Simulasi Celah Keamanan Aplikasi Web dengan Kerangka Kerja OWASP

Transkripsi

1 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 1 Simulasi Celah Keamanan Aplikasi Web dengan Kerangka Kerja OWASP Riska Kurnianto Abdullah, Ahmad Zaini ST., MT., Christyowidiasmoro, ST., MT. Jurusan Teknik Elektro, Fakultas Teknologi Industri, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya Indonesia kurnianto@elect-eng.its.ac.id, zaini@ee.its.ac.id, christyowidiasmoro@gmail.com Abstrak Semakin kompleks dan terhubungnya infrastruktur digital dengan dunia global, kesulitan untuk mencapai keamanan aplikasi menjadi meningkat secara eksponensial. Dalam hal ini masalah keamanan yang sederhana tentunya tidak dapat ditoleransi lagi dimana aplikasi web telah banyak bertebaran di internet. Oleh karena hal itu, maka para developer menjadi lalai dalam membuat sistem aplikasi yang aman. Masalah tentang celah keamanan ini terjadi karena kurangnya kesadaran para developer untuk mengikuti standar penanganan sistem keamanan pada aplikasi web. Untuk itu diharapkan perlu ada nya suatu sistem yang bisa menjadi acuan sebagai pengetahuan dalam memahami celah keamanan yang dimaksud. Dalam penelitian ini telah dibuat sebuah prototype web yang berfungsi mensimulasikan sepuluh celah keamanan berdasarkan OWASP top OWASP adalah suatu organisasi yang mengatur kebijakan standar keamanan pada aplikasi web. OWASP ini sendiri mempunyai metode yang disebut dengan OWASP framework. Pada prototype ini kemudian dilakukan penetrasi untuk mengetahui celah keamanan yang ada berdasar pada standar OWASP framework. Dari hasil penetrasi kemudian dianalisa untuk mendapatkan solusi dari celah kemananan yang ditemukan. Hasil yang diperoleh yaitu celah keamanan yang sering terjadi pada web yaitu terjadi pada celah keamanan penggunaan komponen yang sudah diketahui kelemahannya dan juga kelemahan pada level akses control. Dua celah keamanan ini dapat dicegah dengan melakukan review kode sumber aplikasi apakah mengandung celah keamanan atau tidak sesuai dengan standar OWASP. Apabila aplikasi tergantung pada framework dan atau komponen maka diusahakan komponen tersebut selalu diperbaharui sesuai dengan security release yang telah diterbitkan vendor. Kata Kunci hacking, web, OWASP, database, pentration test. I. PENDAHULUAN engan adanya kemudahan internet yang menjadi bagian Dvirtual dari dunia nyata dimana banyak tempat didalamnya sebagai penyedia berbagai bermacam layanan, tentunya terdapat keuntungan dan kerugian serta kebaikan dan keburukan. Internet seolah menjadi satu dunia sendiri yang mempunyai cara kerja dan informasi data yang terus mengalir dengan sangat cepat. Selanjutnya Berbagai macam penyedia layanan tersebut dimplemetasikan dalam bentuk aplikasi web. Perangkat lunak yang tidak aman telah menjadi suatu ancaman bagi segala aspek infrastuktur diantaranya yaitu keuangan, kesehatan, pertahanan, energi, dan infrastruktur penting lainnya [1]. Dengan semakin kompleks dan terhubungnya infrastruktur digital dengan dunia global maka kesulitan untuk mencapai keamanan aplikasi menjadi meningkat secara eksponensial [1]. Dalam hal ini masalah keamanan yang sederhana tentunya tidak dapat ditoleransi lagi dimana aplikasi web tersebut banyak bertebaran di internet. Hal ini tentunya dapat diatasi dengan melakukan pengujian keamanan dengan teknik penetration testing. Teknik ini digunakan untuk memeriksa efektifitas kemanan sebuah sistem, sehingga kelemahan yang ada dapat diketahui secara dini, dan tindakan pencegahan pengamanan dapat dilakukan [3]. Masalah keamanan pada aplikasi web dapat dikurangi juga dengan menggunakan OWASP yang merupakan salah satu organisasi yang fokus kepada masalah keamanan aplikasi web. OWASP adalah singkatan dari Open Web Application Security Project. OWASP menerbitkan suatu metodologi yang dapat digunakan untuk menemukan celah kemanan, sehingga dengan adanya standar keamanan yang bisa digunakan para developer, maka seharusnya masalah longgarnya sistem keamanan aplikasi web dapat dipenuhi. Dapat disimpulkan bahwa masalah utama yang ada saat ini pada aplikasi web adalah kurangnya perhatian pemilik sistem dalam menerapkan pengujian keamanan pada aplikasi web. Pada umumnya setelah aplikasi web yang teresebut selesai dibuat sistem tersebut langsung dilaunch untuk digunakan. Masalah yang akan menjadi pembahasan didalam artikel ini yaitu mencakup mengenai masalah keamanan yang terdapat pada OWASP Top , mulai dari teknik penetrasi dan cara pencegahannya. Pembahasan ini terdiri dari pembuatan aplikasi yang mempunyai celah keamanan, kemudian melakukan penetrasi, lalu menganalisa dan melakukan tindakan pencegahan agar dampak celah keamanan yang ada dapat terhindar. II. METODE PENELITIAN A. Model Pembuatan situs dengan custom code dilakukan untuk melakukan simulasi penyerangan dan penanganan celah keamanan. Pembuatan situs ini ditujukan agar dapat menjelaskan lebih lanjut seberapa besar dampak celah keamanan tersebut dan cara cara mengatasinya. Setelah situs dibuat maka pada situs tersebut dilakukan percobaan untuk penetrasi manual berdasarkan celah celah yang ada menurut OWASP TOP Setelah dilakukan penetrasi maka akan

2 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 2 dilihat dampak apa yang akan terjadi, kemudian selanjutnya akan dicarikan solusi untuk mencegahnya. Pada Gambar 1 merupakan rancangan sistem untuk langkah kerja simulasi. Metode yang dipakai pada penelitiann ini yaitu dengan metode penetrasi. Metode ini secara implementasi penelitian ini digabungkan dengan owasp framework [1]. Penetrasi dilakukan antaraa lain mencakup : a) Pengujian otentikasi : pengujian otentikasi dilakukan pada penelitian ini mulai dari otentikasi user biasa dari pengunjung aplikasi, member serta administrator. Untuk area pengujiann mencakup area register, form login, serta halamam member. b) Pengujian otorisasi : melakukan pengujian akses data pada setiap level user c) Pengujian manajemenn sesi : pengujian ini dilakukan untuk user yang terotorisasi sistem saja, sedangkan menurut standar diujikan juga pada user dengan role visitor. Hal ini dilakukan karena aplikasi yang dibuat hanya merupakan aplikasi yang sederhana tidak memerlukan sesi untuk user visitor. B. OWASP Top 10 Pada perkembangan aplikasi web saat ini untuk dapat menghasilkan aplikasi web tentu tidak hanya harus sesuai dengan fungsi dan manfaat dari aplikasi tersebut namun aplikasi yang dimaksud tersebut juga harus memenuhi syarat syarat keamanan yang memadai. Menurut OWASP [1] ada 10 celah keamanann yang harus diperhatikan karena dampak yang ditimbulkan akan mengganggu organisasi yang mempunyai aplikasi tersebut dan mudah untuk di eksploitasi [1]. Sepuluh celah keamanann yang dimaksud yaitu diantara lain : a) Injeksi b) Broken authentication and session management c) XSS d) Referensi Obyek langsung yang tidak aman e) Kesalahan konfigurasi keamanan f) Sensitive data exposure g) Missing function level access control h) CSRF i) Using components with known vulnerabilities j) Redirect dan Forward yang tidak divalidasi Pada Gambar 1 yaitu adalah langkah kerja dari penelitian dimulai dari pembuatan prototype situs yang dibuat menggunakan custome code. Situs tersebut sengaja dibuat tanpa mengalami proses standar pengecekan keamanan. Setelah situs selesai dibuat maka satu persatu pada setiap celah keamanan yang menurut standar OWASP top dilakukan penetrasi. Penetrasi tes inii dilakukan untuk mendapatkan atau mengeksploitasi celah keamanann [3]. Kemudian setelah hasil dari penetrasi tes didapat, maka berikutnya yaitu melakukan pencegahan untuk celah keamanan tersebut dan kemudian hasil tersebut yang menjadi bahan untuk analisa apakah perlu menulis ulang seluruh kode atau mengubah sebagian komponen saja. Gambar 1. Desain sistem untuk percobaan penetrasi sql injeksi. Halaman yang dibuat sengaja menampilkan query yang akan dieksekusi oleh sistem sehingga dapat dianalisa bagaimana kode sql dieksekusi oleh system. Celah keamanan selanjutnyaa yaitu : Kesalahan konfigurasi keamanan, celah keamanan ini terjadi dengan skenario dimisalkan suatu cms yang diletakkan pada server web dimana server yang baru saja diinstall dan belum diganti username dan password defaultnya [2]. Untuk simulasi ini aplikasi yang dibuat adalah berfokus pada konfigurasi server yaitu kesalahan konfigurasi pada file php.ini.. Pada celah keamanan Sensitive data exposure, kelemahan yang paling umum yaitu tidak melakukan enkripsi pada data yang seharusnyaa patut dienkripsi. Ketika menggunakan enkripsi. Pada beberapa kaskuss file log yang dihasilkan sistem aplikasi dapat dilihat dan untuk hal ini seharusnya file ini perlu dienkripsi atau setidaknya akses untuk membaca berkas tersebut diberi batas, sehingga faktor dari penyerang yang berada dari dalam sistem dapat terminimalisir [4]. Missing function levell access control, Dalam mengeksploitasi celah keamanan ini penyerang dapat berupa semua user yang memiliki akses terhadap jaringan dari aplikasi web. Penyerang tersebut bisa berupa user anonim, ataupun member.penyerang yang terotorisasi dengan sistem dengan mudah dapat mengubah URL atau parameter untuk mengubah otoritas aplikasi terhadap penyerang tersebut, sehingga menjadikan penyerang tersebut mempunyai level akses yang setaraa dengan admin. Ditemukan oleh OWASP [1] Beberapa aplikasi tidak selalu melakukan proteksi fungsi pada aplikasinya. Kadang fungsi tingkat pengamanan diatur pada sebuah berkas konfigurasi, dan sistem ternyata mengalami salah konfigurasi. Untuk celah keamanan Cross Site Request Forgery atau disingkat dengann CSRF, celah ini merupakan suatu teknik hacking yang bertujuan untuk mendapatkan atau bahkan menguasai suatuu akun dengan cara menyerang web yang dieksekusi atas wewenang korban tanpa dikehendaki korban itu sendiri. CSRF merupakan teknik pemalsuan yang berasal dari halaman web atau situs yang berbeda, contohnya saat halaman situs dieksekusi oleh korban maka akan muncul akun baru yang tanpa dikehendakidi admin. Using components with known vulnerabilities, pada celah

3 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 3 keamanan ini bermula dari disetiap aplikasi memiliki masalah karena sebagian besar tim developer tidak fokus terhadap komponen atau library yang terkini(update). Dalam banyak kasus, para developer bahkan tidak mengenal seluruh komponen yang digunakannya. Melihat kasus ini depedensi komponen akan membuat sesuatu yang lebih buruk dalam sistem keamanan aplikasi web itu sendiri. Celah kemananan yang terjadi pada Redirect dan Forward yang tidak divalidasi yaitu dimana aplikasi pada umumnya mengarahkan (redirect) pengguna ke halaman lain, atau menggunakan internal forwards dengan cara yang serupa. Kadang halaman target dispesifikasikan ke dalam parameter yang tidak divalidasi, sehingga memperkenankan penyerang memilih halaman tujuan. Dalam hal ini penyerang mengaitkan ke redirect yang tidak divalidasi dan mengelabui korban untuk diklik. Korban sangat mungkin untuk melakukan klik sebab link tersebut terlihat menuju ke situs yang valid. III. HASIL A. Injeksi Untuk mencegah sql injeksi maka diperlukan penyaringan data dari input form username dan password sehingga query tidak dimasuki karakter yang bisa menyebabkan injeksi sql lagi. Penyaringan data dilakukan dengann cara memisahkan data yang bisa dipercaya dengan yang tidak, dengann cara memberikan escape string pada karakter yang dianggap asing yang menyebabkan injeksi sql. Gambar 2. Hasil query yang ditampilkan setelah sistem melakukan penyaringan data pada input username dan password. Hal ini seperti ditunjukkan pada Gambar 3 dimanaa hasil query tidak langsung diterima begitu saja oleh sistem melainkan diproses untuk memisahkan karakter asing sehingga injeksi tidak lagi menyebabakan dampak dimana username seseorang yang benar benar terotorisasi dipakai oleh pihak lain yang tidak berhak. B. Broken authentication and session management Untuk simulasi celah keamanan ini sistem melakukan otorisasi member menggunakan variabel session, namun session ini diletakkan pada URL sehingga user yang tidak terotorisasi dapat dengan mudah memanfaatkannya dan bisa menggunakan akun yang masih aktif dengan cara mengisi variabel session id yang masih aktif juga. Pada kasus seperti ini user yang valid pada sistem inii ingin membagikan tentang halaman yang diperolehnya pada sistem kepada orang lain dengan cara menyalin url lengkap dan memberikannya. Karena variable session terekspos di url maka ketika orang lain yang diberikan link ini membuka url yang dikirim oleh user yang valid tersebut, maka orang tersebut yang tidak memiliki otoritas ini bisa jadi memiliki akses dari user yang valid. Pada implementasi pencegahan celah keamanan ini yaitu sistem diubah agar tidak menampilkan variabel session pada URL, dengan cara menambahkan code ini_set( session.use_cookies,1); pada awal kode program untuk otentikasi sehingga variabel session tidak lagi terekspos ke URL melainkan disimpan pada cookie. C. XSS Aplikasi yang dibuat untuk mensimulasikan celah keamanan ini merupakan suatuu sistem yang dilengkapi dengan tampilan search dihalaman depan. Normalnya sistem ini akan menampilkan hasil input dari field search kemudian menampilkannya ke sistem. sebagai contoh field search di isi dengan nilai hacking exposed maka sistem akan menampilkan nilai yang diisi sebelumnya yaitu hacking exposed. Pada sistem ini dilakukan percobaan dengan memasukkan karakter tag HTML untuk mencoba apakah sistem dapat exploitasi celah XSS atau tidak. Setelah dilakukan input <h1>test XSS</h1> hasil yang ditampilkan oleh sistem ini berupa tulisan TEST XSS dengan style header 1, maka dengan ini disimpulkan sistem bisa dieksploitasi dengan XSS. Skenario yang digunakan untuk mendapatkan target yaitu dengan menyisipkan halaman login palsu pada halaman target. Langkah pertamaa yaitu menyiapkan login form yang palsu dialamat lain. Dalam kasus ini login form yang palsu sudah dibuat pada alamat /localhost/serverjahat/index.php. Kemudian selanjutnya login form tersebut akan disisipkan pada server menggunakan celah keamanan XSS. Halaman login palsu yang sudah disisipkan ditulis menggunakann tag iframe. Selanjutnya attacker menyalin semua url kemudian diberikan kepadaa korban / target. Dalam hal ini apabila target lalai kemudian memasukkan username dan passwordnya maka secara otomatis username dan password yang dikirimkannya tersebut tercatat di server jahat yang dibuat oleh attacker dan attacker bisa menggunakannya untuk kerperluan pribadinya. Dalam penanganan pencegahan XSS penulis menggunakan fungsi htmlspecialchars(). Fungsi ini bisa mengenali tag HTML sehingga sistem tidak lagi melakukan eksekusi penuh tag terhadap HTML yang dimasukkan tapi memperlakukan input sebagai textt murni dan ditampilkan. D. Referensi Obyek langsung yang tidak aman Aplikasi pada simulasi ini yaitu berbentuk sistem yang terotorisasi dengan username dan password kemudian terdapat suatu halaman informasi yang bisa diakses user untuk melihat dataa data tentang user itu sendiri dan ditampilkan pada halaman info member. Penetrasi dilakukan pada sistem dengan mengubah variable id pada url untuk mengakses informasi akun yang lain. Padaa kasus ini dengan login admin id yang diperoleh bernilai 4. Untuk melakukan penetrasi lebih lanjut maka dicoba mengganti variable id dengan nilai 6. Hasil yang diperoleh yaitu sistem merespon dan menampilkan informasi dari user yang lainnya. Terlihat informasi yang

4 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 4 diberikan sudah bukan informasi dari user yang seharusnya maka disimpulkan ini merupakan celah keamanan referensi objek langsung yang tidak aman. Untuk mencegah Celah keamanan ini penulis melakukan pengecekan variabel id dengan session id yang di daftarkan sehingga apabila ada ketidak cocokan antara variabel id dan variabel session id sistem akan memberikan peringatan dan memblokir akses id untuk melihat informasi akun user yang lainnya. E. Kesalahan konfigurasi keamanan Tentang celah keamanan kesalahan konfigurasi keamanan aplikasi yang digunakan yaitu aplikasi pada celah injeksi dimana saat server php salah mengkonfigurasikan variabel session.use_cookie diubah nilainya menjadi nol 0 maka akan muncul variabel session pada url yang pada akhirnya mengakibatkan variabel session terekspos ke URL. Solusi untuk masalah pada celah ini yaitu sistem administrator harus selalu waspada dan melakukan audit sistem keamanan secara berkala dan memperhatikan konfigurasi servernya. Selalu melakukan pengecekan pada server sebelum memakainya untuk sistem aplikasi web. F. Sensitive data exposure Aplikasi web untuk simulasi celah keamanan ini mempunyai fungsi dimana fungsi tersebut akan dieksekusi tiap 3 jam untuk melakukan backup berkala seluruhnya pada database. Kemudian backup database tersebut disimpan pada server sistem aplikasi itu sendiri. Sementara itu pengaturan pada server sendiri directory listing nya tidak dinonaktifkan. Maka dengan terdapatnya sistem seperti ini sangat dimungkinkan database untuk diunduh oleh member. Untuk menghindari celah keamanan ini maka pada konfigurasi server fitur fasilitas directory listing dinonaktifkan sehingga akses ke file database yang meskipun tidak terenkripsi dapat dicegah. Tindakan preventif yang kedua yaitu penulis mengubah sistem aplikasi web dimana aplikasi web mengharuskan enkripsi pada password di database. G. Missing function level access control Aplikasi yang dibuat untuk simulasi celah keamanan ini berupa sistem yang mempunyai dua role pada tiap usernya, yaitu role admin dan role member. Saat admin melakukan login dan menuju kontrol panel maka halaman kontrol panel untuk admin yang dapat diaksesnya. Begitu juga user dengan role member saat saat user dengan role member melakukan login dan menuju kehalaman control panel maka halaman kontrol panel hanya untuk kontrol pada dengan hak akses member. Halaman kontrol panel yang dimaksud merupakan halaman kontrol panel yang dibuat berbeda tiap user. Untuk role member mempunyai halaman akses control panel tersendiri begitu juga dengan role admin yang mempunyai halaman Kontrol panel sendiri juga. Untuk melakukan penetrasi dilakukan dengan mengakses salah satu halaman kontrol panel yaitu kontrol panel pada role member dengan nama file control_admin.php. penetrasi dilakukan tanpa user yang login sama sekali. Hal ini berarti user visitor mencoba untuk mengakses kontrol panel pada halaman control_admin.php. Hasil akses sistem dapat dilihat terlihat sistem menolak memberikan akses untuk halaman tersebut. Penetrasi lalu dilanjutkan dengan melakukakan akses ke halaman control_admin.php dengan user role member yang aktif. Saat melakukan akses ke halaman control_admin.php sistem menampilkan halaman kontrol panel yang seharusnya hanya bisa diakses oleh user dengan role admin namun karena terjadi kelemahan pada kode program di aplikasi sistem maka sistem menampilkan kontrol panel admin. Untuk mengatasi hal ini maka masing masing halaman kontrol panel yaitu halaman control_admin.php dan halaman control.php dimasukkan fungsi yang melakukan pengecekan apakah role user yang melakukan akses sesuai dengan permintaan halaman kontrol panel yang dimintanya. Setelah hal tersebut dilakukan maka sistem dengan mudah menolak pemberian halaman kontrol panel yang tidak sesuai dengan role masing masing user. H. CSRF Aplikasi yang dibuat mempunyai dua buah akun dengan username dan password yang berbeda. Pada sistem ini setiap user masing masing mempunyai poin. Sistem ini membolehkan antar dua user tersebut melakukan transfer poin. Sistem transfer poin ini dimisalkan unttuk mewakilkan transaksi transfer yang dilakukan pada sistem yang digunakan oleh bank. Penetrasi dilakukan dengan cara membuat agar user target membuka suatu halaman yang sudah di masukkan kode csrf sebelumnya. Pada sistem ini kode csrf diletakkan pada server jahat. Target diupayakan hingga berhasil mengunjungi halaman yang dimaksud. Setelah target mengunjungi halaman yang mengandung kode CSRF tanpa ia sadari poinnya sudah berkurang karena pada situs yang target / korban kunjungi tersebut terdapat kode yang dieksekusi tanpa disadari oleh user yang menyebabkan user melakukan transfer poin kepada user lain. Untuk mencegah agar sistem tidak terkena dampak dari celah keamanan ini maka sistem aplikasi web ini dilengkapi dengan token pada form yang akan dikirim sehingga apabila ada ketidak cocokkan form maka transaksi tidak dapat dieksekusi dan dihentikan prosesnya yang dijelaskan pada Gambar 4. I. Using components with known vulnerabilities Aplikasi dari suatu organisasi perguruan tinggi yang menggunakan joomla dengan JCEditor extension berhasil dieksploitasi penulis. Dengan berhasilnya eksploitasi ini maka penyerang dapat melakukan perubahan layaknya user yang mempunyai akun pada hosting tersebut. Pada joomla 1.5 untuk sistem aplikasi web pada salah satu perguruan tinggi di Surabaya ini terdapat celah keamanan pada extension JCEditor. Penulis menggunakan exploit untuk memasukkan file shell dengan memanfaatkan kelemahan JCE

5 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 5 Editor ini. Untuk selanjutnya pada kasus ini penulis membuka port 1080 sebagai backdoor sehingga sewaktu waktu penulis bisa kembali lagi untuk masuk ke dalam sistem aplikasi web. Apabila sistem sudah terinfeksi atau diserang, sementara itu administrator yang melakukan perbaikan hanya menghilangkan atau melakukan update pada modul JCEditor maka bisa dipastikan sistem sangat mungkin untuk dideface lagi dengan mudah dikemudian hari. dibuat oleh penyerang. Untuk mencegah hal ini apabila penggunaan redirect dan forward tidak dapat dihindari maka user yang menggunakan aplikasi web tersebut harus diperingatkan kalau akan menuju halaman yang lain. Dalam hal ini penulis menggunakan warning sebagai proteksi agar user tidak tertipu dan tahu jelas ke arah mana selanjutnya sistem mengarahkan user. Seperti dilihat pada Gambar 5. Gambar 4. Pencegahan celah keamanan redirect dan forward. User diperingatkan saat akan melakukan redirect atau forward kehalaman lain selain situs internal dari sistem. Jika url berisi alamat selain dari halaman internal sistem maka secara otomatis sistem akan memberikan warning. Gambar 3. Flowchart untuk pencegahan serangann CSRF. Variabel id, amm, dan iddes saat dikirimkan diproses padaa blok generate token. variabel ini dikirimkan lengkap dengan token sehingga pada saat variabel sampai pada blok redirect transfer val token yang ada pada server dan yang dibawa oleh variabel dicocokkan. Apabila ada ketidak cocokkan maka transaksi dibatalkan. Dalam mencegah hal ini maka saat aplikasi web masih tergantung dengan komponenn dari vendor maka perlu update berkala. Untuk itu sistem administratorr diharapkan selalu melakukan pengecekan dan update apabila ada releasee yang terbaru terutamaa pada pada release security issue. J. Redirect dan Forward yang tidak divalidasi Sistem yang dibuat untuk celah keamanan ini yaitu berupa halaman redirect dengan halaman redirect.php. Penetrasi celah keamanann yang dilakukan pada aplikasi ini yaitu dengan memanfaatkan celah keamanan pada redirect dan forward yang tidak divalidasi. Celah keamanan ini sangat rentan karena bisa mengakibatkan user menuju halaman yang bisa saja tidak user tersebut sendiri inginkan. Dalam skenario ini sistem memiliki halaman redirect.php yang menerima parameter tunggal yang dideklarasikan dalam bentuk variabel url. Penetrasi dilakukan dengan melakukan perubahan parameter url menjadi url= /ta_2013/server_jahat/fb/login.htm. Isi dari variabel yang ada di url ini merupakan situs facebook palsu. Situs facebook palsu ini akan merekam usernamee dan password yang dimasukkan korban dengan begitu maka username dan password korban sudah terekam disistem yang IV. KESIMPULAN/SARAN Untuk melakukan verifikasii keamanan aplikasi web yang telah dikembangkan disarankann untuk melakukan review kode aplikasi dan melakukan pengujian keamanann terhadap aplikasi tersebut. Agar lebih baik lagi dalam melakukan pengujian aplikasi maka metode penetrasi dan review kode merupakan kombinasi yang tepat. Celah keamanan yang ada dalam sepuluh kategori OWASP sangatlah sederhana dan mudah untuk dieksploitasi. Developer dan sistem administrator yang bertanggung jawab atas sistem keamanan aplikasi web kadang kurang memperhatikan hal tersebut. Pada saat melakukan penetrasi untuk kepentingan audit sistem keamanann sebaiknya dilakukan juga penetrasi dengan software. Penetrasi dengan software mungkin akan memakan waktu yang sangat lama namun sangat mungkin untuk saling melengkapi antara penetrasi dengan software dan penetrasi manual. UCAPAN TERIMA KASIH Penulis mengucapkan terima kasih kepada Yth, Bapak dosen pembimbing yang telah banyak memberikan masukan dan telah mendampingi saya selama penelitian, juga segenap teman teman dan juga sanak keluarga yang turut serta membantu penulis untuk tetap semangat dalam penelitian. DAFTAR PUSTAKA [1] OWASP. (2013, December) OWASP Testing Guide. [Online]. News

6 JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 6 [2] Mark Curphey, Joel Scambry, and Erik Olson, Improving Web Application Security. Washington: Microsoft, [3] William E Perry, Effective Methods for Software Testing. Indianapolis: Wiley Publishing, [4] NIST. (2013, December) Guideline on Network Security Testing. [Online]. [5] Roger S Pressman, Software Engineering. New York: McGraw-Hill, 2001.