BAB 4 HAS IL PENGUJIAN KEAMAN AN S IS TEM WEB SERVER PADA WEBSITE WALL S TREET INS TITUTE INDONES IA
4.1 Persiapan dan Perencanaan Audit Tahapan perencanaan audit dimulai dengan menetapkan ruang lingkup audit, tujuan pelaksanaan audit, dan persiapan penelitian lapangan. Berikut adalah rencana kerja yang akan dilakukan. Aktivitas Melakukan survei terhadap lokasi yang akan menjadi tempat penelitian dan evaluasi yang sesuai.
Data yang Dikumpulkan Mendapatkan perusahaan yang sesuai untuk melakukan penelitian dan evaluasi.
Metode Observasi,
Membuat surat permohonan untuk melakukan pengujian terhadap keamanan website yang dikembangkan dalam bentuk program internship.
Surat persetujuan melakukan pengujian keamanan terhadap salah satu website yang dikembangkan dari PT Web Architect Technology.
Menyerahkan proposal pengajuan program internship kepada Direktur PT Web Architect Technology.
Mengamati dan mendapatkan profil perusahaan.
Latar belakang perusahaan, gambar struktur organisasi, uraian tugas dan tanggung jawab, proses bisnis berjalan.
Observasi,
Menentukan sumber daya berupa personil dan lingkungan SI yang akan diaudit dengan menggunakan CAAT. Menentukan tujuan pemakaian CAAT dalam audit.
Objek audit dan Tim audit
Observasi
Tujuan penggunaan CAAT
Observasi
Menentukan software yang akan digunakan dalam proses audit. Menentukan akses untuk mengetahui spesifikasi program/sistem perusahaan yang akan diaudit.
Acunetix v.7 dan Nmap 5.21
Observasi
Username dan Password untuk mengakses ke CMS.
Wawancara
Melakukan testing website
Laporan bug
Functionality Testing dan Integration Testing
Wawancara.
Wawancara.
Aktivitas Melakukan audit dengan menggunakan software/tool.
Data yang Dikumpulkan Detail scanning report
Metode CAAT (Acunetix v.7 dan Nmap)
Membuat rekomendasi terhadap temuan-temuan yang merupakan kerentanan (vulnerability) pada website.
Rekomendasi dan masukkan yang berguna untuk perusahaan dalam melakukan perbaikan.
Analisis data
Membuat laporan hasil audit.
Laporan hasil audit beserta temuan dan rekomendasi.
Analisis data
Tabel 4.1 Rencana Kerja Audit
4.1.1 Penentuan Ruang Lingkup Audit Ruang lingkup dari audit keamanan website educational Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology mencakup: 1. Pengujian keamanan terhadap website dan Content Managem ent System (CM S) Wall Street Institute Indonesia dari aspek web dan port. 2. Pelaksanaan audit menggunakan pendekatan Com puter Assisted Audit Techniques (CAATs) yaitu Acunetix v.7 dan Nmap 5.21.
4.1.2 Tujuan Pelaksanaan Audit Tujuan dilakukannya audit keamanan website educational Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology antara lain:
1. Untuk mengetahui, mengumpulkan, dan menganalisis kelemahan pada website dan CM S Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology dari aspek keamanannya. 2. M emberikan rekomendasi atas hasil temuan sebagai masukan bagi pihak manajemen PT Web Architect Technology.
4.1.3 Persiapan Penelitian Lapangan Adapun instrumen penelitian yang digunakan terdiri dari observasi, wawancara, studi dokumentasi dan CAATs. Sebelum memulai proses audit, dilakukan survei dan observasi secara langsung yang bertujuan untuk mendapatkan informasi tentang perusahaan yang akan diaudit. Selanjutnya, penelitian dilanjutkan dengan melakukan observasi lebih lanjut terhadap website yang akan diaudit, lalu melakukan wawancara kemudian melakukan pengujian dengan menggunakan Acunetix WVS dan Nmap serta melakukan studi dokumentasi
guna
untuk
memperoleh
data,
menganalisis
data,
dan
mengumpulkan bukti audit untuk membentuk suatu opini yang lebih akurat. Di bawah ini merupakan cara-cara yang digunakan penulis untuk mengumpulkan bukti audit yaitu : 1. Observasi (Internship) Observasi merupakan suatu metode yang digunakan penulis untuk mengumpulkan data dengan melakukan peninjauan langsung ke PT Web Architect Technology dalam bentuk program internship dimana penulis ikut
terlibat langsung dalam proses bisnis perusahaan guna untuk mengamati berbagai hal yang terjadi pada objek yang diamati yaitu website educational Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology. 2. Wawancara Wawancara merupakan
suatu
proses
pengumpulan
informasi yang
dibutuhkan oleh penulis terkait objek yang diamati dengan mengajukan beberapa pertanyaan yang dilakukan secara lisan kepada Direktur, Project Manager, dan Program m er. Tujuan penulis dalam melakukan wawancara adalah untuk mengetahui gambaran umum perusahaan mencakup, struktur organisasi, tugas dan wewenang, proses bisnis, struktur proyek serta masalah-masalah yang pernah dihadapi oleh perusahaan terkait keamanan pada website yang selama ini dikembangkan dan tindakan yang dilakukan perusahaan dalam mengatasi masalah tersebut bila terjadi. 3. CAATs (Computer Audit Assisted Techniques) M etode pengujian yang digunakan adalah dengan pendekatan CAATs (Computer Audit Assisted Techniques) di mana proses pengujian dilakukan dengan bantuan software Acunetix Web Vulnerability Scanner v.7 dan Nmap 5.21. 4. Studi Dokumentasi Studi dokumentasi merupakan suatu metode yang dilakukan penulis dalam mengumpulkan bukti-bukti audit yang digunakan untuk memperkuat pernyataan ataupun opini terhadap temuan-temuan audit dalam penyusunan laporan audit.
4.1.4 Pengumpulan Data dan Informasi 4.1.4.1 Anggota Tim Yang Akan Melaksanakan Functionality Testing dan Integration Testing Pemilihan
anggota
tim
merupakan
bagian
terpenting
dalam
melaksanakan functionality testing dan integration testing dimana anggotaanggota harus memahami alur dari website tersebut. Adapun anggota tim yang terlibat selama proses pelaksanaan functionality testing dan integration testing terhadap website dan CM S Wall Street Indonesia yang dikembangkan PT Web Architect Technology adalah sebagai berikut : 1. Project Manager
: Erick S. Lauw
2. Quality Assurance
: Putri Ayu, Widya, danYiyin Susanty
3. Programm er
: Daniel S.
Project Manager berperan dalam menentukan jadwal functionality testing dan integration testing yang akan dilakukan oleh tim, memastikan bahwa functionality testing dan integration testing dilakukan sesuai dengan perencanaan yang telah dilakukan sebelumnya, dan memastikan bahwa bug fixing dilakukan secara menyeluruh oleh Programmer. Bagian Quality Assurance merupakan bagian terpenting dalam testing karena mereka yang bertanggung jawab untuk membuat laporan bug pada website dan CM S. Sementara Programmer bertanggung jawab untuk melakukan perbaikan berdasarkan laporan bug dan error yang dibuat oleh tim Quality Assurance dan menyediakan solusi berdasarkan permasalahan yang ditemukan.
Bug pada menu Staff yaitu pada fungsi upload foto Bug pada menu Staff yaitu pada saat admin ingin melakukan update foto staff.
Bug pada menu Student (sub menu Social Club Schedule) pada saat admin ingin melakukan upload preview image pada Social Club Schedule.
#1
#3
#2
Bug
Bug ID
Deskripsi
Pada script ditambah validasi pengecekan ada atau tidak nya file,
Perbaikan Bug
Pada script ditambahkan validasi read, write, dan execute permission.
unlink (‘assets/images/staff/name_image’);
Script yang di-execute seharunya :
1.
Tabel 4.2 Tabel Bug pada CMS Wall Street Institute Indonesia
Bug disebabkan karena file system permission yang tidak sesuai dimana terjadi kesalahan dalam pemograman pada saat tahap pengembangan dimana admin hanya diberikan read permission.
Bug disebabkan karena folder permission untuk sistem, dimana pada saat melakukan upload, folder temp (tempat Bug disebabkan karena kesalahan pada script untuk menghapus file yang sudah ada. Script yang di-execute: unlink (file_exist(‘ assets/images/staff/name_image’));
testing yang telah dilakukan.
Pada tahap ini, bagian Quality Assurance membuat laporan bug berdasarkan functionality testing dan integration
4.1.4.2 Temuan Bug
Bug pada video player (baik video yang di-upload melalui CMS beras al dari local drive atau You Tube).
Form di homepage yaitu pada bagian text field Konfirmasi akhir setelah form dib i Form validation
#1
#2
#4
#3
Bug
Bug ID Error pada video yang berasal dari local drive disebabkan karena adanya beberapa kemungkinan berikut ini : a. File video tidak berhasil di-upload ke server, sementara data tetap disimpan didalam database, b. File video terhapus tanpa disadari pada saat proses pengembangan. Error pada video yang berasal dari You Tube dikarenakan kesalahan pada penamaan link video.
1. 2. 3.
Untuk video yang berasal dari local drive, upload video menggunakan ajax uploader (uploadify), Untuk upload video yang berasal dari You Tube diberikan penamaan yang benar. Contoh link yang dipanggil : http://www.wallstreet.ac.id/http://www.youtube.co m/watch?v=XXjhOJFVqU, seharusnya : http://www.youtube.com/watch?v=XXjhOJFVqU.
Perbaikan Bug
Penambahan script form validation menggunakan jquery validation.
Menambahkan success handler pada script PHP.
Seharusnya tinggi text field pada masing-masing browser di-setting sesuai dengan jenis browser karena tampilan setiap browser berbeda.
2.
1.
Tabel 4.2 Tabel Bug pada CMS Wall Street Institute Indonesia
Belum adanya kategori umur yang benar, Belum adanya validasi email yang benar, Belum adanya validasi angka pada field phone berupa : a. User harus meng-input field phone dengan format 021xxx dengan minimal 9 angka dan maksimal 11 angka b. User harus meng-input field phone dengan format 08xx dengan minimal 11 angka dan maksimal 14 angka. c. Field phone hanya dapat di-input dengan angka.
Hal ini disebabkan karena validasi form belum memenuhi requirement dari klien, yaitu :
Hal ini dikarenakan success event form belum diatur pada saat tahap pengembangan.
Pada browser Mozilla, text field hanya terlihat setengah. Hal ini disebabkan karena kesal ahan pada CSS input text.
2.
1.
Deskripsi
4.1.4.2.2 Website Wall Street (www.wallstreet.ac.id)
4.2 Pelaksanaan Audit Keamanan Web Audit terhadap keamanan web bertujuan untuk memastikan bahwa aspek keamanan website dan CM S Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology tercapai sehingga dapat menjamin seluruh informasi yang merupakan asset penting bagi Wall Street Institute Indonesia terlindungi dengan baik. Adapun permasalahan keamanan yang menyebabkan suatu website rentan terhadap serangan dari pihak yang tidak bertanggung jawab adalah adanya bug pada website, banyaknya port yang terbuka, dan web alert.
4.2.1 Bug Fixing Bug yang tidak disadari pada sebuah website dapat dimanfaatkan oleh penyerang untuk memanipulasi website atau mencuri informasi yang terdapat didalamnya. Oleh karena itu, bug harus ditangani sedini mungkin sehingga dapat meminimalkan risiko yang mungkin ditimbulkan oleh bug. Selama melakukan functionality testing dan integration testing, bagian Quality Assurance menemukan beberapa bug yang terjadi akibat kesalahan pada script maupun validasi script pada website dan CM S Wall Street Institute Indonesia yang mengakibatkan bug tersebut dapat menjadi celah bagi attacker untuk menyerang website. Bagian Quality Assurance kemudian memberikan laporan bug pada programmer untuk selanjutnya diperbaiki. M asalah-masalah yang ada telah diperbaiki oleh programmer untuk kepuasan pengguna akhir sehingga website pada akhirnya dapat go live.
4.2.2 Port Scanning Port scanning dilakukan untuk mengetahui port mana saja yang terbuka pada sebuah web server. Dengan mengetahui port yang terbuka, maka dapat diketahui celah yang dapat dimanfaatkan oleh penyerang. Berikut hasil port scanning terhadap website dan CM S Wall Street Institute Indonesia dengan menggunakan Acunetix dan Nmap, yaitu: 1. Open Port 22/ SSH Port 22 merupakan port yang digunakan untuk menjalankan protokol SSH yang digunakan untuk mengakses ke dalam web server melalui jarak jauh (remote login) dan mengeksekusi beberapa perintah seperti menambah, mengubah maupun menghapus serta download file secara remote. Setiap file yang di transfer ke dalam web server terenskripsi sehingga proses transfer file lebih aman dilakukan. 2. Open Port 21 / FTP Port 21 merupakan port yang digunakan untuk menjalankan File Transfer Protocol (FTP) dimana protokol ini digunakan untuk melakukan pertukaran file dalam suatu network dan menyediakan akses jarak jauh (remote computer) ke web server. 3. Open Port 25/ SM TP Port 25 merupakan port yang digunakan untuk menjalankan SM TP yang digunakan untuk mengatur lalu lintas pengiriman email dari client ke email server sebuah ISP seperti Gmail.
4. Open Port 53/ Domain Port 53 merupakan port yang digunakan untuk menjalankan Domain Name System (DNS) yang digunakan untuk menyampaikan permintaan klien atas suatu domain tertentu ke server lalu menanggapi permintaan dari server ke klien dengan menerjemahkan domain ke dalam bentuk IP address yang dapat dimengerti oleh bahasa komputer. 5. Open Port 80/ HTTP Port 80 merupakan port yang digunakan untuk menjalankan Hypertext Transfer Protokol (HTTP) yang digunakan untuk mentransfer dokumen atau halaman dalam World Wide Web (WWW). HTTP menyampaikan permintaan atas aksi apa saja yang harus dilakukan oleh web server dan respon atas permintaan dari web browser. 6. Open Port 110/ POP3 Port 110 merupakan port yang digunakan oleh POP3 (Post Office Protocol) untuk mengambil email dari mailbox sebuah email server dan menyimpannya ke komputer lokal. Dengan menggunakan POP3, maka email akan otomatis ter-download dan disimpan diprogram email client (contohnya Outlook Express, Nestcape, dan lain-lain). 7. Open Port 143/ IM AP Port 143 merupakan port yang digunakan oleh protokol IMAP untuk mengambil email dari email server. IM AP pada dasarnya memiliki fungsi yang sama dengan POP3 yaitu merupakan protokol yang digunakan oleh program email client (M icrosoft Outlook, Nestcape,dan lain-lain) untuk mengambil email dari email server. Akan tetapi pada IM AP, klien dapat
memilih pesan email yang akan diambil, membuat folder di server, mencari pesan email tertentu bahkan menghapus pesan email yang ada. 8. Open Port 443/ HTTPS Port ini digunakan oleh HTTPS untuk melakukan komunikasi web browser secara aman karena data yang ditransfer melalui koneksi ini terenskripsi sehingga aman dari penyadapan dan gangguan. HTTPS pada dasarnya memiliki fungsi yang sama dengan HTTP namun HTTPS menyajikan data dengan menggunakan protokol Secure Socket Layer (SSL). 9. Open Port 465/ SM TPS SM TPS merupakan metode untuk mengamankan SM TP dengan SSL. SM TPS menyediakan otentikasi dari mitra komunikasi, serta keintegritasan dan kerahasiaan data. Di sini, klien dan server tetap mengirimkan email secara normal melalui SM TP pada application layer, tetapi koneksinya diamankan oleh Secure Socket Layer (SSL). 10. Open Port 993/ IM APS Port 993 digunakan oleh protokol IM APS untuk mengelola email. IM APS merupakan metode untuk mengamankan IM AP dengan SSL. IM APS menyediakan otentikasi serta keintegritasan dan kerahasiaan data. Di sini klien dapat memilih pesan email yang akan diambil, membuat folder di server, mencari pesan email tertentu bahkan menghapus pesan email yang ada dengan koneksi yang secure oleh SSL.
11. Open Port 995/ POP3S POP3S merupakan metode untuk mengamankan POP3 dengan SSL. POP3S menyediakan otentikasi serta keintegritasan dan kerahasiaan data. Email pada server akan di-download ke komputer lokal pengguna dengan aman. 12. Open Port 3306/ MySQL Port 3306 merupakan port standar untuk MySQL. Port 3306 dibuka agar database MySQL pada server dapat diakses dari luar. Dalam memberikan akses admin harus mengatur permission sesuai untuk setiap user.
M elalui port yang terbuka ini, banyak para penyerang (attacker) yang mencoba-coba untuk menyusup ke sistem jaringan dan menjebol sistem jaringan tersebut. Oleh karena itu dibutuhkan seorang web admin yang cukup ahli dalam menjaga keamanan sistem dari serangan orang-orang yang tidak bertanggung jawab.
Berikut merupakan risiko-risiko terkait open port : No.
Port
Risiko
Tingkatan Risiko
Rekomendasi
1.
21/FTP
Pertukaran data yang terj adi antara klien dan server , username dan password tidak terenskripsi yang menyebabkan data dapat disadap, dicuri atau disisipkan program yang berbahaya seperti virus trojan di tengah-tengah perjalanan sebelum data tersebut sampai ke klien ataupun ke server.
High
Menggunakan VS ftpd (Very Secure FTP Daemon), atau Virtual Private Network (VPN).
2.
25/SMTP
1. Dapat terjadi flooding email yang disebabkan karena adanya email yang tidak terotenti fikasi. 2. Adanya fake email.
Low
1. Menggunakan port 465/ SMTPS, 2. Memasang anti spam.
3.
53/Domain
Terjadinya spoofing.
High
1. Menutup atau filter port 53, 2. Back up DNS server dilakukan setiap hari.
4.
80/HTTP
1. Terjadinya SQL Injection, 2. Terjadinya Cross Site Scripting (XSS), 3. Terjadinya DOS (Denial of Service).
High
Menggunakan HTTPS.
5.
110/POP3
Para penyerang dapat memanfaatkan lalulintas email yang diambil oleh POP3 dan mendapatkan informasiinform asi penting dari email tersebut karena protokol ini dinilai tidak aman.
Low
1. Menggunakan port 995/POP3S yang dinilai lebih aman dalam lalu lintas email, 2. Memasang anti spam.
6.
143/IMAP
Terjadinya penyadapan inform asi dari lalu lintas email yang sedang berjalan.
Low
7.
3306/
Apabila terdapat bug pada database MySQL maka akan menjadi celah bagi penyerang untuk mengeksploitasi akses.
High
1. Menggunakan port 993/IMAPS yang lebih aman, 2. Memasang anti spam. Melakukan upgrade MySQL secara berkala, membuat, dan menerapkan kebijakan akses terhadap MySQL.
MySQL
Tabel 4.4 Tingkatan Risiko pada open port Website dan CM S WSI
Keterangan ( Table 4.4 Tingkatan Risiko pada Open Port Website dan CM S WSI) 1. Open port 21/FTP Tingkatan risiko
: High
Keterangan
: Tingkatan risiko dikategorikan high karena akan
berdampak pada kredibilitas website Wall Street Institute Indonesia bagi pengguna dan kredibilitas PT Web Architect Technology sebagai developer website bagi klien.
2. Open port 25/ SM TP Tingkatan risiko
: Low
Keterangan
: Tingkatan risiko dikategorikan low karena risiko yang
ditimbulkan tidak terlalu berdampak bagi pihak Wall Street.
3. Open port 53/Domain Tingkatan risiko
: High
Keterangan
: Tingkatan risiko dikategorikan high karena akan
berdampak pada kredibilitas website Wall Street Institute Indonesia bagi pengguna dan kredibilitas PT Web Architect Technology sebagai developer website bagi klien.
4. Open port 80 /HTTP Tingkatan risiko
: High
Keterangan
: Tingkatan risiko dikategorikan high karena melalui port
80 website dapat diakses sehingga rentan terhadap serangan yang akan berdampak pada confidentiality, integrity, dan availability website.
5. Open port 110/pop3 Tingkatan risiko
: Low
Keterangan
: Tingkatan risiko dikategorikan low karena tidak sering
terjadi pengiriman email oleh user.
6. Open port 143/IM AP Tingkatan risiko
: Low
Keterangan
: Tingkatan risiko dikategorikan low karena tidak sering
terjadi pengiriman email oleh user.
7. Open port 3306/MySQL Tingkatan risiko
: High
Keterangan
: Tingkatan risiko dikategorikan high karena melalui port
3306 penyerang dapat menyerang database tempat dimana data sensitif website Wall Street tersimpan sehingga berdampak pada confidentiality , integrity dan availiability website.
4.2.3 Web Alert Berikut merupakan kerentanan-kerentanan yang berhubungan dengan web aler t yang ditemukan berdasarkan hasil scanning dari Acunetix : 4.2.3.1 POP3 Password Post Office Protocol versi 3 ataupun dikenal dengan sebutan POP3 merupakan protokol yang digunakan untuk mengambil email dari email server. Berdasarkan hasil scanning dengan menggunakan Acunetix ditemukan kerentanan pada website Wall Street Institute Indonesia yaitu password POP3 server yang lemah. Adapun detail password pada POP3 server yang ditemukan adalah seperti berikut :
Gambar 4.1 Detail POP3 Server Password
4.2.3.2 Directory Listing Directory listing menampilkan semua file yang ada dalam web server. Berdasarkan hasil scanning yang dilakukan terhadap website Wall Street, web server tempat website Wall Street Institute Indonesia berada dikonfigurasi untuk dapat menampilkan daftar file-file yang ada dalam directory ini. Adapun directory listing yang ditampilkan adalah sebagai berikut:
Gambar 4.2 Detail Directory Listing 4.2.3.3 Error Page Path Disclosure Path disclosure merupakan jenis kerentanan yang terjadi dimana ketika seorang penyerang mencoba untuk mengakses ke jalur (path) pada web page tertentu namun ternyata jalur tersebut tidak ada, sehingga website mengalihkan jalur tersebut ke jalur yang hampir sama. Hal ini mengakibatkan seorang penyerang dapat melihat seluruh struktur file yang terdapat di dalam website.
Gambar 4.3 Detail Error Page Path Disclosure
4.2.3.4 Cookie Cookies merupakan sebuah file berisi informasi yang dicatat pada sebuah browser dimana setiap browser memiliki karakteristik tersendiri dalam mengeluarkan/membuat cookie yang disimpan pada direktori khusus dalam sebuah komputer. Informasi yang disimpan di dalam file cookie sangatlah banyak,
termasuk
username
dan
password.
Cookie
berguna
untuk
mengidentifikasi user pada sebuah situs web sehingga jika pada suatu waktu user kembali mengunjungi situs tersebut, maka situs tersebut dapat mengenali user. Terdapat 2 jenis vulnerability yang ditemukan terkait cookies pada website maupun CM S Wall Street Institute Indonesia yaitu : 1. Session Cookie without HttpOnly Flag Set Jika cookie di-setting dengan menggunakan HttpOnly Flag Set, maka informasi hanya dapat dikirimkan atau diakses pada sebuah server. Namun pada kenyataannya, cookie pada website Wall Street tidak memiliki proteksi dengan menggunakan HttpOnly Flag Set.
Gambar 4.4 Detail Session Cookie without HttpOnly Flag Set 2. Session Cookie without Secure Flag Set Jika sebuah cookie di-setting dengan menggunakan Secure Flag Set, maka cookies hanya dapat diakses melalui saluran yang aman yaitu SSL
channel. Tingkat keamanan cookies lebih terjamin dimana memungkinkan informasi yang diakses ataupun dikirimkan ke server hanya boleh melalui HTTPS, sehingga para attacker tidak memiliki kesempatan untuk melihat cookies ataupun mencuri informasi didalamnya yang lewat di tengah perjalanan melalui HTTP.
Gambar 4.5 Detail Session Cookie without Secure Flag Set
4.2.3.5 Email Address Found Berdasarkan hasil scanning yang dilakukan, Acunetix menemukan alamat email berupa :
[email protected],
[email protected], dan
[email protected] g . Hal ini dapat dimanfaatkan oleh para penyerang untuk mengirimkan junk mail atau spam di mana penyerang mengirimkan email-email yang tidak berguna secara terus menerus yang tentunya hal ini sangat mengganggu kenyamanan Wall Street.
Gambar 4.6 Detail Email Address Found
Berikut adalah risiko-risiko terkait web alert yang ditemukan : No.
Web Alert
Risiko
Tingkatan Risiko
Rekomendasi
1.
POP3 Server Password
Orang-orang yang tidak terotorisasi dapat mengakses POP3 server dan memperoleh seluruh informasi dalam email yang ditampung sementara dalam mail server.
High
Membuat password dengan menggunakan kombinasi yang terdiri dari angka, huruf, dan simbol.
2.
Directory Listing
Seorang penyerang dapat melihat semua file dalam directory yang mungkin terdapat informasi sensitif.
Low
1. Disable Directory Listing yang mengandung informasi sensitif. 2. Memastikan bahwa dalam Directory Listing tidak terdapat info rmasi sensitif.
3.
Error Page Path Disclosure
Disclosure akan informasi sensitif.
Low
1. Mengkonfigurasi web server untuk tidak memberikan respon terhadap permintaan web page yang tidak ada. 2. Menampilkan pesan error seperti “ Page is not found”.
4.
Session Cookie Without HttpOnly Flag Set
Informasi yang terdapat pada cookie seperti username dan password pada CMS Wall Street yang dapat disalahgunakan oleh penyerang.
Low
Mengkonfigurasi session cookie dengan HttpOnly Flag Set.
5.
Session Cookie Without Secure FlagSet
Informasi yang terdapat pada cookie seperti username dan password pada CMS Wall Street yang dapat disalahgunakan oleh penyerang.
Low
Mengkonfigurasi session cookie dengan Secure Flag Set.
No.
Web Alert
6.
Email Address Found
Risiko Junk mail atau spam di mana penyerang dapat mengirimkan email-email yang tidak berguna secara terus menerus yang tentunya hal ini dapat menyebabkan mail server menjadi down. Spam dapat mengandung virus atau aplikasi yang berbahaya yang dapat mengelabui pengguna untuk membocorkan informasi perusahaan yang sensitif.
Tingkatan Risiko Low
Rekomendasi 1. Menggunakan anti virus yang berlisensi dan melakukan update secara berkala. 2. Menggunakan anti spam
Tabel 4.5 Tingkatan Risiko pada Web Alert Keterangan (Tabel 4.5 Tingkatan risiko pada web alert) 1.
POP3 Server Password Tingkatan Risiko
: High
Keterangan
: Tingkatan risiko dikategorikan high karena password
tidak memenuhi standar yang aman sehingga mudah untuk diserang. 2.
Directory Listing Tingkatan Risiko
: Low
Keterangan
: Tingkatan risiko dikategorikan low karena tidak
mengandung informasi sensitif. 3.
Error Page Path Disclosure Tingkatan Risiko
: Low
Keterangan
: Tingkatan risiko dikategorikan low karena sistem tidak
merespon akses terhadap path tersebut.
4.
Session Cookie without HttpOnly Flag Set Tingkatan Risiko
: Low
Keterangan
: Tingkatan risiko dikategorikan low karena website Wall
Street merupakan website educational di mana tidak sering terjadi transaksi berbeda halnya jika website tersebut adalah website E-Commerce maka cookie banyak mengandung informasi sensitif. 5.
Session Cookie without Secure Flag Set Tingkatan Risiko : Low Keterangan
: Tingkatan risiko dikategorikan low karena website Wall
Street merupakan website educational di mana tidak sering terjadi transaksi berbeda halnya jika website tersebut adalah website E-Commerce maka cookie banyak mengandung informasi sensitif. 6.
Email Address Found Tingkatan Risiko : Low Keterangan
: Tingkatan risiko dikategorikan low karena jarang terjadi
pengiriman email di mana email hanya digunakan pada form.
4.3 Laporan Hasil Audit
LAPORAN HAS IL PENGUJIAN KEAMANAN WEBSITE YANG DIKEMBANGKAN OLEH PT WEB ARCHITECT TECHNOLOGY ( S TUDI KAS US PADA WALL S TREET INS TITUTE INDONES IA ) Kepada : PT Web Architect Technology Perihal : Laporan Hasil Pengujian Keamanan Website Wall S treet Institute Indonesia Periode : Juli 2011- Januari 2012
Oleh : Yiyin Susanty Widya Putri Ayu
Bina Nusantara University Jakarta 2012
Temuan #1 Open Port 21/FTP Risiko: Pertukaran data yang terjadi antara klien dan server tidak terenskripsi yang menyebabkan data dapat dicuri atau disisipkan program yang berbahaya seperti virus trojan di tengah-tengah perjalanan sebelum data tersebut sampai ke klien ataupun ke server. Rekomendasi : 1. PT Web Architect Technology sebaiknya menggunakan VSftpd (Very Secure FTP Daemon) sebagai FTP Server. 2. PT Web Architect Technology menggunakan Virtual Private Network (VPN) sehingga pihak lain tidak dapat menyadap informasi dengan mudah pada saat Wall Street melakukan transfer data ke FTP server.
Temuan #2 Open Port 25/SM TP Risiko: 1. Dapat terjadi flooding email yang disebabkan karena adanya email yang tidak terotentifikasi, 2. Adanya fake email (email palsu).
Rekomendasi : 1. PT Web Architect Technology membuka port 25/SM TP dan port 465/SMTPS pada website Wall Street sehingga Wall Street dapat memilih untuk menggunakan port 25/SMTP atau port 465/SM TPS untuk mengirim email. Namun sebaiknya PT Web Architect Technology hanya membuka port 465/SM TPS untuk pengiriman email secara aman. 2. M emasang anti spam.
Temuan #3 Open Port 53/Domain Risiko : Terjadinya spoofing. Dengan teknik spoofing maka penyerang dapat mengelabui pengguna website untuk memperoleh informasi penting dari mereka seperti username, password, alamat, nomor telepon, dan lain-lain dengan membuat web tiruan yang mirip dengan website aslinya. Rekomendasi: Tindakan yang telah dilakukan PT Web Architect Technology untuk meminimalkan risiko ini yaitu dengan melakukan back up Domain Name System (DNS) Server secara berkala (3 hari sekali). Akan tetapi lebih baik jika back up DNS dilakukan secara harian. Selain itu, PT Web Architect Technology sebaiknya mengubah status port 53 menjadi closed atau filtered.
Temuan #4 Open Port 80/HTTP Risiko: Terjadinya SQL Injection, Cross Site Scripting (XSS), dan Denial of Service (DOS). Rekomendasi: Sebaiknya PT Web Architect Technology menyarankan pihak Wall Street untuk menggunakan SSL yang diterapkan pada HTTP sehingga hanya port 445/HTTPS yang dibuka untuk melakukan komunikasi yang aman pada web browser pengguna.
Temuan #5 Open Port 110/POP3 Risiko: Para penyerang dapat memanfaatkan lalu lintas email yang diambil oleh POP3 dan mendapatkan informasi-informasi penting dari email tersebut karena protokol ini dinilai tidak aman. Rekomendasi: 1. M enggunakan port 995/POP3S yang dinilai lebih aman dalam lalu lintas email, 2. M emasang anti spam.
Temuan #6 Open Port 143/IM AP Risiko : Terjadinya penyadapan informasi dari lalu lintas email yang sedang berjalan. Rekomendasi: 1. Sebaiknya PT Web Architect Technology menyarankan pihak Wall Street Institute Indonesia untuk menggunakan SSL yang diterapkan pada IM AP sehingga hanya port 993/IM APS yang dibuka untuk melakukan pengambilan email dari server secara aman, 2. M emasang anti spam.
Temuan#7 Open Port 3306/MySQL Risiko: Apabila terdapat bug pada database MySQL maka akan menjadi celah bagi penyerang untuk mengeksploitasi akses pada sistem sehingga data Wall Street dapat dimanipulasi dan diubah oleh penyerang.
Rekomendasi: 1. PT Web Architect Technology sebaiknya selalu melakukan upgrade M ySQL dengan versi yang terbaru, 2. M embuat dan menerapkan kebijakan akses terhadap MySQL.
Temuan #8 POP3 server menggunakan password yang lemah dan mudah ditebak. Risiko : Orang-orang yang tidak terotorisasi dapat mengakses POP3 server dan memperoleh seluruh informasi dalam email yang ditampung sementara dalam mail server. Rekomendasi : M enerapkan kebijakan untuk membuat password dengan menggunakan kombinasi yang terdiri dari angka, huruf, dan simbol.
Temuan#9 Directory Listing Risiko : Seorang penyerang dapat melihat semua file dalam directory yang mungkin terdapat informasi sensitif.
Rekomendasi : 1. Disable Directory Listing yang mengandung informasi sensitif. 2. M emastikan bahwa dalam Directory Listing tidak terdapat informasi sensitif.
Temuan#10 Error Page Path Disclosure Risiko : Disclosure akan informasi sensitif . Rekomendasi : 1. M engkonfigurasi web server untuk tidak memberikan respon terhadap permintaan web page yang tidak ada. 2. M enampilkan pesan error seperti “Page is not found”.
Temuan #11 Session Cookie without HttpOnly Flag Set Risiko : Informasi yang terdapat pada cookie seperti username dan password pada CM S Wall Street yang dapat disalahgunakan oleh penyerang. Rekomendasi : M engkonfigurasi session cookie dengan HttpOnly Flag Set.
Temuan #12 Session Cookie Without Secure Flag Set Risiko: Informasi yang terdapat pada cookie seperti username dan password pada CM S Wall Street yang dapat disalahgunakan oleh penyerang. Rekomendasi: M engkonfigurasi session cookie dengan Secure Flag Set.
Temuan#13 Email address found (
[email protected],
[email protected], dan
[email protected] g) Risiko : Junk mail atau spam dimana penyerang dapat mengirimkan email yang tidak berguna secara terus menerus yang tentunya hal ini dapat menyebabkan mail server menjadi down. Spam dapat mengandung virus atau aplikasi yang berbahaya yang dapat mengelabui pengguna untuk membocorkan informasi perusahaan yang sensitif. Rekomendasi : 1. M enggunakan anti virus yang berlisensi dan melakukan update secara berkala. 2. M enggunakan anti spam.
