atau

terhadap pen ang tersebut in. Ditemukan

melakukan pr ngkat pengam dan sistem ter oss Site Requ ah ini merupa uk mendapatk an cara meny rban tanpa di teknik pemal yang berbeda korban maka admin. own vulnerab injeksi. Halaman si oleh sistem seh tem.

lahan konfigu dengan sken server web dim diganti usern si ini aplikasi y ver yaitu kesal posure, kelem enkripsi pada ka menggun g dihasilkan si eharusnya file k membaca be i penyerang y ir [4]. control, Da rang dapat be dap jaringan rupa user ano

asi dengan si u parameter u nyerang terse mempunyai l n oleh OWASP roteksi fungsi manan diatur rnyata menga uest Forgery akan suatu te

kan atau bah yerang web y ikehendaki ko suan yang be a, contohnya akan muncul a ilities, padac n yang hingga urasi nario mana name yang lahan mahan data nakan istem e ini erkas yang alam erupa dari onim, istem untuk ebut, level P [1] pada pada alami atau eknik hkan yang orban rasal saat akun celah

JU ke ka ko ka ko ko sis ya m m Ka ya m m ko kl A. da tid lag da m ya Ga pen qu m se us pi B. ot se ter m va m ke m m URNAL TEKN eamanan ini b arena sebagian omponen atau asus, para d omponen yang omponen akan stem keamana Celah keman ang tidak div mengarahkan ( menggunakan i adang halama ang tidak diva memilih halam mengaitkan ke orban untuk di ik sebab link t Injeksi Untuk mence ata dari input dak dimasuki gi. Penyaring ata yang bisa memberikan esc

ang menyebab

ambar 2. Hasil nyaringan data pa Hal ini seper uery tidak la melainkan dip

ehingga injeks sername seseo hak lain yang Broken auth Untuk simul torisasi memb ession ini dile

rotorisasi dap menggunakan a ariabel session Pada kasus se membagikan ten epada orang memberikannya maka ketika ora

NIK POMITS ermula dari di n besar tim u library yang developer ba g digunakann n membuat s an aplikasi web nanan yang ter

validasi yaitu (redirect) pen internal forw an target disp alidasi, sehing man tujuan. redirect yang iklik. Korban tersebut terliha III. egah sql injek t form usernam karakter yan gan data dilak a dipercaya d

cape string pa bkan injeksi sq

query yang d ada input usernam rti ditunjukka angsung dite proses untuk si tidak lagi orang yang ben

tidak berhak. hentication an lasi celah ke ber menggun etakkan pada at dengan m akun yang m n id yang masi

eperti ini user ntang halaman lain dengan a. Karena va

ang lain yang

Vol. 2, No. 1 isetiap aplikas developer tid g terkini(upda ahkan tidak nya. Melihat k sesuatu yang b itu sendiri. rjadi pada Red

dimana aplik ngguna ke h wards dengan pesifikasikan k gga memperk Dalam h g tidak divalid sangat mungk at menuju ke s HASIL

ksi maka dipe me dan passw ng bisa menye kukan dengan dengan yang ada karakter y ql. ditampilkan sete me dan password. an pada Gamb erima begitu k memisahka menyebabaka nar benar terot

nd session man eamanan ini nakan variabe URL sehingg mudah memanf masih aktif de ih aktif juga. r yang valid p n yang dipero cara menyali ariable session g diberikan lin , (2013) ISSN si memiliki m dak fokus ter ate). Dalam b mengenal s kasus ini dep lebih buruk direct dan Fo kasi pada umu halaman lain,

cara yang s ke dalam para kenankan peny hal ini peny dasi dan meng kin untuk mela situs yang vali

erlukan penya word sehingga ebabkan injek n cara memis tidak, dengan yang dianggap elah sistem me mbar 3 dimana saja oleh an karakter an dampak d torisasi dipaka nagement sistem mela el session, n ga user yang faatkannya da engan cara m pada sistem ini olehnya pada in url lengka n terekspos nk ini membu N: 2337-3539 ( masalah rhadap banyak eluruh edensi dalam orward umnya , atau serupa. ameter yerang yerang gelabui akukan id. aringan query ksi sql sahkan n cara p asing elakukan a hasil sistem asing dimana ai oleh akukan namun g tidak an bisa mengisi i ingin sistem ap dan di url uka url yan ters akse P siste URL “ini untu ke U C. A keam tam men men den men exp P kara exp ”<h ini b den S den Lan dial dibu Kem pad logi ifram dibe lala seca ters atta D fung HTM tag inpu D. Ap tero suat data hala den info id y lanj Has info (2301-9271 Pr ng dikirim ol ebut yang tid es dari user ya Pada impleme em diubah ag L, denga i_set(“session. uk otentikasi s URL melainka XSS Aplikasi yan

manan ini mer mpilan search d nampilkan ha nampilkannya gan nilai nampilkan ni osed’. Pada sistem in akter tag HT loitasi celah h1>TEST XSS berupa tulisan gan ini disimp Skenario yang gan menyisipk ngkah pertama lamat lain. Da uat pada al mudian selanj da server men in palsu yang me. Selanjutn erikan kepada i kemudian m ara otomatis u ebut tercatat d cker bisa men Dalam penang gsi ‘htmlspec ML sehingga terhadap HT ut sebagai text Referensi Oby plikasi pada otorisasi denga tu halaman in a – data tent aman info m gan menguba ormasi akun y yang diperoleh ut maka dic sil yang dipero ormasi dari u

rint)

leh user yang dak memiliki ang valid. entasi pencega gar tidak mena an cara .use_cookies” sehingga varia an disimpan pa ng dibuat u rupakan suatu dihalaman dep asil input d ke sistem. seb ‘hacking ex lai yang diis ni dilakukan p TML untuk m XSS atau t S</h1>” hasil n ”TEST XSS pulkan sistem g digunakan u kan halaman l a yaitu meny alam kasus in lamat http:// jutnya login nggunakan ce g sudah disisi nya attacker m a korban / targ memasukkan us username dan di server jaha nggunakannya anan pencega cialchars()’. F sistem tidak TML yang dim t murni dan di byek langsung y simulasi ini an username d formasi yang tang user itu member. Pen ah variable ‘i yang lain. Pada

h bernilai 4. U coba menggan oleh yaitu sist user yang lain

g valid terse otoritas ini b ahan celah ke ampilkan vari menamb ,1);” pada aw abel session ti ada cookie. untuk mensi u sistem yang pan. Normalny dari field ‘s bagai contoh f xposed’ mak si sebelumny percobaan den mencoba apak idak. Setelah l yang ditamp S” dengan sty bisa dieksploi untuk mendap login palsu pa yiapkan login ni login form /localhost/serv form tersebu elah keamana ipkan ditulis menyalin sem get. Dalam hal

sername dan p n password ya at yang dibuat untuk kerperl ahan XSS penu Fungsi ini bis lagi melakuka masukkan tap itampilkan. yang tidak am yaitu berben dan password k bisa diakses u sendiri dan etrasi dilakuk id’ pada url a kasus ini de Untuk melakuk nti variable i em merespon nnya. Terliha ebut, maka o bisa jadi mem eamanan ini y iabel session bahkan wal kode prog

idak lagi terek

imulasikan c dilengkapi den ya sistem ini search’ kemu field ‘search’ d ka sistem ya yaitu ‘hac ngan memasuk kah sistem d h dilakukan i pilkan oleh si le header 1, m itasi dengan X patkan target y da halaman ta form yang p yang palsu su verjahat/index. ut akan disisip an XSS. Hala menggunakan mua url kemu l ini apabila ta passwordnya m ang dikirimkan t oleh attacker luan pribadiny ulis menggun sa mengenali an eksekusi p pi memperlaku man ntuk sistem y kemudian terd user untuk me ditampilkan kan pada si untuk menga engan login ad kan penetrasi l id dengan nil dan menampi at informasi y 3 orang miliki yaitu pada code gram kspos celah ngan akan udian di isi akan cking kkan dapat input istem maka XSS. yaitu arget. palsu udah .php. pkan aman n tag udian arget maka nnya r dan ya. nakan i tag enuh ukan yang dapat elihat pada stem akses dmin lebih ai 6. ilkan yang

diberikan sudah bukan informasi dari user yang seharusnya maka disimpulkan ini merupakan celah keamanan referensi objek langsung yang tidak aman.

Untuk mencegah Celah keamanan ini penulis melakukan pengecekan variabel ‘id’ dengan ‘session id’ yang di daftarkan sehingga apabila ada ketidak cocokan antara variabel ‘id’ dan variabel ‘session id’ sistem akan memberikan peringatan dan memblokir akses id untuk melihat informasi akun user yang lainnya.

E. Kesalahan konfigurasi keamanan

Tentang celah keamanan kesalahan konfigurasi keamanan aplikasi yang digunakan yaitu aplikasi pada celah injeksi dimana saat server php salah mengkonfigurasikan variabel ‘session.use_cookie’ diubah nilainya menjadi nol ‘0’ maka akan muncul variabel session pada url yang pada akhirnya mengakibatkan variabel session terekspos ke URL. Solusi untuk masalah pada celah ini yaitu sistem administrator harus selalu waspada dan melakukan audit sistem keamanan secara berkala dan memperhatikan konfigurasi servernya. Selalu melakukan pengecekan pada server sebelum memakainya untuk sistem aplikasi web.

F. Sensitive data exposure

Aplikasi web untuk simulasi celah keamanan ini mempunyai fungsi dimana fungsi tersebut akan dieksekusi tiap 3 jam untuk melakukan backup berkala seluruhnya pada database. Kemudian backup database tersebut disimpan pada server sistem aplikasi itu sendiri. Sementara itu pengaturan pada server sendiri “directory listing’nya tidak dinonaktifkan. Maka dengan terdapatnya sistem seperti ini sangat dimungkinkan database untuk diunduh oleh member.

Untuk menghindari celah keamanan ini maka pada konfigurasi server fitur ‘fasilitas directory listing’ dinonaktifkan sehingga akses ke file database yang meskipun tidak terenkripsi dapat dicegah. Tindakan preventif yang kedua yaitu penulis mengubah sistem aplikasi web dimana aplikasi web mengharuskan enkripsi pada password di database.

G. Missing function level access control

Aplikasi yang dibuat untuk simulasi celah keamanan ini berupa sistem yang mempunyai dua role pada tiap usernya, yaitu role ‘admin’ dan role ‘member’. Saat admin melakukan login dan menuju kontrol panel maka halaman kontrol panel untuk admin yang dapat diaksesnya. Begitu juga user dengan role ‘member’ saat saat user dengan role ‘member‘ melakukan login dan menuju kehalaman control panel maka halaman kontrol panel hanya untuk kontrol pada dengan hak akses member.

Halaman kontrol panel yang dimaksud merupakan halaman kontrol panel yang dibuat berbeda tiap user. Untuk role member mempunyai halaman akses control panel tersendiri begitu juga dengan role admin yang mempunyai halaman Kontrol panel sendiri juga.

Untuk melakukan penetrasi dilakukan dengan mengakses salah satu halaman kontrol panel yaitu kontrol panel pada role ‘member’ dengan nama file “control_admin.php”. penetrasi

dilakukan tanpa user yang login sama sekali. Hal ini berarti user visitor mencoba untuk mengakses kontrol panel pada halaman “control_admin.php”. Hasil akses sistem dapat dilihat terlihat sistem menolak memberikan akses untuk halaman tersebut.

Penetrasi lalu dilanjutkan dengan melakukakan akses ke halaman “control_admin.php” dengan user role ‘member’ yang aktif. Saat melakukan akses ke halaman “control_admin.php” sistem menampilkan halaman kontrol panel yang seharusnya hanya bisa diakses oleh user dengan role ‘admin’ namun karena terjadi kelemahan pada kode program di aplikasi sistem maka sistem menampilkan kontrol panel admin.

Untuk mengatasi hal ini maka masing – masing halaman kontrol panel yaitu halaman “control_admin.php” dan halaman “control.php” dimasukkan fungsi yang melakukan pengecekan apakah role user yang melakukan akses sesuai dengan permintaan halaman kontrol panel yang dimintanya. Setelah hal tersebut dilakukan maka sistem dengan mudah menolak pemberian halaman kontrol panel yang tidak sesuai dengan role masing – masing user.

H. CSRF

Aplikasi yang dibuat mempunyai dua buah akun dengan username dan password yang berbeda. Pada sistem ini setiap user masing – masing mempunyai poin. Sistem ini membolehkan antar dua user tersebut melakukan transfer poin. Sistem transfer poin ini dimisalkan unttuk mewakilkan transaksi transfer yang dilakukan pada sistem yang digunakan oleh bank.

Penetrasi dilakukan dengan cara membuat agar user target membuka suatu halaman yang sudah di masukkan kode csrf sebelumnya. Pada sistem ini kode csrf diletakkan pada server jahat. Target diupayakan hingga berhasil mengunjungi halaman yang dimaksud. Setelah target mengunjungi halaman yang mengandung kode CSRF tanpa ia sadari poinnya sudah berkurang karena pada situs yang target / korban kunjungi tersebut terdapat kode yang dieksekusi tanpa disadari oleh user yang menyebabkan user melakukan transfer poin kepada user lain.

Untuk mencegah agar sistem tidak terkena dampak dari celah keamanan ini maka sistem aplikasi web ini dilengkapi dengan token pada form yang akan dikirim sehingga apabila ada ketidak cocokkan form maka transaksi tidak dapat dieksekusi dan dihentikan prosesnya yang dijelaskan pada Gambar 4.

I. Using components with known vulnerabilities

Aplikasi dari suatu organisasi perguruan tinggi yang menggunakan joomla dengan JCEditor extension berhasil dieksploitasi penulis. Dengan berhasilnya eksploitasi ini maka penyerang dapat melakukan perubahan layaknya user yang mempunyai akun pada hosting tersebut.

Pada joomla 1.5 untuk sistem aplikasi web pada salah satu perguruan tinggi di Surabaya ini terdapat celah keamanan pada extension JCEditor. Penulis menggunakan exploit untuk memasukkan file shell dengan memanfaatkan kelemahan JCE

JU Ed 10 bi Ap ad m m lag Ga ‘am var sam dib tra ter be m ter J. ha ce m ya ka saj sis pa “u pa ht va Si pa us URNAL TEKN ditor ini. Untuk selanj 080 sebagai b sa kembali la pabila sistem dministrator menghilangkan maka bisa dipa gi dengan mud

ambar 3. Flowch mm’, dan ‘iddes

riabel ini dikirim mpai pada ‘blok r

bawa oleh varia ansaksi dibatalkan Dalam menc rgantung deng erkala. Untuk melakukan pen rbaru terutama Redirect dan Sistem yang alaman redire elah keamanan memanfaatkan

ang tidak div arena bisa me aja tidak user stem memilik arameter tungg url”. Penetras arameter ttp://localhost/ ariabel yang a itus facebook assword yang sername dan p NIK POMITS jutnya pada k backdoor seh gi untuk masu sudah terinfe yang me atau melakuk astikan sistem dah dikemudia

hart untuk penc s’ saat dikirimka mkan lengkap de

redirect transfer

abel dicocokkan. n.

cegah hal ini gan komponen k itu sistem gecekan dan a pada pada re n Forward yan dibuat untuk ect dengan h n yang dilakuk celah keama validasi. Cela engakibatkan tersebut send ki halaman gal yang didek si dilakukan

url /ta_2013/serve ada di url ini k palsu ini g dimasukkan password korb

Vol. 2, No. 1

kasus ini pen hingga sewakt uk ke dalam s eksi atau dise elakukan p kan update pa sangat mungk an hari. cegahan serangan an diproses pada engan token sehi

val’ token yang a . Apabila ada k maka saat a n dari vendor administrator update apabil elease security ng tidak divali celah keaman alaman ‘redir kan pada aplik anan pada red

ah keamanan user menuju diri inginkan. “redirect.php klarasikan dal dengan mel menja er_jahat/fb/log merupakan si akan merek n korban den ban sudah tere

, (2013) ISSN nulis membuk tu – waktu p sistem aplikas erang, sementa perbaikan ada modul JC

kin untuk did

n CSRF. Variab a ‘blok generate ngga pada saat ada pada server d ketidak cocokkan aplikasi web r maka perlu u r diharapkan la ada release y issue. idasi

nan ini yaitu b rect.php’. Pen kasi ini yaitu d

direct dan fo ini sangat halaman yan Dalam skena p” yang men lam bentuk va lakukan peru adi gin.htm’. Isi itus facebook am username ngan begitu ekam disistem N: 2337-3539 ( ka port penulis si web. ara itu hanya CEditor deface bel ’id’, token’. variabel dan yang n maka masih update selalu e yang berupa netrasi dengan orward rentan ng bisa ario ini nerima ariabel ubahan ‘url= dari palsu. e dan maka m yang dibu U forw apli hala war ke a dilih Gam diper selai inter U tela apli ters apli kom C sang dan keam ters P siste soft wak mel man P dose dan tem mem [1 (2301-9271 Pr uat oleh penye Untuk menceg ward tidak da ikasi web ters aman yang l rning sebagai arah mana se hat pada Gamb

mbar 4. Pencega ringatkan saat ak n situs internal d rnal sistem maka s

IV Untuk melaku

h dikembangk ikasi dan mela ebut. Agar le ikasi maka me mbinasi yang t Celah keamana gatlah sederha sistem admin manan aplika ebut. Pada saat me em keamanan tware. Penetra ktu yang sang lengkapi antar nual. U Penulis meng en pembimbin telah mendam man – teman mbantu penuli 1] OWASP. (2 [Online]. https://www News rint) erang. gah hal ini ap apat dihindari sebut harus dip lain. Dalam

proteksi agar elanjutnya sist

bar 5.

ahan celah kea kan melakukan dari sistem. Jika secara otomatis si V. KESIMPU ukan verifikasi

kan disarankan akukan penguj ebih baik lag etode penetra epat. an yang ada d ana dan mudah nistrator yang asi web kadan

lakukan pene n sebaiknya di asi dengan sof gat lama namu ra penetrasi d

UCAPANTE gucapkan terim

ng yang telah mpingi saya s dan juga san is untuk tetap DAFTAR 2013, Decemb w.owasp.org/in pabila penggu maka user ya peringatkan k hal ini penu user tidak tert tem mengarah

amanan redirect redirect atau for

a url berisi alama istem akan memb ULAN/SARA i keamanan a n untuk melak jian keamanan gi dalam mel asi dan review dalam sepuluh h untuk dieksp bertanggung ng kurang m etrasi untuk k ilakukan juga ftware mungk un sangat mun dengan softw ERIMAKASIH ma kasih kep h banyak mem selama penelit nak keluarga semangat dala PUSTAKA ber) OWASP T ndex.php/App unaan redirect ang menggun kalau akan me ulis menggun tipu dan tahu j hkan user. Se

dan forward.

rward kehalaman

at selain dari hal berikan warning. AN aplikasi web y kukan review k n terhadap apl akukan pengu w kode merup kategori OW ploitasi. Devel jawab atas si memperhatikan kepentingan a a penetrasi den kin akan mem

ngkin untuk sa ware dan pene

H

pada Yth, B mberikan masu

tian, juga seg yang turut am penelitian. Testing Guide lication_Secu 5 t dan nakan enuju nakan jelas eperti User n lain laman yang kode likasi ujian akan WASP loper istem n hal audit ngan makan aling etrasi apak ukan genap serta . urity_

[2] Mark Curphey, Joel Scambry, and Erik Olson, Improving Web Application Security. Washington: Microsoft, 2003.

[3] William E Perry, Effective Methods for Software Testing. Indianapolis: Wiley Publishing, 2006.

[4] NIST. (2013, December) Guideline on Network Security Testing. [Online]. http://csrc.nist.gov

[5] Roger S Pressman, Software Engineering. New York: McGraw-Hill, 2001.