LAPORAN KERJA PRAKTIK ASSESSMENT VULNERABILITY WEB APPLICATION PT TELKOM INDONESIA BANDUNG Periode 23 Mei – 1 Juli, 2016
Oleh : DHERY WIRANATA SURYA (NIM : 1104130039)
Dosen Pembimbing Akademik BUDHI IRAWAN, MT (NIP. 08740463-1 )
PROGRAM STUDI S1 SISTEM KOMPUTER FAKULTAS TEKNIK ELEKTRO UNIVERSITAS TELKOM BANDUNG 2016
LEMBARAN PENGESAHAN
LAPORAN KERJA PRAKTIK ASSESSMENT VULNERABILITY WEB APPLICATION DI PT.TELKOM INDONESIA BANDUNG Periode 23 Mei – 1 Juli, 2016
Oleh : DHERY WIRANATA SURYA (NIM : 1104130039)
Mengetahui , Dosen Pembimbing Akademik
Pembimbing Lapangan
(Budhi Irawan, MT )
(Robby Cahayadi, ST)
NIP. 08740463-1
NIK. 740092
ABSTRAK Kerja Praktik adalah suatu kegiatan yang merupakan program kurikuler yang dirancang untuk menciptakan suatu pengalaman kerja tertentu bagi mahasiswa IT Telkom, yang dilakukan dalam mengisi masa libur mahasiswa. Dengan melaksanakan Kerja Praktik dalam hal ini mahasiswa dilatih untuk mengenal dan menghayati ruang lingkup pekerjaan di lapangan, belajar mengadaptasi diri dengan lingkungan baru guna melengkapi proses belajar yang didapat di bangku perkuliahan. Kerja Praktik ini dilaksanakan di Kantor PT Telkomunikasi Indonesia Tbk Bandung Graha Merah Putih Provinsi Jawa Barat., ditempatkan di divisi IT Planning & Architecture ISC (Information Service Center) sebagai IT Support . Dalam Kerja Praktik ini, Di PT Telkom Indonesia yang berkerjasama dengan Telkom Sigma merupakan anak perusahaan dari telkom indonesia yang memonitoring seluruh jalannya akses jaringan, keamanan pada aplikasi web yang membuat seluruh karyawan indonesia bersinergis dalam mencapai tujuan bersama.Kerja Praktik di PT telkom Indonesia dimulai pada 23 Mei sampai dengan 1 juli 2016.
KATA PENGANTAR
Pertama-tama penulis mengucapkan segala Puji bagi Allah SWT yang Maha Pemurah dan Maha Penyayang sehingga penulis dapat menyelesaikan laporan kegiatan Kerja Praktik ini dengan baik. Shalawat serta sama semoga senantiasa tercurahkan kepada sebaik-baiknya Rasulullah SAW,beserta keluarga dan sahabarnya. Melalui pelaksanaan kerja praktek ini penulis berusaha memperoleh ilmu, serta wawasan dan keterampilan dalam meng-aplikasikan ilmu-ilmu yang telah diperoleh di bangku perkuliahan ke dunia industri atau dunia kerja serta mengerjakan pekerjaan yang diberikan oleh pembimbing lapangan yang berhubungan dengan bidang ilmu yang diajukan dalam proposal kerja praktek. Terlaksananya kerja praktek dan penyusunan laporan ini tidak terlepas dari bantuan berbagai pihak. Untuk itu pada kesempatan ini penulis menyampaikan banyak terima kasih kepada : 1. Tuhan Yang Maha Esa yang telah memberikan rahmat dan hidayahnya beserta kemudahan selama mengikuti kerja praktek ini. 2. Mama, papa, kakak serta adik tercinta yang telah memberikan do’a restu, motivasi serta dorongan dan bimbingan bagi penulis untuk menggapai cita-cita dan impian. 3. Dosen Wali SK-37-02 Bapak Budhi Irawan, MT selaku Pembimbing Akademik Kerja Praktik kelas SK-37-02 Sistem Komputer Universitas Telkom. 4. Bapak Robby Cahayadi selaku staff pegawai di IT Planning & Architecture (ISC) Telkom Indonesia yang telah memberikan kesempatan kepada penulis untuk melakukan kegiatan Kerja Praktek ini. 5. Bapak Khaerul Basar, Bapak Sukoco, Bapak Eddy Kodarisman, Bapak Suherman, Bapak Eko Nur Rudihanto, Bapak Sulis Tijono, Bapak Wibowo Prabodito dan seluruh pegawai di IT Planning & Architecture selaku pegawai IT banyak memberikan bimbingan, pengetahuan dan di Area PT. Telkom Indonesia Sigma Bandung yang telah banyak
memberikan bimbingan, pengetahuan dan wawasan serta berbagi pengalaman didunia kerja mengenai pentingnya sebuah pencapaian target di Area PT. Telkom Indonesia serta bimbingan dalam membuat dan merampungkan laporan Kerja Praktek. 6. Dalam pelaksanaan Kerja Praktek ini terdapat banyak kekurangan dan kesalahan baik dari segi pelaksanaan Kerja Praktek maupun dalam hal penyusunan Laporan Kerja Praktek. Oleh karena itu, penyusun menyampaikan permohonan maaf yang sebesar-besarnya. Saran dan kritik yang bersifat membangun sangat penyusun harapkan demi perbaikan di masa datang. Semoga laporan kerja praktek ini dapat bermanfaat bagi penulis khususnya dan para pembaca sekalian. 7. Segala saran dan kritik yang bersifat membangun sangat diharapkan untuk perbaikan dimasa yang akan datang. Akhir kata mohon maaf apabila terdapat banyak kesalahan dan kekurangan dalam penyusunan laporan Kerja Praktek ini.
Bandung, 30 Juni 2016
Penulis
DAFTAR ISI Laporan Kerja Praktik ................................................................................................... i Lembar Pengesahan ....................................................................................................... ii Abstrak ........................................................................................................................... iii Kata Pengantar .............................................................................................................. iv Daftar Isi......................................................................................................................... vi Daftar Gambar ............................................................................................................. vii Daftar Tabel ................................................................................................................. viii Daftar Istilah .................................................................................................................. ix BAB 1 Pendahuluan ......................................................................................................13 1.1 Latar Belakang Penugasan Kerja Praktik ..................................................................13 1.2 Lingkupan Penugasan Kerja Praktik .........................................................................13 1.3 Target Pemecahan Masalah Kerja Praktik.................................................................14 1.4 Metode Pelaksanaan Tugas Kerja Praktik .................................................................14 1.5 Rencana dan penjadwalan Kerja Praktik ...................................................................15 1.6 Ringkasan Sistematika Laporan ................................................................................16 BAB 2 Profil Instansi/Perusahaan ...............................................................................17 2.1 Profil Instansi/Perusahaan .........................................................................................17 2.2 Visi,Misi dan Tujuan Perusahaan ..............................................................................20 2.3 Struktur Organisasi ....................................................................................................21 2.4 Lokasi/Unit Pelaksanaan Kerja .................................................................................23
BAB 3 Kegiatan dan Pembahasan Kritis ....................................................................24 3.1 Skematik Umum sistem yang terkait kerja praktik ...................................................24 3.1.1 Teori pendukung .....................................................................................................24 3.1.3 Pengertian OWASP ...........................................................................................24 3.1.4 Sejarah OWASP ................................................................................................24 3.1.5 Tujuan OWASP ......................................................................................................25 3.1.6 Risiko – risiko Keamanan Aplikasi ........................................................................25
3.1.7 Perkembangan Risiko – Risiko...............................................................................26 3.2 Web Application Security Testing ............................................................................27 3.3 IBM Security Appscan ..............................................................................................27 3.4 OWASP Testing Checklist ........................................................................................28
BAB 4 Kesimpulan & Saran .........................................................................................30 4.1 Kesimpulan ................................................................................................................30 4.2 Saran ..........................................................................................................................30
Daftar Pustaka ...............................................................................................................31 Lampiran ........................................................................................................................32 Lampiran Dokumentasi ................................................................................................32 Lampiran A – Copy Surat Lamaran ke Perusahaan/Instansi ..................................33 Lampiran B – Copy Balasan surat lamaran dari Perusahaan/Instansi ...................34 Lampiran C – Copy Lembar penilaian Pembimbing Lapangan dari Perusahaan/ Instansi............................................................................................................................35 Lampiran D – Lembar Berita Acara Presentasi dan Penilaian Pembimbing Akademik .......................................................................................................................36 Lampiran E – logbook kegiatan mahasiswa ...............................................................37 Lampiran F - Lampiran Testing Checlist ...................................................................38
Daftar Gambar Gambar 2.1 Perubahan Logo Telkom Indonesia ..............................................................18
Gambar 2.4 Denah lokasi PT Telkom Indonesia ........................................................23 Gambar 2.2 Proses penyerangan Aplikasi web ..........................................................25 Gambar 2.3 Pekerbangan Risiko Keamanan Aplikasi ..............................................26 Gambar 4.1 Hasil scan dari metode appscan ..............................................................27 Gambar 4.2 Katagori perbaikan OWASP ..................................................................28
Daftar Tabel Tabel 1.5 Rencana dan Penjadwalan Kerja ................................................................15
Daftar Istilah Attack
: Serangan
BEJ
: Bursa Efek Jakarta
BES
: Bursa Efek Surabaya
Broken Authentication and Session Management
: Fungsi-fungsi aplikasi yang Berhubungan dengan otentikasi dan pengelolahan sesi sering kali tidak
diimplementasi
dengan
benar.
Cross-Site Request Forgery (CSRF)
: Suatu serangan CSRF browser yang sudah log-on untuk mengirim HTTP request yang dipalsukan.
Cross-Site Scripting(XSS)
: Salah satu jenis serangan injeksi Code (Code Injection Attack).
Fixed wireless
: Komunikasi tanpa kabel
Fixed wireline
: Komunikasi dengan kabel
Injection
: Sebuah kelemahan injeksi, terjadi ketika data yang tidak dapat dipercaya dikirimkan ke suatu interpreter sebagai bagian dari suatu perintah
Insecure Direct Object References
: Sebuah serangan terjadi ketika pengembangan mengekspos refensi ke suatu objek implementasi internal, file, direktori atau kunci data base
IPO
: Initial Public Offering
IT ISC
: Information Service Senter
IT Support
: Information and tecnology
ITSSP
: Information and tecnology Solution strategic portfolio
JAWATAN
: Layanan pos dan telegram
KSO
: Kerja Sama Operasi
LSE
: London Stock Exchange
Server
: Sistem Komputer yang digunakan untuk menyediakan layanan client dalam suatu jaringan.
Missing Function Level Access Control
: Sebuah aplikasi web yang paling Menverifikasi tingkat akses fungsi Yang tepat sebelum membuat Fungsi yang terlihat di UI (User Interface)
NWS
: Network & Solution
OWASP
: Open Web Application Security Project
PERUMTEL
: Perusahaan Umum Telekomunikasi
PN
: Perusahaan Negara
POWL
: Public Offering Without Listing
PTT
: Post Telegraph end Telephone
Security Misconfiguration
: Sebuah kesalahan konfigurasi keamanan yang membuat aplikasi rentan di terkena serangan.
Sensitive Data Exposure
: Sebuah keterbukaan data sensitif Yang membuat penyerang dapat Mengambil atau merubahnya.
TIMES
: Telecommunication, Information, Media, Edutainment and Service
Using Components with Know Vulnerabilities
: Sebuah komponen seperti, data internal, kerangka kerja dan modul perangkat lain yang hampir selalu dijalankan dengan hak penuh.
BAB I PENDAHULUAN 1.1. Latar Belakang Mahasiswa, merupakan salah penerus bangsa, yang nanti akan memegang tanggung jawab atas berkembangnya Indonesia ke arah yang lebih baik. Dalam mendapatkan ilmu pengetahuan sebagai modal untuk memajukan bangsa, tidaklah cukup mahasiswa hanya mendapatkan pendidikan formal yang didapat di bangku kuliah. Selain itu, tuntutan dunia kerja akan tenaga-tenaga yang profesional, merupakan sebuah tantangan bagi mahasiswa agar menjadikan dirinya bermanfaat tidak hanya bagi dirinya sendiri, tetapi juga dapat diimplementasikan dalam dunia kerja. Untuk mendapat ilmu pengetahuan yang diterapkan dalam dunia kerja, salah satu langkahnya adalah melalui kerja praktek. Kerja praktek ini merupakan sarana untuk memberikan ilmu secara informal tentang bagaimana dunia kerja sebenarnya, mengimplementasikan segala yang telah dipelajari di bangku kuliah, dan belajar untuk menyelesaikan persoalan yang sebelumnya tidak pernah ditemukan dibangku kuliah. Universitas Telkom memberikan kesempatan yang seluas-luasnya kepada para mahasiswanya untuk mendapatkan pengalaman dan wawasan kerja lebih baik dengan mengikuti program kerja praktek. PT Telkom Indonesia adalah salah satu perusahaan informasi dan komunikasi serta penyedia jasa dan jaringan telekomunikasi secara lengkap di Indonesia. Telkom mengklaim sebagai perusahaan telekomunikasi terbesar di Indonesia, dengan jumlah pelanggan telepon tetap sebanyak 15 juta dan pelanggan telepon seluler sebanyak 104 juta. Sebagai penyedia layanan komunikasi dan jaringan yang serba cepat ini tentunya didukung dengan sistem keamanan dari berbagai metode seperti OWASP. Dengan begitu layanan internet dan komunikasi dapat terjamin keamananya yang membuat pengguna merasa terlayani dengan maximal. 1.2. Lingkupan penugasan Kerja Praktik Dalam penyusunan laporan Kerja Praktek, saya diberi penugasan oleh Bapak Robby Cahayadi untuk membantu meriset perkembangan dari aplikasi web
yang berada pada bidang IT-ISC ( Information Service Senter) unit IT Planning & Architecture. Adapun ruang lingkup yang dibahas dalam penulisan laporan kerja peraktik adalah : A. Hanya membahas kegiatan yang dilakukan selama kerja praktek. B. Membahas tentang perkembangan Aplikasi web C. Membahas tentang OWASP D. Mengetahui daftar top 10 attack di dunia E. Membahas tentang implementasi keamanan aplikasi pada perusahaan F. Tidak membahas dalam permasalahan data pada server, karena merupakan rahasia perusahaan. 1.3. Target pemecahan masalah Kerja Praktik Adapun Target dari pelaksanaan kerja praktek ini adalah : 1.
Mengetahui ruang lingkup pekerjaan dari divisi IT-ISC ( Information Service Senter) unit IT Planning & Architecture di PT Telkom Indonesia.
2.
Mempelajari penggunaan OWAPS sebagai pedoman keamanan aplikasi bebasis web.
3.
Mendapatkann sebuah pengalaman kerja.
4.
Menumbuhkan rasa tanggung jawab dan kedisiplinan terhadap tugas yang diberikan.
5.
Memberikan sebuah pengalaman dalam memecahkan sebuah masalah secara mandiri maupun kerja sama.
1.4. Metode pelaksanaan pemecahan masalah Kerja Praktik Dalam target pemecahan masalah kerja praktek ini digunakan beberapa metode untuk mendapatkan data-data yang objektif yang diharapkan dapat dijadikan pedoman dalam penyusunan laporan kerja praktek ini, yaitu : 1. Wawancara dengan cara tanya jawab secara langsung kepada pembimbing lapangan dan para staff karyawan IT-ISC, PT Telkom Indonesia, Bandung. 2. Studi lapangan dengan cara melakukan pendampingan langsung atas aktivitas yang dilakukan pembimbing dalam melakukan tugas lapangan.
3. Studi literatur (studi pustaka) seperti buku-buku referensi dan data referensi lain yang berkenaan dengan masalah yang dibahas.
1.5. Rencana dan penjadwalan Kerja Praktik Minggu No
Kegiatan I Pengenalan
1
PT.
II
III
IV
V
VI
Telkom
Indonesia divisi ISC ( Information Service Senter )
2
Studi Literatur
3
Observasi
4
Konsultasi yang diperlukan
5
Penyusunan Laporan
6
Penyerahan Laporan
Tabel 1.5 Rencana dan Penjadwalan Kerja Minggu pertama kerja praktik dimulai dengan pengenalan PT Telkom Indonesia Divisi ISC (Information Service Senter) dan juga peraturan yang diterapkan di PT Telkom Indonesia, Serta tentang pejelasan tentang perkerjaan yang akan dilakukan di IT Planning & Architecture dimana saya ditempatkan. Minggu kedua kerja praktik digunakan untuk mengerjakan hasil laporan appscan pada web telkom dan mencari bahan – bahan pembelajaran yang menunjang riset, Dalam kesempatan kali ini saya di bimbing oleh pak Robby Cahayadi dan pak Sukocu.
Minggu ketiga kerja praktik digunakan untuk melakukan konsultasi terhadap topik pembahasan yang diberikan oleh pembimbing lapangan. Minggu keempat kerja praktik digunakan untuk melakukan penyusunan laporan dengan data dan bahan yang sudah dibahas. Minggu kelima kerja praktik digunakan untuk melakukan penyerahan laporan dan melakukan revisi. 1.6. Ringkasan sistematika laporan Laporan kerja praktek ini terdiri atas 5 (lima) bab yang tersusun secara sistematis yakni sebagai berikut :
BAB I
PENDAHULUAN Bab ini membahas mengenai latar belakang, Rumusan Masalah, Batasan masalah, Tujuan pelaksanaan, Waktu dan tempat, metode penulisan, Sistematika Penulisan.
BAB II
PROFIL PERUSAHAAN Bab ini membahas secara singkat sejarah PT Telkom Indonesia, Visi dan Misi perusahaan, Tujuan perusahaan, Inisiatif strategis dan struktur organisasi perusahaan.
BAB III
KEGIATAN DAN PEMBAHASAN KRITIS Pada bab ini tentang informasi dasar mengenai pengertian, Sejarah,perkembangan dan tujuan OWASP ( Open Web Application Security Project)
BAB V
SIMPULAN DAN SARAN Bab ini berisikan kesimpulan dan saran yang diperoleh dari data lapangan dan analisa yang telah dilakukan.
BAB II PROFIL PERUSAHAAN
2.1
Profil Sejarah Perkembangan Singkat PT Telekomunikasi Indonesia PT.Telekomunikasi
Indonesia,
Tbk.
(“TELKOM”,
“Perseroan”,
atau
“Perusahaan”) adalah penyedia layanan telekomunikasi dan jaringan terbesar di Indonesia. TELKOM menyediakan layanan InfoComm, telepon tidak bergerak kabel (fixed wireline) dan telepon tidak bergerak nirkabel (fixed wireless), layanan telepon seluler, data dan internet, serta jaringan dan interkoneksi, baik secara langsung maupun melalui anak perusahaan. Pada awalnya di kenal sebagai sebuah badan usaha swasta penyedia layanan pos dan telegrap atau dengan nama “JAWATAN”. Pada tahun 1961 Status jawatan diubah menjadi Perusahaan Negara Pos dan Telekomunikasi (PN Postel), PN Postel dipecah menjadi Perusahaan Negara Pos dan Giro (PN Pos & Giro), dan Perusahaan Negara Telekomunikasi (PN Telekomunikasi). Dan pada tahun 1974 PN Telekomunikasi disesuaikan menjadi Perusahaan Umum Telekomunikasi (Perumtel) yang menyelenggarakan jasa telekomunikasi nasional maupun internasional. Pada tanggal 14 November 1995 di resmikan PT. Telekomunikasi Indonesia sebagai nama perusahaan telekomunikasi terbesar di Indonesia. TELKOM menyediakan jasa telepon tetap kabel (fixed wire line), jasa telepon tetap nirkabel (fixed wireless), jasa telepon bergerak (mobile service), data/internet serta jasa multimedia lainnya dan juga TELKOM merupakan salah satu BUMN yang sahamnya saat ini dimiliki oleh Pemerintah Indonesia (51,19%) dan oleh publik sebesar 48,81%. Sebagian besar kepemilikan saham publik (45,58%) dimiliki oleh investor asing, dan sisanya (3,23%) oleh investor dalam negeri. TELKOM juga menjadi pemegang saham mayoritas di 9 anak perusahaan, termasuk PT Telekomunikasi Selular (Telkomsel)
Logo Telkom Pos (1956-1974)
Logo Telkom (2001-2009)
Logo Telkom PERUMTEL (1974-1991)
Logo Telkom (2009-2013)
Logo Telkom (1991- 2001)
Logo Telkom (2013 - Sekarang)
Gambar 2.1 Perubahan logo Telkom Indonesia
Pada Tahun 1882 sebuah badan usaha swasta penyedia layanan pos dan telegrap dibentuk pada masa pemerintahan kolonial Belanda. Pada Tahun 1906 Pemerintah Kolonial Belanda membentuk sebuah jawatan yang mengatur layanan pos dan telekomunikasi yang diberi nama Jawatan Pos, Telegrap dan Telepon (Post, Telegraph en Telephone Dienst/PTT). Pada tahun 1945 Proklamasi kemerdekaan Indonesia sebagai negara merdeka dan berdaulat, lepas dari pemerintahan Jepang. Pada Tahun 1961 Status jawatan diubah menjadi Perusahaan Negara Pos dan Telekomunikasi (PN Postel). Pada Tahun 1965 PN Postel dipecah menjadi Perusahaan Negara Pos dan Giro (PN Pos & Giro), dan Perusahaan Negara Telekomunikasi (PN Telekomunikasi).
Pada Tahun 1974 PN Telekomunikasi disesuaikan menjadi Perusahaan Umum Telekomunikasi (Perumtel) yang menyelenggarakan jasa telekomunikasi nasional maupun internasional. Pada Tahun 1980 PT Indonesian Satellite Corporation (Indosat) didirikan untuk menyelenggarakan jasa telekomunikasi internasional, terpisah dari Perumtel. Pada
Tahun
Telekomunikasi,
1989
tentang
Undang-undang
peran
serta
swasta
nomor dalam
3/1989
tentang
penyelenggaraan
telekomunikasi. Pada Tahun 1991 Perumtel berubah bentuk menjadi Perusahaan Perseroan (Persero) Telekomunikasi Indonesia berdasarkan PP no.25 tahun 1991. Pada Tahun1995 Penawaran Umum perdana saham TELKOM (Initial Public Offering/IPO) dilakukan pada tanggal 14 November 1995. sejak itu saham TELKOM tercatat dan diperdagangkan di Bursa Efek Jakarta (BEJ), Bursa Efek Surabaya (BES), New York Stock Exchange (NYSE) dan London Stock Exchange (LSE). Saham TELKOM juga diperdagangkan tanpa pencatatan (Public Offering Without Listing/POWL) di Tokyo Stock Exchange. Pada Tahun 1996 Kerja sama Operasi (KSO) mulai diimplementasikan pada 1 Januari 1996 di wilayah Divisi Regional I Sumatra sampai dengan mitra PT Pramindo Ikat Nusantara (Pramindo); Divisi Regional III Jawa Barat dan Banten sampai dengan mitra PT Aria West International (AriaWest); Divisi Regional IV Jawa Tengah dan DI Yogyakarta sampai dengan mitra PT Mitra Global Telekomunikasi Indonesia (MGTI); Divisi Regional VI Kalimantan sampai dengan mitra PT Dayamitra Telekomunikasi (Dayamitra); dan Divisi Regional VII Kawasan Timur Indonesia sampai dengan mitra PT Bukaka Singtel. Pada Tahun 1999 Undang-undang nomor 36/1999, tentang penghapusan monopoli penyelenggaraan telekomunikasi.
Pada Tahun 2001 TELKOM membeli 35% saham Telkomsel dari PT Indosat sebagai bagian dari implementasi restrukturisasi industri jasa telekomunikasi di Indonesia, yang ditandai dengan penghapusan kepemilikan bersama dan kepemilikan silang antara TELKOM dengan Indosat. Dengan transaksi ini, TELKOM menguasai 72,72% saham Telkomsel. TELKOM membeli 90,32% saham Dayamitra dan mengkonsolidasikan laporan keuangan Dayamitra ke dalam laporan keuangan TELKOM. Pada Tahun 2002 TELKOM membeli seluruh saham Pramindo melalui 3 tahap, yaitu 30% saham pada saat ditandatanganinya perjanjian jual-beli pada tanggal 15 Agustus 2002, 15% pada tanggal 30 September 2003 dan sisa 55% saham pada tanggal 31 Desember 2004. TELKOM menjual 12,72% saham Telkomsel kepada Singapore Telecom, dan dengan demikian TELKOM memiliki 65% saham Telkomsel. Sejak Agustus 2002 terjadi duopoli penyelenggaraan telekomunikasi lokal. 2.2
Visi, Misi, dan Tujuan Perusahaan Sebagai perusahaan layanan internet dan komunikasi di Indonesia, dalam PT Telekomunikasi Indonesia menjalankan dan mengembangkan perusahaan memiliki Visi dan Misi. Visi dan Misi ini sangat penting untuk didefenisikan agar gerak langkah dari perusahaan lebih terarah sesuai dengan tujuan dan landasan kerja yang telah ditetapkan.
2.2.1
Visi PT. Telkom Indonesia Menjadi
Perusahaan
yang
unggul
dalam
penyelenggaraan
Telecommunication, Information, Media, Edutainment dan Services (“TIMES”) di kawasan regional.
2.2.2
Misi PT. Telkom Indonesia
Menyediakan
layanan
Telecommunication,
Information,
Media,
Edutainment dan Service (TIMES) yang berkualitas tinggi dengan harga yang kompetitif dan Menjaga model pengelolaan korporasi.
2.2.3
Tujuan PT.Telkom Indonesia Menciptakan posisi terdepan dengan memperkokoh bisnis legency dan
meningkatkan bisnis new wave untuk memperoleh 60% dari pendapatan industri pada tahun 2015. 2.3
Struktur Organisasi Perusahaan Telkom telah mencanangkan sebuah grand strategy menuju sustainable competitive growth, dengan sasaran sebagai berikut: 1. Pertumbuhan organik yang akan dicapai dengan penguatan bisnis inti melalui fokus pada strategi segmentasi pelanggan yaitu layanan konsumer, layanan enterprise, dan layanan wholesale dan internasional, yang didukung oleh 10 juta sambungan POTS dan 5 juta sambungan Speedy. 2. Pertumbuhan
inorganik
yang
akan
dicapai
melalui
strategi
relateddiversification berupa pengembangan bisnis baru, pengelolaan portofolio strategis, serta membangun sinergi antara kami dan entitas anak kami. Dalam rangka implementasi yang efektif dari strategi-strategi tersebut di atas, dipandang perlu adanya beberapa hal sebagai berikut: 1. Direktur yang fokus menangani segmen layanan wholesale dan internasional 2. Direktur yang fokus menangani pengembangan portofolio bisnis. 3. Mekanisme atau model parenting yang mampu membangun sinergi antara Entitas Anak dengan Induk Perusahaan maupun antar-Entitas Anak. Untuk itu, pada tahun 2012 Telkom telah melakukan beberapa perubahan menyangkut pembagian tugas dan wewenang Direksi, sebagai berikut: 1. Mengalihkan tugas dan wewenang penanganan bisnis di segmenwholesale dan internasional, dari semula di bawah Direktur Enterprise & Wholesale (“EWS”) menjadi di bawah Direktur Compliance & Risk Management
(“CRM”). Dengan demikian Direktur EWS dapat lebih fokus pada pengembangan segmen bisnis enterprise. 2. Menambah tugas dan wewenang Direktur CRM untuk menangani segmen bisnis wholesale dan internasional, selain tugas dan wewenangnya sebagai Direktur CRM. 3. Menyesuaikan tugas dan wewenang Direktur IT, Solution & Strategic Portfolio (“ITSSP”) agar lebih fokus pada upaya inovasi dan pengembangan portofolio bisnis, dengan mengalihkan sebagian aktivitas Direktorat ITSSP, khususnya yang terkait dengan pengelolaan dan pendayagunaan IT dan tarif, menjadi di bawah Direktorat Network & Solution (“NWS”). 4. Menambah tugas dan wewenang Direktur NWS untuk menangani pengelolaan dan pendayagunaan IT serta service operation & management, untuk mendukung upaya pengembangan bisnis yang sudah berjalan (established). Selain itu, untuk membangun sinergi yang lebih efektif di lingkungan Telkom Group, Kami membentuk struktur Dewan Eksekutif beranggotakan empat Direktur Utama dari Entitas Anak. Dewan Eksekutif menjalankan tugas advisoryterkait dengan formulasi strategi, perencanaan, penetapan kebijakan serta pemantauan kinerja, untuk masing-masing lini bisnis yaitu bisnis seluler, bisnis internasional, bisnis IME dan bisnis menara telekomunikasi.
2.4
Lokasi pelaksanaan kerja praktik
Untuk lokasi pelaksanaan kerja pratik terdapat di Jalan Japati No.1 Bandung 40133, Indonesia Tel : (62-22) 4527101 dan Fax : (62-22) 4240313. Berikut adalah denah dari tempat pelaksanaan kerja praktik.
Gambar 2.4 Denah lokasi PT Telkom Indonesia
BAB III KEGIATAN DAN PEMBAHASAN KRITIS 3.1 Skematik Umum sistem yang terkait kerja praktik 3.1.1 Teori pendukung OWASP atau Open Web Application Security Project komunitas terbuka yang didedikasikan untuk memungkinkan organisasi mengembangkan, membeli, dan memelihara aplikasi yang dapat dipercaya. Di OWASP nantinya akan menemukan free and open seperti :
Tool dan standar keamanan aplikasi
Buku tentang uji keamanan aplikasi, pengembangan kode keamanan, dan review kode keamanan.
Kendali keamanan dan pustaka standar
Cabang lokal di seluruh dunia
Riset terkini
Mailing list
Konferensi lengkap di seluruh dunia.
3.1.2 Sejarah OWASP
OWASP adalah jenis organisasi baru. Rilis OWASP ini menandai tahun ke8 proyek peningkatan kesadaran pentingnya risiko keamanan aplikasi. OWASP Top 10 pertama kasli dirilis tahun 2003, Update minor pada tahun 2004 dan 2007, Pada tahun 2010 untuk memprioritaskan risiko bukan hanya prevalensi dan terakhir tahun 2013 hampir sama tidak jauh beda dengan tahun 2010. Kebebasan dari tekanan komersial memungkinkan memberikan informasi terkait keamanan aplikasi yang tidak bisa, praktis, efektif biaya. OWASP tidak terealisasi dengan perusahaan teknologif manapun, meskipun kami mendukung penggunaan teknologi keamanan komersial. Serupa dengan banyak proyek software open-source, OSWAP menghasilkan beragam jenis materi dengan cara kolaborasi dan terbuka. Yayasan OWASP merupakan
entitas non-profit yang memastikan sukses jangka panjang proyek. Hampir semua yang terasosiasi dengan OWSAP dengan sukarela termasuk Dewan OWASP, Komite Global, Pemimpin Cabgn , Pemimpin Proyek, dan anggota proyek. OWASP mendukung riset keamanan inonatif dengan grant dan infrastruktur.
3.1.2 Tujuan OWASP Tujuan dari proyek top 10 adalah meningkatkan kesadaran keamanan aplikasi dengan mengindentifikasi
tentang
beberapa risiko kritikal yang
dihadapi organisai. Proyek OWASP top 10 menjadi acuan beragam standar, buku, alat, dan organisasi, Termasuk MITRE, PCI DSS, DISA, FTC. OWASP merekomendasikan oraganisasi membuat landasan kuat unutk pelatihan standar, dan alat yang memungkinan pembuatan kode yang aman. Diatas landasan itu, organisasi harus mengintegrasikan kemanan pada proses pengembangan, verifikasi, dan pemeliharaan. Manajement dapat menggunakan data yang dihasilakan aktivitas ini untuk mengelolah biaya dan risiko terkait dengan keamanan aplikasi.
3.1.2
Risiko-Risiko Keamanan Aplikasi
Pada kali ini akan membahas berberapa isu-isu resiko OWASP Top 10 tahun 2013.Penyerang berpotensi menggunakan beragam cara melalui aplikasi yang membahayakan bisnis atau organisasi ditunjukkan pada gambar 2.2,
Gambar 2.2 proses penyerangan Aplikasi web
Terlihat cara ini mudah ditemukan dan dieksploitasi, kerusakan yang akibatnyapun berdampak sangat fatal sehingga anda memperoleh kerugian besar. Berikut risiko risiko keamanan pada Aplikasi OWASP Top 2013 dunia : 1. A1 - Injection 2. A2 - Broken Authentication and Session Management 3. A3 - Cross-Site Scripting(XSS) 4. A4 - Insecure Direct Object References 5. A5 - Security Misconfiguration 6. A6 - Sensitive Data Exposure 7. A7 - Missing Function Level Access Control 8. A8 - Cross-Site Request Forgery (CSRF) 9. A9 - Using Components with Know Vulnerabilities 10. A10 - Unvalidated Redirects and Forwards Berikut risiko - risiko peringkat perkermbangan keamanan pada aplikasi dari OWASP 2010 sampai dengan OWASP 2013 :
Gambar 2.3 Perkembangan Risiko Keamanan Aplikasi
3.2 Web Application Security Testing Test keamanan adalah sebuah metode untuk mengevaluasi keamanan sistem komputer atau jaringan dengan metodis memvalidasi dan memverifikasi efektivitas kontrol keamanan aplikasi.Test keamanan aplikasi web hanya berfokus pada mengevaluasi keamanan dari aplikasi web, proses melibatkna analisis aktif dari aplikasi untuk setiap kelemahan, kekuarangan teknis atau kerentanan. Permasalahan pada umumnya yang ditemukan akan disampaikan kepada pemilik sistem, bersama dengan kajian dampak, dan juga solusi teknis.
3.3 IBM Security Appscan Metode appscan digunakan sebagai pengujian keamanan web dan alat pemantauan dari divisi rasional software IBM. Sementara dalam hal ini yang dimaksud dengan metode appscan untuk menguji aplikasi web untuk kerentanan keamanan selama proses pembangunan yang jaman itu sangat mahal untuk memperbaiki permasalahan tersebut.
Gambar 4.1 hasil scan dari metode appscan
Setelah dilakukannya metode appscan pada sebuah web nantinya akan mengeluarkan hasil dari scan seperti gambar diatas, lalu setelah mendapatkan hasil pengujian kerentanan lalu segera dikirimkan kepihak pengembang aplikasi web yang akan melakukan maintenance pada web yang telah di uji agar web terhindar dari serangan serperti malvare, virus dan sebagainya yang membuat aplikasi web menjadi rentan untuk diserang.
3.4 OWASP Testing Checklist Komponen ini bertugas sebagai panduan ini akan tersedia sebagai dokumen XML, dengan skirp yang mengubahnya menjadi format seperti pdf, Media Wiki markup, dan HTML. Testing Checklist ini berguna untuk para pengembang aplikasi web sebagai sebuah pedoman dalam memperbaiki aplikasi web.
Gambar 4.2 Katagori perbaikan OWASP Katagori indikator perbaikan terbagi menjadi 4 jenis, yaitu : 1. Hight (H)
Komponen indikator (H) ini nantinya harus segera diperbaiki karena hal sangat rentan berpeluang menerima serangan dari luar dan juga mengganggu preformansi sebuah web. 2. Middle (M) Komponen indikator (M) berarti permasahalan pada internal web seperti ada kerusakan pada sektor data. 3. Low (L) Komponen indikator (L) berindikasi seperti melakukan sebuah tindakan seperti updatetan penyimpanan dan sektor-sektor yang diperbaiki. 4. Info (I) Komponen indikator (I) berindikasi memberi informasi pada web sektor-sektor mana yang harus ada tindakan perbaikan.
BAB V SIMPULAN & SARAN 5.1 Simpulan Berdasarkan kegiatan kerja pratik yang dilakukan mahasiswa angkatan 2013. Mahasiswa dapat memperoleh pengalaman dan ilmu pengetahuan, khususnya mahasiswa terbiasa dalam lingkup kerja selama kerja praktek ini, dapat diambil kesimpulan sebagai berikut : a. Mahasiswa dapat melatih sikap kedisiplinan dan tanggung jawab dari amanah yang diberikan selama kerja praktik berlangsung. b. Mahasiswa dapat secara langsung mengimplementasikan ilmu dan kemampuan yang mereka miliki ke dunia kerja. c. Pelaksanaan kerja praktik ini juga melatih pribadi untuk dapat bekerja sama dengan team maupun sendiri. d. Kegiatan Kerja Praktik ini dapat membantu mahasiswa Telkom University beradaptasi dengan lingkungan kerja dan mengenal lebih matang bagaimana gambaran dalam sebuah rahan kerja, serta mempersiapkan mental dan sikap yang baik setelah lulus dari Telkom University. 5.2 Saran Dalam pelaksaan kerja praktik Telkom University sangatlah membantu mahasiswa dalam mengenal dunia kerja yang sebernarnya. Adapun beberapa saran-saran yang ingin penulis sampaikan adalah sebagai berikut : a. Saran untuk perusahaan tempat saya melakukan kerja praktik yaitu diharapkan agar lebih membagi pengalamanya kepada yang melakukan kerja praktik b. Saran untuk substansi yaitu dalam penetapan template laporan dari awal sebelum kegiatan kerja praktik dilakuakan diharapkan untuk dipersiapkan terlebih dahulu, agar penyusunan laporan tidak terjadi pengubahan secara terus menerus yang membuat mahasiswa menjadi sedikit kebingungan.
DAFTAR PUSTAKA https://www.owasp.org/index.php/Main_Page https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project http://www-03.ibm.com/software/products/en/appscan http://www.telkom.co.id/en Gambar, 2015 logo PT Telkom Indonesia https://masbadar.com/logo-telkom-barudownload-format-vector-corel-photoshop-pdf/, di unduh pada 17 juni 11.00 Gambar, arti logo telkom indonesia https://kioslambang.wordpress.com/tag/arti-logotelkom/, diunduh pada 17 juni 11.00
LAMPIRAN Lampiran Dokumentasi
Gambar Lampiran Pembimbing lapangan
Gambar Lampiran Kegiatan kerja pratik
Gambar Lampiran karyawan telkom sigma
Gambar Lampiran staff kerja karyawan tekom
LAMPIRAN III LOGBOOK 2 : CATATAN KEGIATAN MAHASISWA KP Nama Mahasiswa : DHERY WIRANATA SURYA NIM : 1104130039 Hari
Tgl
Senin
23 Mei 2016
Selasa
24 Mei 2016
Jam Datang
Jam Pulang
Jumlah Jam
07.30
17.00
10 Jam
08.00
17.00
Kegiatan
Pengenalan diri ke perusaahan Telkom Sigma
Pengenalan lingkup Unit ISC Pengenalan profil perusahaan Pengenalan lingkup telkom sigma
10 Jam
Rabu
25 Mei 2016
08.00
17.00
10 Jam
Kamis
26 Mei 2016
08.00
17.00
10 Jam
Pengambilan file permohonan Kerja Praktik
Penjelasan lingkup penugasan Kerja praktik
Jumat
27 Mei 2016
08.00
17.00
10 Jam
Sabtu
28 Mei 2016
_
_
_
Jadwal libur Kantor
Minggu
29 Mei 2016
_
_
_
Lari sore
Total Jam Mingguan
50 Jam
Mengetahui,
Atasan Langsung/Pembimbing KP Lapangan
(Robby Cahayadi, ST) NIK : 740092
LOGBOOK 2 : CATATAN KEGIATAN MAHASISWA KP Nama Mahasiswa : DHERY WIRANATA SURYA NIM : 1104130039 Jam Datang
Jam Pulang
Jumlah Jam
30 Mei 2016
07.30
17.00
10 Jam
Studi literatur
Selasa
31 Mei 2016
08.00
17.00
10 Jam
Studi literatur
Rabu
1 Juni 2016
08.00
17.00
10 Jam
Studi literatur
Kamis
2 juni 2016
08.00
17.00
10 Jam
Studi literatur
3 Juni 2016
08.00
17.00
10 Jam
Studi literatur Tumpengan dengan karyawan telkom sigma
4 Juni 2016
_
_
_
Jadwal libur Kantor
5 Juni 2016
_
_
_
Lari sore Renang
Hari
Tgl
Senin
Jumat
Sabtu
Minggu
Total Jam Mingguan
50 Jam
Kegiatan
Mengetahui,
Atasan Langsung/Pembimbing KP Lapangan
(Robby Cahayadi, ST) NIK : 740092
LOGBOOK 2 : CATATAN KEGIATAN MAHASISWA KP Nama Mahasiswa : DHERY WIRANATA SURYA NIM : 1104130039 Jam Datang
Jam Pulang
Jumlah Jam
08.00
16.00
9 am
Senin
6 Juni 2016
Studi literatur Observasi
08.00
16.00
9 Jam
Selasa
7 Juni 2016
Studi literatur Observasi
08.00
16.00
9 Jam
Rabu
8 Juni 2016
Studi literatur Observasi
08.00
16.00
9 Jam
Kamis
9 Juni 2016
Studi literatur Observasi
08.00
16.00
9 Jam
Jumat
10 Juni 2016
Studi literatur Observasi
Sabtu
11 Juni 2016
_
_
_
Jadwal libur Kantor
Minggu
12 Juni 2016
_
_
_
Servis motor Lari sore
Hari
Tgl
Total Jam Mingguan
45 Jam
Kegiatan
Mengetahui,
Atasan Langsung/Pembimbing KP Lapangan
(Robby Cahayadi, ST) NIK : 740092
LOGBOOK 2 : CATATAN KEGIATAN MAHASISWA KP Nama Mahasiswa : DHERY WIRANATA SURYA NIM : 1104130039 Jam Datang
Jam Pulang
Jumlah Jam
Senin
13 Juni 2016
08.00
16.00
9 Jam
Selasa
14 Juni 2016
08.00
16.00
9 Jam
Hari
Tgl
Kegiatan
Studi literatur Observasi
Studi literatur Observasi
Studi literatur Observasi
15 Juni 2016
08.00
16.00
9 Jam
16 Juni 2016
08.00
16.00
9 Jam
Kamis
Studi literatur Observasi
Sakit
Sakit
Sakit
Jumat
17 Juni 2016
Berobat Istirahat
Sabtu
18 Juni 2016
_
_
_
Jadwal libur Kantor
Minggu
19 Juni 2016
_
_
_
Istirahat
Rabu
Total Jam Mingguan
36 Jam
Mengetahui,
Atasan Langsung/Pembimbing KP Lapangan
(Robby Cahayadi, ST) NIK : 740092
LOGBOOK 2 : CATATAN KEGIATAN MAHASISWA KP Nama Mahasiswa : DHERY WIRANATA SURYA NIM : 1104130039 Jam Datang
Jam Pulang
Jumlah Jam
Senin
20 Juni 2016
08.00
16.00
9 Jam
Konsultasi Penyusunan laporan
Selasa
21 Juni 2016
08.00
16.00
9 Jam
Konsultasi Penyusunan laporan
Rabu
22 Juni 2016
08.00
16.00
9 Jam
Konsultasi Penyusunan laporan Konsultasi Penyusunan laporan
Hari
Tgl
Kegiatan
Kamis
23 Juni 2016
08.00
16.00
9 Jam
Jumat
24 Juni 2016
08.00
16.00
9 Jam
Konsultasi Penyusunan laporan
Sabtu
25 Juni 2016
_
_
_
Jadwal libur Kantor Gym
Lari sore
Minggu Total Jam Mingguan
26 Juni 2016
_
_
_
45 Jam Mengetahui, Atasan Langsung/Pembimbing KP Lapangan
(Robby Cahayadi, ST) NIK : 740092
LOGBOOK 2 : CATATAN KEGIATAN MAHASISWA KP Nama Mahasiswa : DHERY WIRANATA SURYA NIM : 1104130039 Hari
Tgl
Jam Datang
Jam Pulang
Jumlah Jam
Kegiatan
Senin
27 Juni 2016
08.00
16.00
9 Jam
Selasa
28 Juni 2016
08.00
16.00
9 Jam
Konsultasi Penyusunan laporan
Rabu
29 Juni 2016
08.00
16.00
9 Jam
Dokumentasi
Kamis
30 Juni 2016
08.00
16.00
9 Jam
Peyerahan laporan Revisi
08.00
Jumat
1 Juli 2016
Sabtu
_
_
_
_
Jadwal libur Kantor
_
_
_
_
Lari sore
Minggu Total Jam Mingguan
16.00
9 Jam
Konsultasi Penyusunan laporan
Penyerahan laporan Berpamitan dengan karyawan telkom sigma
45 Jam Mengetahui, Atasan Langsung/Pembimbing KP Lapangan
(Robby Cahayadi, ST) NIK : 740092