ANALISA PERBANDINGAN APLIKASI WEB VULNERABILITY SCANNER ANTARA NIKTO DAN ACUNETIX Muhamad Akbar ,& Imam Perdana Abstract : To prevent happened threat at one particular website, developer should know the gap - interpose the security which have potency to be destroyed the site and to improve the software which is good for as weakness searcher of website. There are a lot of application of examiner of website weakness which can searching the internet such as Nikto and Acunetix, These two applications have own the ability to check the security gap , but Nikto and Acunetix is not equal so that own the difference between these applications. The administrator web possible get the difficulty to chosen between those applications to be weared.
Kata Kunci : Internet, Nikto, Acunetix, Network Security, Vulnerability 1. Pendahuluan Sekarang ini komputer bukanlah suatu alat yang terbilang sulit untuk didapatkan lagi, banyaknya permintaan akan komputer membuat komputer itu sendiri semakin mudah didapatkan oleh masyarakat, awalnya komputer hanya dipakai sebagai alat penghitung namun dengan berkembangnya zaman komputer pun menjadi alat yang memiliki banyak kegunaan dan dapat membantu kegiatan – kegiatan manusia. Pada saat sekarang ini komputer – komputer di dunia dapat saling terhubung, semuanya terhubung ke dalam sebuah jaringan yang disebut dengan internet , kebutuhan akan informasi membuat jaringan internet di dunia berkembang dengan pesat, dapat dilihat dengan banyaknya bermunculan website baik dalam negeri maupun luar negeri yang dapat memberikan kemudahan bagi masyarakat untuk mendapatkan informasi, pada saat ini kegiatan – kegiatan yang biasa dilakukan manusia seperti perdagangan atau jual beli dapat dilakukan di rumah dengan menggunakan komputer yang terhubung dengan internet , terdapat pula website pemerintahan, organisasi, pendidikan, militer yang Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
1
semakin menambah keuntungan dalam menggunakan teknologi ini. Dibalik kemudahan – kemudahan yang ada pada internet terdapat ancaman kejahatan yang menyerang banyak website di dunia sehingga dapat merugikan para pengembang website maupun pengguna website itu sendiri, ini dapat disebabkan karena terdapat kesalahan pada website yang tidak disadari oleh pengembang sehingga memungkinkan terjadinya perusakan atau pencurian data pada website tersebut. Untuk mencegah terjadi ancaman kejahatan pada suatu website hendaknya pengembang website dapat mengetahui celah – celah keamanan yang berpotensi untuk dirusak sehingga dapat segera diperbaiki, untuk itu diperlukannya suatu software yang berguna sebagai pencari kelemahan pada website. Terdapat banyak aplikasi pemeriksa kelemahan website yang dapat di cari di internet dan diantaranya adalah Nikto dan Acunetix,kedua aplikasi ini memiliki kemampuan untuk memeriksa celah keamanan dengan baik, namun Nikto dan Acunetix tidaklah sama sehingga memiliki perbedaan diantara kedua aplikasi tersebut, seorang administrator web mungkin mendapatkan kesulitan untuk memilih antara kedua aplikasi itu untuk dipakai. Dari uraian di atas maka penulis mencoba untuk melakukan penelitian dengan judul “Analisa Perbandingan Aplikasi Web Vulnerability scanner Antara Nikto dan Acunetix “ agar dapat memberikan pilihan aplikasi web vulnerability scanner yang baik kepada pengembang website. 2. Tinjauan Pustaka 2.1 Kejahatan Internet Pada tanggal 17 april 2004 telah terjadi pembobolan situs KPU yang dilakukan oleh seorang cracker dengan nama samaran xnuxer, tersangka melakukan perubahan – perubahan terhadap nama – nama partai yang terdapat didalam database server tnp.kpu.go.id, sehingga menyebabkan nama partai yang diubah dapat dilihat oleh publik yang mengakses website tersebut. Xnuxer melakukan perubahan database dengan melakukan modifikasi URL, pada URL tersebut xnuxer mampu menjalankan perintah – perintah SQL seperti update, create dan lain – lain, teknik ini disebut juga dengan SQL Injection, berselang beberapa hari tersangkapun akhirnya berhasil ditangkap dan diserahkan ke pihak pengadilan. 2
Banyaknya website – website e-commerce yang tersebar di dunia internet yang menggunakan aplikasi web gratis seperti mambo dan phpbb dapat memberikan ancaman tersendiri terhadap pengguna e-commerce apabila tidak adanya pengetahuan mengenai kelemahan – kelemahan yang ada dalam aplikasi tersebut, dikarenakan para cracker dapat dengan mudah mendownload aplikasi yang sama dan mempelajari kelemahannya, oleh karena itu apabila seorang cracker dapat mengetahui kelemahan aplikasi web tersebut maka tidak sedikit website yang dengan mudah dapat dimasuki dan dicuri data – datanya. Kasus pencurian kartu kredit banyak dimulai dari bobolnya suatu website e-commerce yang memanfaatkan kartu kredit sebagai cara pembayarannya dan biasanya para cracker tersebut menggunakan ip proxy sehingga mereka dapat menyamarkan diri dan sulit diketahui keberadaannya. Target penyerangan cracker sekarang ini lebih difokuskan kepada aplikasi web, ini dapat dilihat dari banyaknya laporan – laporan celah keamanan di beberapa website security local ataupun luar seperti http://www.milw0rm.com , http://www.securityfocus.com dan http://www.echo.or.id, pencarian target yang biasanya dilakukan para cracker di Indonesia dilakukan secara berkelompok dalam sebuah jaringan IRC dengan menggunakan botnet, sehingga tidak hanya satu cracker yang bisa memasuki dan mencuri data kartu kredit dari server target tersebut. Untuk itu hendaknya seorang administrator web dapat selalu update dengan permasalahan keamanan apalagi yang menyangkut dengan aplikasi web yang mungkin digunakan pada websitenya. 2.2. Vulnerability scanner Vulnerability scanner adalah sebuah program komputer yang di desain untuk mencari dan memetakan sistem untuk kelemahan pada aplikasi, komputer atau jaringan (http://en.wikipedia.org/wiki/Vulnerability_scanner). Meningkatnya penggunaan internet membuat semakin banyaknya website yang bermunculan khususnya di Indonesia, dengan adanya website membuat pengembang website dapat menyampaikan informasinya kepada pengguna internet dengan mudah, di Indonesia website – website Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
3
pemerintahan pun telah banyak bermunculan, namun sangat disayangkan kejahatan internet di indonesia terus meningkat seiring bermunculannya ragam artikel yang membahas masalah hacking. Kegiatan hacking di Indonesia semakin marak namun menurut data penelitian Unit V IT & Cybercrime Bareskrim Polri, hanya dua kasus hacking yang berhasil diungkap dan diproses ke pengadilan, yaitu kasus hacking website Komisi Pemilihan Umum (KPU) pada tahun 2004 dan kasus hacking website Partai Golkar pada tahun 2006, melihat dari kedua kasus tersebut hendaknya administrator web dapat lebih mengetahui seberapa aman website yang dimilikinya, untuk itu peranan aplikasi web vulnerability scanner sangat diperlukan agar administrator web dapat segera melakukan perbaikan apabila terdapat celah keamanan di websitenya. ( http://tekno.kompas. com /read/xml/2008/06/07/15301865/baru.dua.kasus.hacking.diadili) 2.3. Aplikasi – Aplikasi Web Vulnerability Scanner Acunetix Acunetix Web Vulnerability scanner adalah sebuah software yang berfungsi untuk melakukan scanning atas kelemahan yang bisa terjadi di suatu situs, software ini mampu memeriksa kelemahan web server maupun aplikasi webnya dengan cepat, selain itu software ini juga memberikan saran yang harus dilakukan apabila ditemukan kelemahan pada website tersebut. Nikto adalah sebuah perangkat lunak open source yang dapat memeriksa kelemahan pada suatu website, perangkat lunak ini dibuat oleh Chris Sullo dengan menggunakan bahasa pemrograman perl sehingga diperlukan adanya perl interpreter, untuk pengguna sistem operasi windows perl interpreternya adalah software activeperl yang dapat didownload di http://www.activestate.com/. Metasploit Framework adalah sebuah platform pengembangan untuk membuat tool keamanan dan exploit. Metasploit framework digunakan oleh profesional bidang keamanan jaringan untuk melakukan tes penetrasi, digunakan juga oleh administrator sistem untuk memverifikasi instalasi dan patch sistemnya, vendor produk untuk melakukan tes kelemahan dan peneliti-peneliti keamanan lainnya di dunia. Metasploit framework ditulis menggunakan bahasa pemrograman Ruby dan termasuk juga komponen lainnya yang ditulis dalam bahasa C dan assembler. Metasploit Framework 4
terdiri dari tools, libraries, modules dan user interfaces. Fungsi dasar dari metasploit framework adalah memunculkan module, membiarkan penggunanya mengkonfigurasikan modul exploit dan mencobanya pada target yang dituju. Jika exploit berhasil, payload akan tereksekusi pada sistem target dan pengguna akan disediakan sebuah shell untuk berinteraksi dengan payload. (http://www.dhuha.net/id/content/computer/software/metasploit ) 3. Pembahasan Analisa Perbandingan Aplikasi Nikto dan Acunetix Nikto dapat di download pada website resminya http://cirt.net/ dengan nama file nikto-current.tar.gz, sebelum menggunakannya file tersebut harus di ekstract dengan menggunakan program seperti WinRar sehingga akan terbentuk folder dan beberapa file dari hasil ekstract tersebut
Gambar 3.1. Folder Nikto Untuk menjalankan aplikasi nikto diperlukan sebuah interpreter perl, untuk itu dalam melakukan analisa ini penulis menggunakan aplikasi activeperl sebagai interpreter dari aplikasi nikto,ActivePerl dapat di download dari website resminya www.activestate.com, setelah aplikasi tersebut di download maka dapat langsung dilakukan instalasi seperti penginstalasian aplikasi windows pada umumnya.
Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
5
Penginstalasian acunetix tidak berbeda dengan cara penginstalasian aplikasi windows umumnya, namun disini diperlukan license key yang harus dimasukkan pada saat penginstalasian, license key ini dapat diperoleh di website resminya www.acunetix.com. Nikto merupakan aplikasi yang bersifat command line dan dijalankan melalui shell di windows. Langkah scaning dengan nikto: 1. Jalankan command prompt :
2. 3. 4.
Gambar 3.2. Run Setelah command prompt berjalan, masukklah ke dalam directory nikto Jalankan nikto dengan mengetikkan : “perl nikto.pl –h website-yang-dituju” Proses berjalan dan akan mengeluarkan output pada command prompt, apabila output ingin disimpan dalam suatu file, gunakan perintah : “perl nikto.pl –h website-yang-dituju > nama_file_output.txt”
Gambar 3.3. Menjalankan Nikto
6
Scaning Website www.web-imam.com Dengan Nikto
Gambar 3.4. Proses Scaning Nikto www.web-imam.com Scaning menghasilkan output sebagai berikut : 1. Vulnerable Apache Version : 1. Apache/1.3.23 appears to be outdated (current is at least Apache/2.2.6). Apache 1.3.39 and 2.0.61 are also current. 2. Apache/1.3.23 - Apache 1.x up 1.2.34 are vulnerable to a remote DoS and possible code execution. CAN-2002-0392. 3. Apache/1.3.23 - Apache 1.3 below 1.3.27 are vulnerable to a local buffer overflow which allows attackers to kill any process on the system. CAN-2002-0839. 4. Apache/1.3.23 - Apache 1.3 below 1.3.29 are vulnerable to overflows in mod_rewrite and mod_cgi. CAN-2003-0542. 5. OSVDB-27487: Apache is vulnerable to XSS via the Expect header 2.
Insecure Files and Programs :
Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
7
1. OSVDB-0: GET /ws_ftp.ini : Can contain saved passwords for ftp sites 3.
Cross Site Scripting : 1. OSVDB-27487: Apache is vulnerable to XSS via the Expect header 2. OSVDB-32774: GET /phpinfo.php?VARIABLE= <script> alert('Vulnerable') : Contains PHP configuration information and is vulnerable to Cross Site Scripting (XSS). 3. OSVDB-20406 : GET /phpinfo.php?GLOBALS[test]= <script>alert( document.cookie ); : PHP contains a flaw that allows a remote cross site scripting attack. 4. OSVDB-24484: GET /phpinfo.php? cx[]=xFeOmZkNhXIXl8v PaXDHYDPqCeX3tagBzPWeYNj4yd53zNkTJ12Mv9gEbjP LsEfqet6BZBsfXLwY3c8dQtk4ItzhpHSCWRmDcLwEuwL EHfsM045zrFJ9c9mLhIpY6tWyKdQLxwsMwE37DZDR3jf exEwEj4vPb1<script>alert(foo) : PHP 5.1.2 and 4.4.2 phpinfo() Function Long Array XSS
4.
Directory Traversal tidak ditemukan pada website ini
Scaning Website www.binadarma.ac.id Dengan Nikto
8
Gambar 3.5. Proses Scaning Nikto www.binadarma.com Scaning menghasilkan output sebagai berikut : 1. Vulnerable Apache Version : 1. Apache-AdvancedExtranetServer/2.0.48 outdated (current is at least 2.0.53). 2.
appears
to
be
Insecure Files and Programs : 1. OSVDB-3233: GET /icons/README : Apache default file found.
3.
Cross Site Scripting : 1. OSVDB-20954: ><script>alert(foo)"/shopadmin.asp?Pass word=abc&UserName=
4.
Directory Traversal tidak ditemukan pada website ini
Scaning menghasilkan output sebagai berikut : 1. Vulnerable Apache Version : 1. Apache version older than 1.3.27. Multiple vulnerabilities have been found in this version of Apache. You should upgrade to the latest version of Apache. 2. Apache version older than 1.3.28. Multiple vulnerabilities have been found in this version of Apache. You should upgrade to the latest version of Apache. 3. Apache version older than 1.3.29. Multiple vulnerabilities have been found in this version of Apache. You should upgrade to the latest version of Apache. 4. Apache Chunked-Encoding Memory Corruption Vulnerability. Apache does not properly calculate buffer size when processing request encoded as 'Chunked'. It's possible to exploit this flaw resulting execution of arbitrary code.
Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
9
5. Apache Error Log Escape Sequence Injection Vulnerability. This version of Apache is vulnerable to escape character sequences injection into error log.This problem may be exploited when a vulnerable terminal emulator is used. 6. Apache version older than 1.3.31. Multiple vulnerabilities have been found in this version of Apache. You should upgrade to the latest version of Apache. 7. Apache version older than 1.3.34. Two potential security issues have been fixed in Apache version 1.3.34: •
If a request contains both Transfer-Encoding and Content-Length headers, remove the Content-Length, mitigating some HTTP Request Splitting/Spoofing attacks.
•
Added TraceEnable [on|off|extended] per-server directive to alter the behavior of the TRACE method.
8. Apache version up to 1.3.33 htpasswd local overflow. A buffer overflow vulnerability exists in the htpasswd utility included with Apache. The vulnerability is due to improper bounds checking when copying user-supplied 'user' data into local buffers. 2. Insecure Files and Programs : 1. Possible sensitive files. A possible sensitive file has been found. This check looks for known sensitive files like: password files, configuration files, log files, include files, statistics data, database dumps. Each of those files may help an attacker to learn more about his target. This vulnerability affects /insecure%20files%20&%20programs/datadataku/password.txt.
10
2. PHP.EXE Windows CGI for Apache web server may let remote users view files on the server due to configuration error. 3. Cross Site Scripting : 1. Acunetix menghasilkan tiga belas laporan XSS vulnerability pada file xss.php, tiga belas laporan tersebut merupakan inputan pada variable nama : 1. <ScRiPt%20%0a%0d>alert(1242853058)%3B 2. >'><ScRiPt%20%0a %0d>alert(175316762)%3B 3. >"><ScRiPt%20%0a%0d>alert(1033039769)%3B 4. <ScRiPt%20%0a%0d>alert(183458319)%3B 5. <ScRiPt%20%0a%0d>alert(576529408)%3B 6. --><ScRiPt%20%0a%0d>alert(1214864343)%3B 7. email@some<ScRiPt%20%0a %0d>alert(685767194)%3Bdomain.com 8.
9. <ScRiPt+src=http://testphp.acunetix.com/xss.js? 941537770> 10. <script/xss+src=http://testphp.acunetix.com/xss.js? 1469418984> 11. Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
11
12. %3C/xss/*-*/style=xss:e/**/xpression(alert(62543945)) %3E 13.
2. Acunetix menghasilkan tiga belas laporan XSS vulnerability pada file directory-traversal.php, tiga belas laporan tersebut merupakan inputan pada variable lirik, perubahan pada inputan tersebut tidak berbeda dengan ketiga belas inputan pada xss.php 3. Unfiltered Header Injection in Apache 1.3.34/2.0.57/2.2.1. Malicious users may inject JavaScript, VBScript, ActiveX, HTML or Flash to fool a user in order to gather data from them. An attacker can steal the session cookie and take over the account, impersonating the user. It is also possible to modify the content of the page presented to the user 4. Directory Traversal : 1. This vulnerability affects /directory-traversal.php. The GET variable lirik has been set to ../../../../../../../../boot.ini. Acunetix menghasilkan 5 output Directory Traversal vulnerability pada file directory-traversal.php dengan beberapa inputan pada variable lirik : 1. ../../../../../../../../boot.ini 2. C:\boot.ini 3. ..\..\..\..\..\..\..\..\boot.ini 4. ../..//../..//../..//../..//../..//../..//../..//../..//boot.ini 5. ../.../.././../.../.././../.../.././../.../.././../.../.././../.../.././boot.ini
4. Kesimpulan Pada laporan yang dihasilkan, nikto hanya memberikan sedikit informasi dan tidak memberikan suatu pembuktian akan vulnerability yang dilaporkan, laporan tersebut adalah: Laporan1 : Apache/1.3.23 appears to be outdated (current is at least Apache/2.2.6). Apache 1.3.39 and 2.0.61 are also current. Laporan 2 : Apache/1.3.23 - Apache 1.x up 1.2.34 are vulnerable to a remote DoS and possible code execution. CAN2002-0392. Laporan 3 : Apache/1.3.23 - Apache 1.3 below 1.3.27 are vulnerable to a local buffer overflow which allows attackers to kill any process on the system. CAN2002-0839. Laporan 4 : Apache/1.3.23 - Apache 1.3 below 1.3.29 are vulnerable to overflows in mod_rewrite and mod_cgi. CAN-2003-0542. Laporan 5 : OSVDB-27487: Apache is vulnerable to XSS via the Expect header. Ke lima laporan tersebut menjelaskan bahwa versi apache yang digunakan tidak update dan memiliki kelemahan-kelemahan. REFERENCES http://www.dhuha.net/id/content/computer/software/metasploit http://tekno.kompas.com/read/xml/2008/06/07/15301865/baru.dua.kasus.hac king.diadili http://en.wikipedia.org/wiki/Vulnerability_scanne www.activestate.com/ www.acunetix.com. Analisa Perbandingan Aplikasi WEB Vulnerable Scanner (Muhamad Akbar)
