PERANCANGAN DAN ANALISIS SISTEM KEAMANAN WEBSITE MENGGUNAKAN SCRIPT PHP STUDI KASUS POLITEKNIK NEGERI MEDAN

Transkripsi

1 PERANCANGAN DAN ANALISIS SISTEM KEAMANAN WEBSITE MENGGUNAKAN SCRIPT PHP STUDI KASUS POLITEKNIK NEGERI MEDAN LAPORAN TUGAS AKHIR Disusun sebagai syarat untuk mendapatkan gelar AHLI MADYA (AMD) Oleh: KIKI NUGRAHA INDRA SETIAWAN NIM.: PROGRAM STUDI TEKNIK KOMPUTER JURUSAN TEKNIK KOMPUTER DAN INFORMATIKA POLITEKNIK NEGERI MEDAN MEDAN 2015

2 Abstrak Kejahatan di dunia teknologi dan informasi terutama pada aplikasi web semakin banyak terjadi. Salah satu faktor yang menyebabkan kurangnya tingkat keamanan pada aplikasi web adalah kesalahan penulisan kode program keamanan script PHP web tersebut. Kesalahan penulisan kode program dalam pembuatan aplikasi web adalah hal yang sering dimanfaatkan oleh para penyerang, hal ini mengakibatkan rata-rata aplikasi web bisa diserang dengan memanfaatkan kesalahan ini. Kelemahan-kelemahan yang sering dimanfaatkan oleh para penyerang diantaranya adalah kelemahan terhadap kesalahan script PHP.Salah satu cara untuk meminimalisir serangan tersebut adalah dibutuhkan suatu anti serangan SQL injection. Dan cara untuk menguji keamanan web terhadap serangan SQL injection dilakukan dengan cara menyisipkan beberapa karakter string dan menyisipkan perintah script PHP yang dapat menggangu kinerja website. Dari hasil uji coba dan analisis web tersebut, maka didapatkan informasi tentang dimana letak celah keamanan yang terdapat pada suatu aplikasi web terhadap metode serangan yang diujikan. Serangan SQL Injection, dapat dihindari dengan cara melakukan filterisasi karakter string. Kata kunci: Website, Security System, Script, PHP, SQL Injection, Keamanan Website. iii

3 KATA PENGANTAR Puji syukur penulis ucapkan kepada Allah SWT, yang telah melimpahkan rahmat dan karunia-nya dalam menjalani aktifitas perkuliahan dan menjalani kehidupan ini sehingga penulis dapat menyelesaikan Laporan Tugas Akhir yang berjudul Perancangan Dan Analisis Sistem Keamanan website menggunakan script PHP Studi Kasus Politeknik Negeri Medan. Laporan ini disusun sebagai syarat untuk menyelesaikan Pendidikan Program Diploma 3 Program Studi Teknik Komputer, Jurusan Teknik Komputer dan Informatika Politeknik Negeri Medan. Laporan ini dapat disusun dengan baik karena dukungan dari berbagai pihak. Oleh karena itu penulis mengucapkan terima kasih kepada: 1. M. Syahruddin, S.T, M.T, selaku Direktur Politeknik Negeri Medan. 2. Ferry Fachrizal, S.T., M.Kom, selaku Ketua Jurusan Teknik Komputer dan Informatika Politeknik Negeri Medan. 3. Zakaria Sembiring, S.T., M.Sc, selaku Kepala Program Studi Teknik Komputer Politeknik Negeri Medan. 4. Dr. Benny B. Nasution, Dipl. Ing., M. Eng, selaku dosen pembimbing yang selalu menyediakan waktu untuk memberi arahan dan ilmunya untuk menyelesaikan laporan Tugas Akhir ini. 5. Kadri Yusuf, S.T.,M.Kom, selaku dosen Wali Kelas CE-6B yang selalu memberikan saran dan masukan kepada penulis dalam menyelesaikan Tugas Akhir. iv

4 6. Handry Sunjaya, S.Si., M.Cs, selaku dosen yang selalu memberikan arahan dan masukan kepada penulis dalam menyelesaikan Tugas Akhir ini. 7. Julham, S.T.,M.Kom, selaku dosen yang selalu memberikan ilmu pengetahuan, arahan dan masukan seputar jaringan komputer yang berkaitan dengan Tugas Akhir penulis. 8. Seluruh Dosen Politeknik Negeri Medan yang telah memberikan ilmunya kepada penulis selama menjalani perkuliahan. 9. Ibu Eviliana Sembiring dan kak Nuri Paramitha Hidayani selaku administrasi Program Studi Teknik Komputer yang telah banyak membantu penulis mengurus keperluan administrasi selama perkuliahan khususnya selama menjalani pembuatan Tugas Akhir. 10. Kepada kedua orang tua tercinta beserta keluarga besar penulis, terima kasih atas do a, dukungan moril maupun materil, semangat dan saran-sarannya, sehingga saya dapat menyelesaikan Tugas Akhir. 11. Seluruh teman-teman penulis kelas CE-6B, yang sama-sama berjuang dan saling berbagi ilmu dan pengalaman dalam menjalani pendidikan Diploma III Teknik Komputer di Politeknik Negeri Medan, khususnya dalam menyelesaikan Tugas Akhir. 12. Seluruh teman-teman dari berbagai jurusan yang ada di Politeknik Negeri Medan yang selalu memberikan semangat dukungan dan wawasan serta do a dalam menyelesaikan Tugas Akhir. v

5 Medan, Agustus 2015 Hormat Penulis Kiki Nugraha Indra Setiawan NIM vi

6 DAFTAR ISI LEMBAR PERSETUJUAN.i LEMBAR PENGESAHAN.ii KATA PENGANTAR...iv DAFTAR ISI vii DAFTAR GAMBAR.....xii DAFTAR TABEL xiv BAB I PENDAHULUAN Latar Belakang Masalah Perumusan Masalah Batasan Masalah Motivasi dan Tujuan Tugas Akhir Motivasi Tugas Akhir Tujuan Tugas Akhir Kontribusi Tugas Akhir Metode Tugas Akhir Metode Observasi dan Studi Literatur Metode Studi Pustaka Konsultasi/Bimbingan Merancang Skenario Implementasi Trial and Error Analisis Alat dan Bahan Penelitian Software Hardware Merealisasikan Menganalisa dan Mengevaluasi... 9 vii

7 1.8.2 Pengujian Penyusunan Tugas Akhir Sistematika Penulisan BAB II LANDASAN TEORI Website Keamanan Website Aspek Dasar Keamanan Website authentication access control confidentiality integritas data availability non-repudiation Serangan keamanan Website Jenis Metode Penyerangan Website Metode XSS (Cross-Site Scripting) Metode RFI (Remote File Inclution) Metode Username Enumeration Metode LFI (Local File Inclusion) Motif Penyerangan Keamanan Web White Hat Hacker Black Hat Hacker Cyber Criminal Spammer Advanced Persistent Threat (APT) agent Hacktivist Cyber warrior Penetration Testing Penetrasi Testing Tools Web Vulnerability Scanner Tools Vega scanner Havij viii

8 2.9.3 SQLmap Jenis-jenis Penetrasi Testing Black Box Testing White Box Testing SQL Injection Sebab Terjadinya SQL Injection Cara Mengatasi SQL Injection Sintaks SQL Injection Contoh Variabel id Pada Halaman Web Perangkat Lunak Web Server Apache Program Pendukung Apache Kelebihan Apache MySQL PHP Lamp Contoh Perintah String Injection Backtrack Sejarah Backtrak Versi Backtrack Sub-Sub Tools Pada Kali linux Information gathering Vulnerability assessment Exploitation Tools Privilage Escalation Maintaining Access Reverse Engineering RFID Tools Stress Testing Reporting Tools Web Attack Menggunakan Kali Linux Unified Modelling Language (UML) ix

9 2.21 Konsep Dasar UML BAB III ANALISIS DAN PERANCANGAN SISTEM Analisis Sistem Evaluasi Sistem Kebutuhan Sistem Pemodelan Kebutuhan Fungsional Perancangan Web Kebutuhan Perangkat Keras Kebutuhan Perangkat Lunak Perancangan Sistem Pengujian Keamanan Web Spesifikasi Perangkat Lunak Deskripsi Umum Pengujian Perancangan Sistem Pengujian Web Vulnerability Scanner Arsitektur Sistem Pengujian Use Case Diagram Perancangan Data Data Input Web Vulnerability Scanner URL Perancangan Proses Proses Scanning Activity Diagram Skenario Pengujian Pengujian SQL Injection Secara Manual Injeksi di URL Pengujian SQL Injection Secara Otomatis BAB IV PENGUJIAN DAN ANALISIS SISTEM Skenario Pengujian SQL Injection Pengujian Secara Manual SQL Injection di URL Pengujian Manual Tampilan Awal Website Simple-Web x

10 Vega Scanner version Tampilan Halaman Awal Vega Scanner Proses Scanning SQL Injection Hasil Scanning Halaman Website Yang Memiliki Vuln Mencari Colom Yang Memiliki Celah Injection Mencari Informasi Databases Menampilkan Isi Tabel Menampilkan isi tabel User Pengujian Secara Otomatis Tampilan Awal SQLmap Berbasis Command Line Menampilkan Informasi Databases Memberi Pengaman Anti SQL Injection Injeksi Setelah diberikan pengaman anti SQL Injection Hasil Scanning web setelah diberi anti SQL injection Tabel Pengujian BAB V KESIMPULAN DAN SARAN Kesimpulan Saran Daftar Pustaka xi

11 DAFTAR GAMBAR Gambar Halaman Gambar 2.1 Havij Version 1.17 Pro Gambar 2.2 SQLMap Command line Gambar 2.3 SQL Injection Gambar 2.4 Logo Web Server Apache Gambar 2.5 Tabel Versi Backtrack Gambar 3.1 Arsitektur Sistem Pengujian Gambar 3.2 Use Case diagram alur SQL Injection Gambar 3.4 Activity Diagram SQL Injection Gambar 4.1 Tampilan Awal Website Gambar 4.2 Tampilan Vega Scanner version Gambar 4.3 Tampilan awal Vega Scanner Gambar 4.4 Proses Scanning SQl Injection Gambar 4.5 Hasil Scanning Gambar 4.7 Halaman Website yang vuln Gambar 4.8 MySQl Syntaks Erorr Gambar 4.9 Bug SQL Injection Gambar 4.10 Web 99% Memiliki bug SQL Injection Gambar 4.11 Web Tampil Secara Normal Gambar 4.12 Halaman Menampilkan Pesan Error xii

12 Gambar 4.13 Union Select Gambar 4.14 Menampilkan Informasi Database Gambar 4.15 Menampilkan isi Tabel Gambar 4.16 Menampilkan isi tabel User Gambar 4.16 Menampilkan Tabel User Gambar 4.17 SQLmap Berbasis Command Line Gambar 4.18 Perintah Menampilkan Informasi Database Gambar 4.19 Informasi Databases Gambar 4.20 Menampilkan Isi Databases Gambar 4.21 Isi Tabel Databases Gambar 4.22 Isi Tabel User Gambar 4.23 Menampilkan User_id Dan Password Gambar 2.24 Proses Scanning Web-Simple Gambar 2.25 Hasil Scanning Setelah diberi anti SQL Injection..102 Gambar 2.26 Halaman Web Tidak Merespon ketika diinjeksi di URL xiii

13 DAFTAR TABEL Tabel Halaman Tabel 2.1 Use Case Diagram Tabel 2.2 Class Diagram Tabel 2.3 Statechart Diagram Tabel 2.4 Activity Diagram Tabel 2.5 Pengujian Mysql Sintaks Erorr 102 Tabel 2.6 Pengujian Mysql Sintaks No Error..103 Tabel 2.7 PengujianMencari Halaman Admin Defult Tabel 2.8 Pengujian Mencari Halaman Admin No Defult xiv

14 BAB I PENDAHULUAN 1.1. Latar Belakang Masalah Teknologi informasi yang berkembang pesat memiliki peranan yang penting dalam mendukung segala aktivitas. Teknologi informasi juga membuat segala kegiatan dan akses informasi lebih mudah, baik dari bidang akademik, kesehatan, politik, maupun pemerintahan. Saat ini arus informasi memegang peranan yang sangat vital. Salah satu informasi yang efisien dan efektif saat ini adalah berupa situs web (website), dimana semua informasi yang terdapat didalam website disimpan di web server. Internet sampai saat ini telah banyak digunakan oleh banyak orang dan menjadi informasi yang pertumbuhannya sangat cepat tanpa terkendala ruang dan waktu. Salah satu bagian dari internet yang pertumbuhannya sangat cepat adalah world wide web. Kemudahan dalam mengakses web serta kemampuan multimedia yang dimiliki memudahkan setiap orang mempunyai atau menciptakan sebuah halaman website yang berisi informasi yang dibutuhkan oleh setiap orang. Berkaitan dengan perkembangan teknologi informasi tersebut khususnya dalam pembuatan sebuah website, maka keamanan website kini mulai menjadi perhatian oleh setiap developer website. Keamanan sebuah website menjadi sangat penting karena beberapa waktu belakangan ini banyak hacker yang mencoba masuk ke sebuah website tanpa sepengetahuan admin website tersebut. Keamanan suatu website merupakan salah satu prioritas utama bagi seorang yang ingin 1

15 2 membuat website. Jika seseorang mengabaikan keamanan tersebut, maka seorang hacker dapat mengambil data penting pada suatu website, bahkan dapat merusak tampilan website tersebut. Secara umum terdapat 3 aspek dasar keamanan aplikasi berbasis web yang harus diperhatikan, yaitu Confidentiality, Integrity dan Avability. Website adalah sebuah halaman informasi yang terdapat di internet, dimana siapa saja di dunia ini dapat mengunjunginya. Keamanan merupakan salah satu indikator penting dalam membangun sebuah website, mengingat akses ke-internet yang terbuka bebas bagi masyarakat umum. Selain itu, saat ini website tidak hanya dijadikan layanan untuk memberikan informasi statis, tetapi telah berkembang dengan ditambahkannya fitur-fitur untuk melakukan transaksi secara on-line. Sampai saat ini tidak ada website yang dapat dikatakan benar-benar aman. Website Polmed (Politeknik Negeri Medan) dengan domain Polmed.ac.id merupakan website yang digunakan sebagai media dan sarana publikasi informasi kampus. Mengingat website ini dapat diakses secara luas, maka dinilai perlu memperhatikan keamanan website tersebut. Terdapat beberapa cara yang dapat digunakan untuk melakukan pengujian terhadap kemanan website. Salah satunya adalah dengan melakukan pengujian keamanan website dengan script PHP dan menggunakan teknik SQL Injection. Keamanan data dan informasi sangat penting dalam menjaga ketahanan sebuah website. Berdasarkan uraianuraian tersebut, maka dinilai perlu untuk menguji kemanan script PHP website terhadap serangan SQL Injection, serta melakukan analisa terhadap kelemahan sistem yang ada, sehingga dapat diperoleh tindakan selanjutnya untuk perbaikan sistem.

16 3 Penelitian ini akan dilakukan suatu pengujian keamanan website menggunakan tool Vega scanner, Havij dan SQLmap di kali linux. Dari hasil pengujian tersebut maka akan diperoleh berbagai macam kerentanan yang memungkinkan seorang attacker masuk kedalam sistem website. Kemudian peneliti akan memberikan rekomendasi atas permasalahan yang terjadi. Penelitian ini bertujuan untuk menganalisis faktor-faktor keamanan website yang terdapat di website Politeknik Negeri Medan dari adanya kemungkinan ancaman dan gangguan, agar keamanan data yang disimpan dalam website terhindar dari akses illegal yang dilakukan oleh pihak yang tidak berhak Perumusan Masalah Berdasarkan latar belakang masalah yang sudah dikemukakan diatas maka rumusan masalah yang dikaji dalam Tugas Akhir ini adalah: 1. Bagaimana cara melakukan pengujian terhadap keamanan website. 2. Bagaimana melakukan analisa keamanan website terhadap serangan SQL Injection apakah sudah dapat dikatakan aman atau belum serta membuat rekomendasi dan solusi berdasarkan masalah yang terjadi. 3. Bagaimana struktur keamanan website Politeknik Negeri Medan terhadap serangan SQL Injection Batasan Masalah Agar tugas akhir ini mencapai sasaran dan tujuan yang diharapkan, maka permasalahan yang akan dibatasi adalah sebagai berikut:

17 4 1. Tool yang digunakan dalam pengujian keamanan website yaitu Vega scanner, SQLMap dan Havij. 2. Analisis dilakukan terutama pada simple-web yang memiliki kerentanan terhadap serangan SQL Injection. 3. Dan Analisis dilakukan pada website Politeknik Negri Medan Sebagai salah satu tempat studi kasus penelitian keamanan website menggunakan teknik SQL Injection. 4. Penulis hanya akan memberikan rekomendasi dan solusi atas hasil analisa yang telah dilakukan Motivasi dan Tujuan Tugas Akhir Motivasi Tugas Akhir Keamanan suatu informasi website merupakan salah satu prioritas yang sangat penting bagi setiap pemilik website. Jika seseorang mengabaikan keamanan tersebut, maka hacker dapat mengambil data penting pada suatu website. Hal ini yang memotivasi penulis untuk menganalisa kerentanan yang terdapat disebuah website, khususnya website Politeknik Negeri Medan Tujuan Tugas Akhir Berdasarkan permasalahan yang telah penulis bahas, tujuan Tugas Akhir ini adalah: 1. Melakukan pengujian tingkat keamanan aplikasi website menggunakan teknik SQL Injection.

18 5 2. Menerapkan teknik Anti SQL Injection pada aplikasi website dengan pemfilteran karakter dan menyembunyikan halaman admin atau mengganti nama admin dengan nama yang unik. 3. Menganalisis hasil uji coba dari implementasi teknik SQL Injection pada website. 4. Membangun sebuah website yang aman terhadap serangan SQL Injection. 5. Perancangan dan analisis website ini juga dapat digunakan sebagai bahan acuan untuk membuat perencanaan sebuah infrastruktur website terhadap keamanan website khususnya website Politeknik Negeri Medan. 1.5 Kontribusi Tugas Akhir Kontribusi tugas akhir yang dapat diberikan adalah sebagai berikut: 1. Bagi dunia akademik dan ilmu pengetahuan khususnya Politeknik Negeri Medan. Sebagai bahan referensi tambahan dalam hal menyelesaikan sebuah permasalahan yang mirip dengan latar belakang pembuatan sistem ini. Sebagai modul praktikum dalam pembelajaran website, khususnya bagian keamanan website. Meningkatkan dan menambah wawasan tentang sistem keamanan sebuah website. Dapat dijadikan acuan agar lebih seksama dalam memperbaiki segi keamanan website di Politeknik Negeri Medan. Membantu meminimalisir kerugian yang terjadi dikarenakan kelemahan pada sistem keamanan website tersebut.

19 6 2. Bagi pembaca Dari hasil analisa website tersebut diharapkan memberi manfaat dalam membangun sebuah website yang handal dan aman. Bagi dunia pendidikan khususnya Politeknik Negeri Medan, dapat mengetahui kelemahan website Polmed, apakah sistem rentan terhadap serangan atau tidak. Dapat mengetahui langkah atau tindakan pencegahan, berdasarkan hasil analisa terhadap pengujian keamanan website tersebut. 3. Bagi penulis Untuk mengaplikasikan ilmu yang telah diperoleh selama perkuliahan, serta menambah wawasan mengenai sistem keamanan website. Berguna bagi kehidupan sehari-hari dan bisa dikembangkan lagi dikemudian hari.

20 7 1.6 Metode Tugas Akhir Metode Observasi dan Studi Literatur Penulis melakukan pencarian dan pengumpulan data dengan cara menganalisa beberapa website khususnya di lingkungan politeknik, universitas, dan berberapa website lainya. Sebagai percontohan, penulis menganalisa website Politeknik Negeri Medan dan beberapa website lainya. Diskusi yang melibatkan dosen pembimbing serta bagian sistem informasi dari masing masing lingkungan tempat penulis melakukan pengumpulan data Metode Studi Pustaka Metode yang dilakukan adalah dengan cara mancari bahan yang mendukung dalam pendefinisian masalah melalui buku-buku, jurnal-jurnal dan situs-situs di internet, yang erat kaitannya dengan objek permasalahan Konsultasi/Bimbingan Melakukan konsultasi/bimbingan pada dosen pembimbing setiap minggunya. Tidak hanya dosen pembimbing, konsultasi juga dilakukan pada pihak-pihak yang memiliki pengalaman dalam keamanan web dan jaringan khususnya masalah SQL Injection Merancang Skenario Merancang scenario pengujian keamanan web yang akan dilakukan.

21 Implementasi Melakukan implementasi berupa pengujian keamanan web menggunakan sript PHP dengan teknik SQL Injection dan melakukan pengamanan pada web tersebut menggunakan metode Anti SQL Injection Trial and Error Melakukan pengujian pada sistem dengan cara melakukan berulang kali sampai didapatkan hasil yang di cari Analisis Melakukan analisis pada pengujian keamanan web dan membandingkan kemanan tersebut dengan suatu keamanan web dummy (web contoh yang sudah pasti dapat ditembus dengan SQL Injection) agar dapat diteliti sejauh mana keamanan website tersebut. 1.7 Alat dan Bahan Penelitian Software a. Vega Scanner b. Havij OS Windows c. SQLMap Injection d. Sistem Operasi Kali Linux e. Browser Iceweasel f. Browser Google Chrome

22 Hardware a. Processor Intel Celeron 2 Core b. RAM 2 GB c. Hardisk 320 GB d. Mouse e. Modem Huawei Vodafone K3765 HSPDA USB 1.8 Merealisasikan Merupakan tahap bagaimana cara penulis menganalisa website tersebut secara online. Dengan begitu, penulis dapat menilai apakah website tersebut dapat bekerja dengan baik atau tidak serta melihat celah yang terdapat di website tersebut Menganalisa dan Mengevaluasi Merupakan pengecekan terhadap sesuatu kinerja website dan melakukan rekomendasi untuk perbaikan dan penyempurnaan website tersebut Pengujian Merupakan proses pengujian hasil analisa dan evaluasi dari masalah yang ada pada website. Pengujian website ini dilakukan untuk mengetahui tingkat keamanan dan konten-konten website yang harus di perbaharui. Adapun tahaptahapan yang dilakukan adalah sebagai berikut: 1. Tahap Inisiasi, pada tahap ini dilakukan penelusuran dan pengkajian literature, literatur yang berhubungan dengan keamanan aplikasi.

23 10 2. Tahap Investigasi, pada tahap ini dilakukan penyelidikan meliputi informasi web server. 3. Tahap Pengujian, pada tahap ini dilakukan pengujian terhadap keamanan website dengan menggunakan, Vega scanner, SQLMap dan Havij. 4. Tahap verifikasi, pada tahap ini dilakukan verifikasi terhadap keamanan website serta fitur-fitur yang harus di perbaharui dan memberikan pemberitahuan kepada admin untuk dilakukan perbaikan atas dasar hasil investigasi dan pengujian pada aspek pemrograman Penyusunan Tugas Akhir Merupakan tahap untuk menyusun hasil penelitian secara sistematis berdasarkan aturan yang ada. 1.9 Sistematika Penulisan Berikut adalah sistematika penulisan yang digunakan dalam penyusuan laporan tugas akhir: 1. BAB I PENDAHULUAN Bab ini berisi penjelasan mengenai latar belakang, tujuan, batasan masalah, motivasi dan tujuan tugas akhir, sasaran tugas akhir, metode tugas akhir dan sistematika penulisan. 2. BAB II LANDASAN TEORI Bab ini berisi landasan teori yang menjadi referensi utama dalam penulisan tugas akhir. Teori yang dibahas berhubungan dengan sistem yang akan dibangun dan juga yang digunakan untuk kepentingan analisis dan perancangan sistem.

24 11 3. BAB III ANALISIS DAN PERANCANGAN Bab ini membahas mengenai perancangan dan menganalisa sistem keamanan website. 4. BAB IV PENGUJIAN DAN ANALISIS SISTEM Bab ini membahas hasil tentang uji coba dan analisis dari penerapan teknik SQL Injection dalam menguji keamanan website tersebut dan penerapan Anti SQL Injection dalam mengamankan web dari serangan SQL Injection. 5. BAB V KESIMPULAN DAN SARAN Bab ini menjelaskan hasil akhir dari semua penulisan yang dikerjakan yaitu simpulan dan saran yang berisi masukan masukan untuk mengembangkan dan melengkapi sistem yang sudah dibangun di masa yang mendatang.