Penerapan Pengujian Keamanan Web Server Menggunakan Metode OWASP versi 4 (Studi Kasus Web Server Ujian Online) Mohmmad Muhsin, Adi Fajaryanto

Penerapan Pengujian Keamanan Web Server Menggunakan Metode OWASP versi 4 (Studi Kasus Web Server Ujian Online) Mohmmad Muhsin, Adi Fajaryanto Fakultas Teknik Universitas Muhammadiyah Ponorogo Email : [email protected], [email protected] Abstrak Fakultas Teknik Universitas Muhammadiyah Ponorogo telah menerapkan Ujian Tengah Semester dan Ujian Akhir Semester menggunakan aplikasi “Si Ujo (Sistem Ujian Online) berbasis web. Sejak tahun 2012 sampai tahun 2014, Si Ujo telah beberapa kali mengalami pengembangan baik dari sisi fitur maupun data yang disimpan. Data tersebut menyimpan data nilai matakuliah setiap mahasiswa teknik Universitas Muhammadiyah Ponorogo. Mengingat pentingnya data yang tersimpan maka perlu diterapkan pengujian keamanan dari aplikasi Si Ujo. Pengujian keamanan tersebut dilakukan untuk mengetahui tingkat kerentanan agar terhindar dari serangan dari pihak yang tidak bertanggung jawab. Salah satu metode untuk menguji aplikasi berbasis web adalah metode OWASP (Open Web Application Security Project) versi 4 yang dikeluarkan oleh owasp.org sebuah organisasi non profit yang berdedikasi pada keamanan aplikasi berbasis web. Hasil pengujian menggunakan OWASP versi 4 menunjukkan bahwa manajemen otentifikasi, otorisasi dan manajemen sesi belum diimplementasikan dengan baik sehingga perlu dilakukan perbaikan lebih lanjut oleh pihak stake holder Fakultas Teknik Universitas Muhammadiyah Ponorogo Kata kunci: web server, pentest, owasp, framework. PENDAHULUAN Tahun

2012

kerentanan agar terhindar dari serangan Fakultas

Teknik

dari pihak yang tidak bertanggung jawab.

Universitas Muhammadiyah Ponorogo telah

Salah satu metode untuk menguji

menerapkan Ujian Tengah Semester dan

aplikasi

Ujian Akhir Semester menggunakan aplikasi

OWASP (Open Web Application Security

“Si Ujo (Sistem Ujian Online) berbasis web.

Project) versi 4 yang dikeluarkan oleh

Sejak tahun 2012 sampai tahun 2014, Si Ujo

owasp.org sebuah organisasi non profit

telah

mengalami

yang berdedikasi pada keamanan aplikasi

pengembangan baik dari sisi fitur maupun

berbasis web. Metode ini bebas digunakan

data yang disimpan.

oleh siapa saja yang ingin mengetahui

beberapa

kali

Data yang tersimpan pada database

berbasis

web

adalah

metode

kerentanan dari sebuah aplikasi web.

Si Ujo berdasarkan hasil wawancara dengan

Dari penjelasan pada latar belakang

admin Si Ujo telah mencapai 100 megabyte.

diatas maka dilakukan penelitian untuk

Database tersebut menyimpan data nilai

menerapkan pengujian keamanan aplikasi

matakuliah

setiap

Ujian Online menggunakan metode OWASP

Universitas

Muhammadiyah

mahasiswa

teknik

Ponorogo.

Mengingat pentingnya data yang tersimpan

versi

4

agar

dapat

diketahui

tingkat

kerentanan yang ada.

maka perlu diterapkan pengujian keamanan dari aplikasi Si Ujo. Pengujian keamanan tersebut dilakukan untuk mengetahui tingkat

Multitek Indonesia Vol. 9, No. 1 Juni 2015

31

PERUMUSAN MASALAH

TINJAUAN PUSTAKA

Melihat latar belakang diatas maka akan

Penetration Test

rumusan masalah dari penelitian ini

Pengujian

keamanan

dapat

adalah sebagai berikut :

melakukan tiga jenis test (Whitaker &

1. Bagaimana mengidentifikasi kerentanan

Newman, 2005), antara lain :

aplikasi Ujian Online Fakultas Teknik

1. Black-box test, penetration tester tidak

Universitas Muhammadiyah Ponorogo?

memiliki pengetahuan tentang jaringan

2. Bagaimana hasil pengujian kerentanan

perusahaan sebelumnya. Apabila test ini

aplikasi

Ujian

Online

menggunakan

metode OWASP versi 4?

dilakukan maka tester mungkin akan diberikan alamat situs web atau alamat

3. Bagaimana analisa hasil dari penerapan

IP

dan

diberitahu

untuk

mencoba

metode OWASP versi 4 pada aplikasi

menyusup seolah-olah ia seorang hacker

Ujian Online?

jahat luar. 2. White-box

test,

tester

memiliki

TUJUAN

pengetahuan tentang jaringan internal

Tujuan dari penelitian ini adalah :

yang lengkap. Tester mungkin diberikan

1. Mengetahui kerentanan aplikasi Ujian

peta jaringan atau daftar sistem operasi

Online

Fakultas

Teknik

Universitas

Muhammadiyah Ponorogo

yang ada dan aplikasi yang terinstall sebelum melakukan tes. Meskipun bukan

2. Mengetahui hasil pengujian kerentanan

yang paling representatif dari serangan

aplikasi Ujian Online Fakultas Teknik

luar, tes jenis ini merupakan yang paling

Universitas Muhammadiyah Ponorogo

akurat

3. Mengetahui hasil analisa dari penerapan pengujian metode OWASP versi 4

karena

menyajikan

skenario

terburuk di mana penyerang memiliki pengetahuan lengkap tentang jaringan yang ada.

BATASAN MASALAH

3. Gray-box test, tester memposisikan diri

Batasan masalah dalam objek penelitian ini

sebagai

adalah:

perusahaan. Tester diberikan akun di

1. Studi yang dilakukan hanya terbatas

jaringan internal dan akses standar ke

pada pengujian keamanan aplikasi web

jaringan. Tes ini dilakukan untuk menilai

menggunakan framework OWASP versi

ancaman internal dari karyawan dalam

4 fokus pada Authentication Testing,

perusahaan.

Authorization

Testing,

karyawan

dalam

suatu

Session OWAPS versi 4

Management Testing. 2. Metode pengujian keamanan diterapkan

OWASP merupakan organisasi non-

pada pemodelan aplikasi Ujian Online

profit amal di Amerika Serikat yang didirikan

Fakultas

pada tanggal 21 April 2004 yang berdedikasi

Teknik

Muhammadiyah Ponorogo

Universitas

untuk

membuat

framework

pengujian

keamanan yang bebas digunakan oleh siapa saja.

32 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

Framework yang

digunakan

pada

OWASP versi 4 adalah sebagai berikut :

tester.

 Authentication Testing Otentikasi membangun

hak-hak istimewa yang ditugaskan untuk  Session Management Testing

merupakan dan

tindakan

Session Management didefinisikan

mengkonfirmasi

sebagai himpunan semua kontrol yang

sesuatu bahwa klaim yang dibuat adalah

mengatur

benar. Otentikasi sebuah objek dapat

pengguna dan aplikasi berbasis web

berarti mengkonfirmasikan sumbernya,

(Matteo Meucci and Friends : 2014). Ini

sedangkan otentikasi seseorang sering

secara luas mencakup apa pun dari

terdiri

bagaimana

dari

verifikasi

identitasnya.

Otentikasi tergantung pada satu atau lebih faktor otentikasi. Dalam

interaksi

komputer,

state

otentikasi

antara

pengguna

dilakukan, bagaimana mereka logout. Lingkungan

keamanan

full

populer,

aplikasi

seperti

ASP

web dan

yang PHP,

otentikasi adalah proses mencoba untuk

memberikan pengembang dengan built-

memverifikasi identitas digital pengirim

in rutinitas penanganan sesi. Beberapa

komunikasi. Sebuah contoh umum dari

jenis identifikasi token biasanya akan

proses

dikeluarkan, yang akan disebut sebagai

tersebut

Pengujian

adalah

skema

log

proses.

otentikasi

berarti

"ID Sesi" atau Cookie.

memahami bagaimana proses otentikasi bekerja

dan

menggunakan

informasi

tersebut untuk menghindari mekanisme otentikasi.

METODE PENELITIAN Metode penelitian ini diselesaikan dengan tahap-tahap kegiatan dalam

 Authorization Testing

Gambar 3.1.

Otorisasi merupakan konsep yang Studi Literatur

memungkinkan akses ke sumber daya bagi

mereka

yang

menggunakannya.

diizinkan Pengujian

untuk untuk

otorisasi berarti memahami bagaimana proses

otorisasi

bekerja,

Identifikasi Kerentanan Sistem

Pengujian Penetrasi OWASP versi 4

dan

menggunakan informasi tersebut untuk

Analisis dan Pelaporan

menghindari mekanisme otorisasi. Otorisasi adalah proses yang datang

setelah

otentikasi

Gambar 3.1 Tahapan Penelitian

berhasil,

sehingga tester akan memverifikasi titik ini setelah ia memegang identitas yang

Studi Literatur Tahap

ini

bertujuan

untuk

sah. Selama ini jenis penilaian, harus

menjelaskan kajian pustaka dari teori-teori

diverifikasi

penunjang

apakah

mungkin

untuk

yang

mendukung

konstruksi

memotong skema otorisasi, menemukan

penelitian. Kegiatan ini dilakukan dengan

kerentanan

membaca

jalur

traversal,

atau

menemukan cara untuk meningkatkan

buku,

jurnal,

artikel

laporan

penelitian, dan situs-situs di internet.

Multitek Indonesia Vol. 9, No. 1 Juni 2015

33

Identifikasi Kerentanan Sistem

proses

Identifikasi kerentanan pada model web

server

IKIP

PGRI

Madiun

otorisasi

dan

menggunakan informasi tersebut untuk menghindari mekanisme otorisasi.

menggunakan aplikasi Acunetix.

Otorisasi datang

Implementasi Pengujian OWAPS versi 4

bekerja,

adalah

setelah

proses

otentikasi

yang

berhasil,

sehingga tester akan memverifikasi titik

OWASP merupakan organisasi non-

ini setelah ia memegang identitas yang

profit amal di Amerika Serikat yang didirikan

sah. Selama ini jenis penilaian, harus

pada tanggal 21 April 2004 yang berdedikasi

diverifikasi

untuk

memotong skema otorisasi, menemukan

membuat

framework

pengujian

apakah

mungkin

keamanan yang bebas digunakan oleh

kerentanan

siapa saja.

menemukan cara untuk meningkatkan

Framework yang

digunakan

pada

OWASP versi 4 adalah sebagai berikut :  Authentication Testing Otentikasi membangun

jalur

untuk

traversal,

atau

hak-hak istimewa yang ditugaskan untuk tester.  Session Management Testing

merupakan dan

tindakan

Session Management didefinisikan

mengkonfirmasi

sebagai himpunan semua kontrol yang

sesuatu bahwa klaim yang dibuat adalah

mengatur

benar. Otentikasi sebuah objek dapat

pengguna dan aplikasi berbasis web

berarti mengkonfirmasikan sumbernya,

(Matteo Meucci and Friends : 2014). Ini

sedangkan otentikasi seseorang sering

secara luas mencakup apa pun dari

terdiri

bagaimana

dari

verifikasi

identitasnya.

Otentikasi tergantung pada satu atau

komputer,

state

otentikasi

Lingkungan

keamanan

full

antara

pengguna

dilakukan, bagaimana mereka logout.

lebih faktor otentikasi. Dalam

interaksi

populer,

seperti

aplikasi ASP

web dan

yang PHP,

otentikasi adalah proses mencoba untuk

memberikan pengembang dengan built-

memverifikasi identitas digital pengirim

in rutinitas penanganan sesi. Beberapa

komunikasi. Sebuah contoh umum dari

jenis identifikasi token biasanya akan

proses

dikeluarkan, yang akan disebut sebagai

tersebut

Pengujian

adalah

skema

log

proses.

otentikasi

berarti

"ID Sesi" atau Cookie.

memahami bagaimana proses otentikasi bekerja

dan

menggunakan

informasi

tersebut untuk menghindari mekanisme otentikasi.

PEMBAHASAN Identifikasi Kerentanan Identifikasi

 Authorization Testing Otorisasi merupakan konsep yang

penelitian

ini

Acunetix

untuk

kerentanan

dalam

menggunakan

aplikasi

mengetahui

tingkat

memungkinkan akses ke sumber daya

kerentanan yang ada. Berikut adalah hasil

bagi

scan Acunetix :

mereka

yang

menggunakannya.

diizinkan Pengujian

untuk untuk

otorisasi berarti memahami bagaimana

34 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

Scan of 192.168.0.200 Scan details Scan information Starttime Finish time Scan time Profile Server information Responsive

07/07/2015 8:57:45 07/07/2015 9:02:52 5 minutes, 7 seconds Default

Server banner

True Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l

Server OS Server technologies

mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1 Windows mod_perl/2.0.4 Perl/v5.10.1 PHP,mod_ssl,mod_perl,OpenSSL,Perl

Threat level Acunetix Threat Level 3 One or more high-severity type vulnerabilities have been discovered by the scanner. A malicious user can exploit these vulnerabilities and compromise the backend database and/or deface your website. Alerts distribution Total alerts found High Medium Low Informational

316 3 144 12 157

Executive summary Alert group Cross Site Scripting Apache httpd Remote Denial of Service Application error message Backup files Directory Listing Error message on page PHP hangs on parsing particular strings as floating point number Login page password-guessing attack

Severity High Medium Medium Medium Medium Medium Medium Low

A 3 l 1 e 2 r1 t1 5 3 1 c4 1 o u n

Multitek Indonesia Vol. 9, No. 1 Juni 2015

35

t

Session Cookie without HttpOnly flag set Session Cookie without Secure flag set TRACE method is enabled TRACK method is enabled User credentials are sent in clear text Broken links Email address found GHDB Password type input with autocomplete enabled Possible internal IP address disclosure Possible username or password disclosure Berdasarkan infomasi diatas dapat

Low Low Low Low Low Informational Informational Informational Informational Informational Informational

4 4 1 1 1 5 2 1 1 3 5 8 6

Penetrasi OWASP versi 4

diidentifikasi kerentanan dari Aplikasi Ujian

Dalam pengujian ini dilakukan

Online mempunyaoi tingkat kerentanan

pengujian pada alamat 192.168.0.200/dosen

tinggi. Dengan tingginya tingkat kerentanan

saja, hal ini dilakukan sebab penelitian ini

yang ada maka dilakukan pengujian lanjut

difokuskan pada penggunaan dosen seperti

dengan menggunakan OWASP versi 4.

terlihat pada tabel 4.1

Tabel 4.1 Hasil Pengujian OWASP versi 4 Tahapan Testing for Credentials Transporte d over an Encrypted Channel (OTGAUTHN001)

Tool WebScar ab

Testing for default credentials (OTGAUTHN002) Testing for Weak lock out mechanism (OTGAUTHN003) Testing for bypassing

Brutus

Hasil POST /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29

Status X

kode=999999&password=dload123 Proses brute force selama 7 jam tidak berhasil

OK

Browser Mozilla Firefox

Tidak ada mekanisme penguncian

X

WebScar ab

---- Scanning URL: http://192.168.0.200/ ---FOUND: http://192.168.0.200/ [STATE: 403 - 296]

X

36 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

Tahapan authenticati on schema (OTGAUTHN004) Test remember password functionality (OTGAUTHN005)

Tool

WebScar ab

Testing for Browser cache weakness (OTGAUTHN006)

Browser Mozilla Firefox

Testing for Weak password policy (OTGAUTHN007) Testing for Weak security question/an swer (OTGAUTHN008) Testing for weak password change or reset functionaliti es (OTG-

Brutus

Hasil (*) DIRECTORY: http://192.168.0.200/css (*) DIRECTORY: http://192.168.0.200/foto (*) DIRECTORY: http://192.168.0.200/images (*) DIRECTORY: http://192.168.0.200/img (*) DIRECTORY: http://192.168.0.200/js POST /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29 kode=999999&password=dload123 POST /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29 kode=999999&password=dload123 Proses brute force selama 5 jam tidak berhasil

Status

X

X

OK

-

Fitur lupa password tidak ada, apabila user lupa password langsung menghubungi admin

OK

-

Tidak ada fitur reset password

OK

Multitek Indonesia Vol. 9, No. 1 Juni 2015

37

Tahapan AUTHN009) Testing for Weaker authenticati on in alternative channel (OTGAUTHN010) Testing Directory traversal/fil e include (OTGAUTHZ001) Testing for bypassing authorizatio n schema (OTGAUTHZ002) Testing for Privilege Escalation (OTGAUTHZ003)

Tool

Hasil

Status

-

Tidak ada akses lain selain website utama

OK

WFuzz

Tidak berhasil menemukan dokumen root maupun root directory

OK

Dirb

---- Scanning URL: http://192.168.0.200/ ---FOUND: http://192.168.0.200/ [STATE: 403 - 296] (*) DIRECTORY: http://192.168.0.200/css (*) DIRECTORY: http://192.168.0.200/foto (*) DIRECTORY: http://192.168.0.200/images (*) DIRECTORY: http://192.168.0.200/img (*) DIRECTORY: http://192.168.0.200/js Tidak ada

X

WebScar ab

Testing for Insecure Direct Object References (OTGAUTHZ004)

Browser Mozilla Firefox

Testing for Bypassing Session Manageme nt Schema (OTGSESS-001) Testing for Cookies

Dirb

Zed Attack

OK

X

---- Scanning URL: http://192.168.0.200/ ---FOUND: http://192.168.0.200/ [STATE: 403 - 296] (*) DIRECTORY: http://192.168.0.200/css (*) DIRECTORY: http://192.168.0.200/foto (*) DIRECTORY: http://192.168.0.200/images (*) DIRECTORY: http://192.168.0.200/img (*) DIRECTORY: http://192.168.0.200/js POST /dosen HTTP/1.1 Host: 192.168.0.200

38 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

X

OK

Tahapan attributes (OTGSESS-002)

Tool Proxy

Hasil User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29

Status

kode=999999&password=dload123

Testing for Session Fixation (OTGSESS-003)

Zed Attack Proxy

GET /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive POST /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29

OK

kode=999999&password=dload123

Testing for Exposed

Zed Attack

GET /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive POST /dosen HTTP/1.1 Host: 192.168.0.200

Multitek Indonesia Vol. 9, No. 1 Juni 2015

OK

39

Tahapan Session Variables (OTGSESS-004)

Tool Proxy

Hasil User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29

Status

kode=999999&password=dload123 GET /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Testing for Cross Site Request Forgery (CSRF) (OTGSESS-005)

OWASP CSRF Tester

X

Testing for logout functionality (OTGSESS-006)

Browser Mozilla Firefox

OK

Test Session Timeout (OTGSESS-007)

Browser Mozilla Firefox

Tidak ada session timeout

40 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

X

Tahapan Testing for Session puzzling (OTGSESS-008)

Tool Zed Attack Proxy

Hasil POST /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 29

Status X

kode=999999&password=dload123 GET /dosen HTTP/1.1 Host: 192.168.0.200 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.200/dosen Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7 Connection: keep-alive Dari tabel 4.1 terlihat bahwa pada

variabel session yang sama selama lebih

proses otentifikasi terdapat kerentanan yaitu

dari satu tujuan sehingga penyerang dapat

pada pengujian OTG-AUTHN-001, OTG-

mengakses halaman secara acak.

AUTHN-003, AUTHN-005,

OTG-AUTHN-004, OTG-AUTHN-006

OTGsehingga

proses ini perlu mendapat perbaikan. Pada proses

pengujian

otorisasi

KESIMPULAN DAN SARAN Kesimpulan

terdapat

Hasil

kerentanan pada OTG-AUTHZ-002, OTG-

OWASP

AUTHZ-004,

manajemen

namun

setelah

dilakukan

pengujian

versi

4

menggunakan

menunjukkan

otentifikasi,

bahwa

otorisasi

dan

pengecekan diatas hasilnya adalah false

manajemen sesi belum diimplementasikan

alarm sehingga proses otorisasi sudah

dengan

berjalan dengan baik, sedangkan pada

perbaikan lebih lanjut oleh pihak stake

manajemen sesi terdapat kerentanan pada

holder

OTG-SESS-001,

Muhammadiyah Ponorogo

OTG-SESS-005,

OTG-

baik

sehingga

Fakultas

perlu

Teknik

dilakukan

Universitas

SESS-007, OTG-SESS-008. Tidak adanya session timeout memungkinkan pemakai

Saran

yang meninggalkan komputer dimanfaatkan

Berdasarkan kesimpulan diatas maka

oleh pemakai lain yang tidak berhak. Pada

perlu dilakukan penelitian dengan metode

OTG-SESS-008, aplikasi ini menggunakan

ISSAF

(Information

System

Security

Multitek Indonesia Vol. 9, No. 1 Juni 2015

41

Assessment

Framework)

agar

dapat

diketahui kerentanan dari sisi web server. DAFTAR PUSTAKA Alfred Basta, W. H. (2008). Computer Security and Penetration Testing. Allsopp, W. (2009). Unauthorised Access: Physical Penetration Testing for it Security Teams. Assosiasi

Penyelenggara

Jasa

Internet

Indoneisa. (2012). Retrieved May 17, 2014,

from

http://www.apjii.or.id/v2/read/page/hal aman-data/9/statistik.html Chow,

E.

(2011).

Ethical

Hacking

&

Penetration Testing. Friends, N. N. (2009). Penetration Testing A Roadmap to Network. J Thomson, F. (2013, Desember). Akamai. Retrieved

Mei

19,

2014,

from

http://www.akamai.com/dl/akamai/aka mai-sotiq413.pdf?WT.mc_id=soti_Q413

42 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)