BAB 4 HASIL PENGUJIAN KEAMANAN SISTEM WEB SERVER PADA WEBSITE WALL STREET INSTITUTE INDONESIA

Transkripsi

1 BAB 4 HASIL PENGUJIAN KEAMANAN SISTEM WEB SERVER PADA WEBSITE WALL STREET INSTITUTE INDONESIA 4.1 Persiapan dan Perencanaan Audit Tahapan perencanaan audit dimulai dengan menetapkan ruang lingkup audit, tujuan pelaksanaan audit, dan persiapan penelitian lapangan. Berikut adalah rencana kerja yang akan dilakukan. Aktivitas Data yang Dikumpulkan Metode Melakukan survei terhadap lokasi yang akan menjadi tempat penelitian dan evaluasi yang sesuai. Mendapatkan perusahaan yang sesuai untuk melakukan penelitian dan evaluasi. Observasi, Wawancara. Membuat surat permohonan untuk melakukan pengujian terhadap keamanan website yang dikembangkan dalam bentuk program internship. Mengamati dan mendapatkan profil perusahaan. Menentukan sumber daya berupa personil dan lingkungan SI yang akan diaudit dengan menggunakan CAAT. Menentukan tujuan pemakaian CAAT dalam audit. Menentukan software yang akan digunakan dalam proses audit. Menentukan akses untuk mengetahui spesifikasi program/sistem perusahaan yang akan diaudit. Surat persetujuan melakukan pengujian keamanan terhadap salah satu website yang dikembangkan dari PT Web Architect Technology. Latar belakang perusahaan, gambar struktur organisasi, uraian tugas dan tanggung jawab, proses bisnis berjalan. Objek audit dan Tim audit Tujuan penggunaan CAAT Acunetix v.7 dan Nmap 5.21 Username dan Password untuk mengakses ke CMS. Menyerahkan proposal pengajuan program internship kepada Direktur PT Web Architect Technology. Observasi, Wawancara. Observasi Observasi Observasi Wawancara Melakukan testing website Laporan bug Functionality Testing dan Integration Testing

2 Aktivitas Data yang Dikumpulkan Metode Detail scanning report Melakukan audit dengan menggunakan software/tool. CAAT (Acunetix v.7 dan Nmap) Membuat rekomendasi terhadap temuan-temuan yang merupakan kerentanan (vulnerability) pada website. Membuat laporan hasil audit. Rekomendasi dan masukkan yang berguna untuk perusahaan dalam melakukan perbaikan. Laporan hasil audit beserta temuan dan rekomendasi. Analisis data Analisis data Tabel 4.1 Rencana Kerja Audit Penentuan Ruang Lingkup Audit Ruang lingkup dari audit keamanan website educational Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology mencakup: 1. Pengujian keamanan terhadap web site dan Content Management System (CMS) Wall Street Institute Indonesia dari aspek web dan port. 2. Pelaksanaan audit menggunakan pendekatan Computer Assisted Audit Techniques (CAATs) yaitu Acunetix v.7 dan Nmap Tujuan Pelaksanaan Audit Tujuan dilakukannya audit keamanan website educational Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology antara lain:

3 1. Untuk mengetahui, mengumpulkan, dan menganalisis kelemahan pada web site dan CMS Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology dari aspek keamanannya. 2. Memberikan rekomendasi atas hasil temuan sebagai masukan bagi pihak manajemen PT Web Architect Technology Persiapan Penelitian Lapangan Adapun instrumen penelitian yang digunakan terdiri dari observasi, wawancara, studi dokumentasi dan CAATs. Sebelum memulai proses audit, dilakukan survei dan observasi secara langsung yang bertujuan untuk mendapatkan informasi tentang perusahaan yang akan diaudit. Selanjutnya, penelitian dilanjutkan dengan melakukan observasi lebih lanjut terhadap website yang akan diaudit, lalu melakukan wawancara kemudian melakukan pengujian dengan menggunakan Acunetix WVS dan Nmap serta melakukan studi dokumentasi guna untuk memperoleh data, menganalisis data, dan mengumpulkan bukti audit untuk membentuk suatu opini yang lebih akurat. Di bawah ini merupakan cara-cara yang digunakan penulis untuk mengumpulkan bukti audit yaitu : 1. Observasi (Internship) Observasi merupakan suatu metode yang digunakan penulis untuk mengumpulkan data dengan melakukan peninjauan langsung ke PT Web Architect Technology dalam bentuk program internship dimana penulis ikut

4 terlibat langsung dalam proses bisnis perusahaan guna untuk mengamati berbagai hal yang terjadi pada objek yang diamati yaitu website educational Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology. 2. Wawancara Wawancara merupakan suatu proses pengumpulan informasi yang dibutuhkan oleh penulis terkait objek yang diamati dengan mengajukan beberapa pertanyaan yang dilakukan secara lisan kepada Direktur, Project Manager, dan Programmer. Tujuan penulis dalam melakukan wawancara adalah untuk mengetahui gambaran umum perusahaan mencakup, struktur organisasi, tugas dan wewenang, proses bisnis, struktur proyek serta masalah-masalah yang pernah dihadapi oleh perusahaan terkait keamanan pada web site yang selama ini dikembangkan dan tindakan yang dilakukan perusahaan dalam mengatasi masalah tersebut bila terjadi. 3. CAATs (Computer Audit Assisted Techniques) Metode pengujian yang digunakan adalah dengan pendekatan CAATs (Computer Audit Assisted Techniques) di mana proses pengujian dilakukan dengan bantuan software Acunetix Web Vulnerability Scanner v.7 dan Nmap Studi Dokumentasi Studi dokumentasi merupakan suatu metode yang dilakukan penulis dalam mengumpulkan bukti-bukti audit yang digunakan untuk memperkuat pernyataan ataupun opini terhadap temuan-temuan audit dalam penyusunan laporan audit.

5 4.1.4 Pengumpulan Data dan Informasi Anggota Tim Yang Akan Melaksanakan Functionality Testing dan Integration Testing Pemilihan anggota tim merupakan bagian terpenting dalam melaksanakan functionality testing dan integration testing dimana anggotaanggota harus memahami alur dari website tersebut. Adapun anggota tim yang terlibat selama proses pelaksanaan functionality testing dan integration testing terhadap website dan CMS Wall Street Indonesia yang dikembangkan PT Web Architect Technology adalah sebagai berikut : 1. Project Manager : Erick S. Lauw 2. Quality Assurance : Putri Ayu, Widya, danyiyin Susanty 3. Programmer : Daniel S. Project Manager berperan dalam menentukan jadwal functionality testing dan integration testing yang akan dilakukan oleh tim, memastikan bahwa functionality testing dan integration testing dilakukan sesuai dengan perencanaan yang telah dilakukan sebelumnya, dan memastikan bahwa bug fixing dilakukan secara menyeluruh oleh Programmer. Bagian Quality Assurance merupakan bagian terpenting dalam testing karena mereka yang bertanggung jawab untuk membuat laporan bug pada website dan CMS. Sementara Programmer bertanggung jawab untuk melakukan perbaikan berdasarkan laporan bug dan error yang dibuat oleh tim Quality Assurance dan menyediakan solusi berdasarkan permasalahan yang ditemukan.

6 Temuan Bug Pada tahap ini, bagian Quality Assurance membuat laporan bug berdasarkan functionality testing dan integration testing yang telah dilakukan. Bug ID Bug Deskripsi Perbaikan Bug #1 #2 Bug pada menu Staff yaitu pada fungsi upload foto Bug pada menu Staff yaitu pada saat admin ingin melakukan update foto staff. Bug disebabkan karena folder permission untuk sistem, dimana pada saat melakukan upload, folder temp (tempat Bug disebabkan karena kesalahan pada script untuk menghapus file yang sudah ada. Script yang di-execute: unlink (file_exist( assets/images/staff/name_image )); 1. Pada script ditambah validasi pengecekan ada atau tidak nya file, Script yang di-execute seharunya : unlink ( assets/images/staff/name_image ); #3 Bug pada menu Student (sub menu Social Club Schedule) pada saat admin ingin melakukan upload preview image pada Social Club Schedule. Bug disebabkan karena file system permission yang tidak sesuai dimana terjadi kesalahan dalam pemograman pada saat tahap pengembangan dimana admin hanya diberikan read permission. Tabel 4.2 Tabel Bug pada CMS Wall Street Institute Indonesia Pada script ditambahkan validasi read, write, dan execute permission.

7 Website Wall Street ( Bug ID Bug Deskripsi Perbaikan Bug #1 Bug pada video player (baik video yang di-upload melalui CMS berasal dari local drive atau You Tube). 1. Error pada video yang berasal dari local drive disebabkan karena adanya beberapa kemungkinan berikut ini : a. File video tidak berhasil di-upload ke server, sementara data tetap disimpan didalam database, b. File video terhapus tanpa disadari pada saat proses pengembangan. 2. Error pada video yang berasal dari You Tube dikarenakan kesalahan pada penamaan link video. 1. Untuk video yang berasal dari local drive, upload video menggunakan ajax uploader (uploadify), 2. Untuk upload video yang berasal dari You Tube diberikan penamaan yang benar. Contoh link yang dipanggil : m/watch?v=xxjhojfvqu, seharusnya : #2 #3 #4 Form di homepage yaitu pada bagian text field Konfirmasi akhir setelah form dib i Form validation Pada browser Mozilla, text field hanya terlihat setengah. Hal ini disebabkan karena kesalahan pada CSS input text. Hal ini dikarenakan success event form belum diatur pada saat tahap pengembangan. Hal ini disebabkan karena validasi form belum memenuhi requirement dari klien, yaitu : Seharusnya tinggi text field pada masing-masing browser di-setting sesuai dengan jenis browser karena tampilan setiap browser berbeda. Menambahkan success handler pada script PHP. Penambahan script form validation menggunakan jquery validation. 1. Belum adanya kategori umur yang benar, 2. Belum adanya validasi yang benar, 3. Belum adanya validasi angka pada field phone berupa : a. User harus meng-input field phone dengan format 021xxx dengan minimal 9 angka dan maksimal 11 angka b. User harus meng-input field phone dengan format 08xx dengan minimal 11 angka dan maksimal 14 angka. c. Field phone hanya dapat di-input dengan angka. Tabel 4.2 Tabel Bug pada CMS Wall Street Institute Indonesia

8 4.2 Pelaksanaan Audit Keamanan Web Audit terhadap keamanan web bertujuan untuk memastikan bahwa aspek keamanan website dan CMS Wall Street Institute Indonesia yang dikembangkan oleh PT Web Architect Technology tercapai sehingga dapat menjamin seluruh informasi yang merupakan asset penting bagi Wall Street Institute Indonesia terlindungi dengan baik. Adapun permasalahan keamanan yang menyebabkan suatu website rentan terhadap serangan dari pihak yang tidak bertanggung jawab adalah adanya bug pada website, banyaknya port yang terbuka, dan web alert Bug Fixing Bug yang tidak disadari pada sebuah website dapat dimanfaatkan oleh penyerang untuk memanipulasi website atau mencuri informasi yang terdapat didalamnya. Oleh karena itu, bug harus ditangani sedini mungkin sehingga dapat meminimalkan risiko yang mungkin ditimbulkan oleh bug. Selama melakukan functionality testing dan integration testing, bagian Quality Assurance menemukan beberapa bug yang terjadi akibat kesalahan pada script maupun validasi script pada website dan CMS Wall Street Institute Indonesia yang mengakibatkan bug tersebut dapat menjadi celah bagi attacker untuk menyerang website. Bagian Quality Assurance kemudian memberikan laporan bug pada programmer untuk selanjutnya diperbaiki. Masalah-masalah yang ada telah diperbaiki oleh programmer untuk kepuasan pengguna akhir sehingga website pada akhirnya dapat go live.

9 4.2.2 Port Scanning Port scanning dilakukan untuk mengetahui port mana saja yang terbuka pada sebuah web server. Dengan mengetahui port yang terbuka, maka dapat diketahui celah yang dapat dimanfaatkan oleh penyerang. Berikut hasil port scanning terhadap website dan CMS Wall Street Institute Indonesia dengan menggunakan Acunetix dan Nmap, yaitu: 1. Open Port 22/ SSH Port 22 merupakan port yang digunakan untuk menjalankan protokol SSH yang digunakan untuk mengakses ke dalam web server melalui jarak jauh (remote login) dan mengeksekusi beberapa perintah seperti menambah, mengubah maupun menghapus serta download file secara remote. Setiap file yang di transfer ke dalam web server terenskripsi sehingga proses transfer file lebih aman dilakukan. 2. Open Port 21 / FTP Port 21 merupakan port yang digunakan untuk menjalankan File Transfer Protocol (FTP) dimana protokol ini digunakan untuk melakukan pertukaran file dalam suatu network dan menyediakan akses jarak jauh (remote computer) ke web server. 3. Open Port 25/ SM TP Port 25 merupakan port yang digunakan untuk menjalankan SMTP yang digunakan untuk mengatur lalu lintas pengiriman dari client ke server sebuah ISP seperti Gmail.

10 4. Open Port 53/ Domain Port 53 merupakan port yang digunakan untuk menjalankan Domain Name System (DNS) yang digunakan untuk menyampaikan permintaan klien atas suatu domain tertentu ke server lalu menanggapi permintaan dari server ke klien dengan menerjemahkan domain ke dalam bentuk IP address yang dapat dimengerti oleh bahasa komputer. 5. Open Port 80/ HTTP Port 80 merupakan port yang digunakan untuk menjalankan Hypertext Transfer Protokol (HTTP) yang digunakan untuk mentransfer dokumen atau halaman dalam World Wide Web (WWW). HTTP menyampaikan permintaan atas aksi apa saja yang harus dilakukan oleh web server dan respon atas permintaan dari web browser. 6. Open Port 110/ POP3 Port 110 merupakan port yang digunakan oleh POP3 (Post Office Protocol) untuk mengambil dari mailbox sebuah server dan menyimpannya ke komputer lokal. Dengan menggunakan POP3, maka akan otomatis ter-download dan disimpan diprogram client (contohnya Outlook Express, Nestcape, dan lain-lain). 7. Open Port 143/ IMAP Port 143 merupakan port yang digunakan oleh protokol IMAP untuk mengambil dari server. IMAP pada dasarnya memiliki fungsi yang sama dengan POP3 yaitu merupakan protokol yang digunakan oleh program client (Microsoft Outlook, Nestcape,dan lain-lain) untuk mengambil dari server. Akan tetapi pada IMAP, klien dapat

11 memilih pesan yang akan diambil, membuat folder di server, mencari pesan tertentu bahkan menghapus pesan yang ada. 8. Open Port 443/ HTTPS Port ini digunakan oleh HTTPS untuk melakukan komunikasi web browser secara aman karena data yang ditransfer melalui koneksi ini terenskripsi sehingga aman dari penyadapan dan gangguan. HTTPS pada dasarnya memiliki fungsi yang sama dengan HTTP namun HTTPS menyajikan data dengan menggunakan protokol Secure Socket Layer (SSL). 9. Open Port 465/ SM TPS SMTPS merupakan metode untuk mengamankan SMTP dengan SSL. SMTPS menyediakan otentikasi dari mitra komunikasi, serta keintegritasan dan kerahasiaan data. Di sini, klien dan server tetap mengirimkan secara normal melalui SMTP pada application layer, tetapi koneksinya diamankan oleh Secure Socket Layer (SSL). 10. Open Port 993/ IMAPS Port 993 digunakan oleh protokol IMAPS untuk mengelola . IMAPS merupakan metode untuk mengamankan IMAP dengan SSL. IMAPS menyediakan otentikasi serta keintegritasan dan kerahasiaan data. Di sini klien dapat memilih pesan yang akan diambil, membuat folder di server, mencari pesan tertentu bahkan menghapus pesan yang ada dengan koneksi yang secure oleh SSL.

12 11. Open Port 995/ POP3S POP3S merupakan metode untuk mengamankan POP3 dengan SSL. POP3S menyediakan otentikasi serta keintegritasan dan kerahasiaan data. pada server akan di-download ke komputer lokal pengguna dengan aman. 12. Open Port 3306/ MySQL Port 3306 merupakan port standar untuk MySQL. Port 3306 dibuka agar database MySQL pada server dapat diakses dari luar. Dalam memberikan akses admin harus mengatur permission sesuai untuk setiap user. Melalui port yang terbuka ini, banyak para penyerang (attacker) yang mencoba-coba untuk menyusup ke sistem jaringan dan menjebol sistem jaringan tersebut. Oleh karena itu dibutuhkan seorang web admin yang cukup ahli dalam menjaga keamanan sistem dari serangan orang-orang yang tidak bertanggung jawab.

13 Berikut merupakan risiko-risiko terkait open port : No. Port Risiko Tingkatan Risiko Rekomendasi 1. 21/FTP Pertukaran data yang terjadi antara klien dan server, username dan password tidak terenskripsi yang menyebabkan data dapat disadap, dicuri atau disisipkan program yang berbahaya seperti virus trojan di tengah-tengah perjalanan sebelum data tersebut sampai ke klien ataupun ke server /SMTP 1. Dapat terjadi flooding yang disebabkan karena adanya yang tidak terotentifikasi. 2. Adanya fake . High Low Menggunakan VS ftpd (Very Secure FTP Daemon), atau Virtual Private Network (VPN). 1. Menggunakan port 465/ SMTPS, 2. Memasang anti spam /Domain Terjadinya spoofing. High 1. Menutup atau filter port 53, 2. Back up DNS server dilakukan setiap hari /HTTP 1. Terjadinya SQL Injection, 2. Terjadinya Cross Site Scripting (XSS), 3. Terjadinya DOS (Denial of Service) /POP3 Para penyerang dapat memanfaatkan lalulintas yang diambil oleh POP3 dan mendapatkan informasiinformasi penting dari tersebut karena protokol ini dinilai tidak aman /IMAP Terjadinya penyadapan informasi dari lalu lintas yang sedang berjalan / MySQL Apabila terdapat bug pada database MySQL maka akan menjadi celah bagi penyerang untuk mengeksploitasi akses. High Low Low High Menggunakan HTTPS. 1. Menggunakan port 995/POP3S yang dinilai lebih aman dalam lalu lintas , 2. Memasang anti spam. 1. Menggunakan port 993/IMAPS yang lebih aman, 2. Memasang anti spam. Melakukan upgrade MySQL secara berkala, membuat, dan menerapkan kebijakan akses terhadap MySQL. Tabel 4.4 Tingkatan Risiko pada open port Website dan CMS WSI

14 Keterangan ( Table 4.4 Tingkatan Risiko pada Open Port Website dan CMS WSI) 1. Open port 21/FTP Tingkatan risiko : High Keterangan : Tingkatan risiko dikategorikan high karena akan berdampak pada kredibilitas website Wall Street Institute Indonesia bagi pengguna dan kredibilitas PT Web Architect Technology sebagai developer website bagi klien. 2. Open port 25/ SMTP Tingkatan risiko Keterangan : Low : Tingkatan risiko dikategorikan low karena risiko yang ditimbulkan tidak terlalu berdampak bagi pihak Wall Street. 3. Open port 53/Domain Tingkatan risiko Keterangan : High : Tingkatan risiko dikategorikan high karena akan berdampak pada kredibilitas website Wall Street Institute Indonesia bagi pengguna dan kredibilitas PT Web Architect Technology sebagai developer website bagi klien.

15 4. Open port 80 /HTTP Tingkatan risiko Keterangan : High : Tingkatan risiko dikategorikan high karena melalui port 80 website dapat diakses sehingga rentan terhadap serangan yang akan berdampak pada confidentiality, integrity, dan availability website. 5. Open port 110/pop3 Tingkatan risiko Keterangan : Low : Tingkatan risiko dikategorikan low karena tidak sering terjadi pengiriman oleh user. 6. Open port 143/IMAP Tingkatan risiko : Low Keterangan : Tingkatan risiko dikategorikan low karena tidak sering terjadi pengiriman oleh user. 7. Open port 3306/MySQL Tingkatan risiko Keterangan : High : Tingkatan risiko dikategorikan high karena melalui port 3306 penyerang dapat menyerang database tempat dimana data sensitif website Wall Street tersimpan sehingga berdampak pada confidentiality, integrity dan availiability website.

16 4.2.3 Web Alert Berikut merupakan kerentanan-kerentanan yang berhubungan dengan web alert yang ditemukan berdasarkan hasil scanning dari Acunetix : POP3 Password Post Office Protocol versi 3 ataupun dikenal dengan sebutan POP3 merupakan protokol yang digunakan untuk mengambil dari server. Berdasarkan hasil scanning dengan menggunakan Acunetix ditemukan kerentanan pada website Wall Street Institute Indonesia yaitu password POP3 server yang lemah. Adapun detail password pada POP3 server yang ditemukan adalah seperti berikut : Gambar 4.1 Detail POP3 Server Password Directory Listing Directory listing menampilkan semua file yang ada dalam web server. Berdasarkan hasil scanning yang dilakukan terhadap website Wall Street, web server tempat website Wall Street Institute Indonesia berada dikonfigurasi untuk dapat menampilkan daftar file-file yang ada dalam directory ini. Adapun directory listing yang ditampilkan adalah sebagai berikut:

17 Gambar 4.2 Detail Directory Listing Error Page Path Disclosure Path disclosure merupakan jenis kerentanan yang terjadi dimana ketika seorang penyerang mencoba untuk mengakses ke jalur (path) pada web page tertentu namun ternyata jalur tersebut tidak ada, sehingga website mengalihkan jalur tersebut ke jalur yang hampir sama. Hal ini mengakibatkan seorang penyerang dapat melihat seluruh struktur file yang terdapat di dalam website. Gambar 4.3 Detail Error Page Path Disclosure

18 Cookie Cookies merupakan sebuah file berisi informasi yang dicatat pada sebuah browser dimana setiap browser memiliki karakteristik tersendiri dalam mengeluarkan/membuat cookie yang disimpan pada direktori khusus dalam sebuah komputer. Informasi yang disimpan di dalam file cookie sangatlah banyak, termasuk username dan password. Cookie berguna untuk mengidentifikasi user pada sebuah situs web sehingga jika pada suatu waktu user kembali mengunjungi situs tersebut, maka situs tersebut dapat mengenali user. Terdapat 2 jenis vulnerability yang ditemukan terkait cookies pada website maupun CMS Wall Street Institute Indonesia yaitu : 1. Session Cookie without HttpOnly Flag Set Jika cookie di-setting dengan menggunakan HttpOnly Flag Set, maka informasi hanya dapat dikirimkan atau diakses pada sebuah server. Namun pada kenyataannya, cookie pada website Wall Street tidak memiliki proteksi dengan menggunakan HttpOnly Flag Set. Gambar 4.4 Detail Session Cookie without HttpOnly Flag Set 2. Session Cookie without Secure Flag Set Jika sebuah cookie di-setting dengan menggunakan Secure Flag Set, maka cookies hanya dapat diakses melalui saluran yang aman yaitu SSL

19 channel. Tingkat keamanan cookies lebih terjamin dimana memungkinkan informasi yang diakses ataupun dikirimkan ke server hanya boleh melalui HTTPS, sehingga para attacker tidak memiliki kesempatan untuk melihat cookies ataupun mencuri informasi didalamnya yang lewat di tengah perjalanan melalui HTTP. Gambar 4.5 Detail Session Cookie without Secure Flag Set Address Found Berdasarkan hasil scanning yang dilakukan, Acunetix menemukan alamat berupa : webmaster@wallstreet.ac.id, wsi.goldmine@gmail.com, dan goldmine@yahoo.com.sg. Hal ini dapat dimanfaatkan oleh para penyerang untuk mengirimkan junk mail atau spam di mana penyerang mengirimkan - yang tidak berguna secara terus menerus yang tentunya hal ini sangat mengganggu kenyamanan Wall Street. Gambar 4.6 Detail Address Found

20 Berikut adalah risiko-risiko terkait web alert yang ditemukan : No. Web Alert Risiko Tingkatan Risiko Rekomendasi 1. POP3 Server Password Orang-orang yang tidak terotorisasi dapat mengakses POP3 server dan memperoleh seluruh informasi dalam yang ditampung sementara dalam mail server. High Membuat password dengan menggunakan kombinasi yang terdiri dari angka, huruf, dan simbol. 2. Directory Listing Seorang penyerang dapat melihat semua file dalam directory yang mungkin terdapat informasi sensitif. Low 1. Disable Directory Listing yang mengandung informasi sensitif. 2. Memastikan bahwa dalam Directory Listing tidak terdapat informasi sensitif. 3. Error Page Path Disclosure Disclosure akan informasi sensitif. Low 1. Mengkonfigurasi web server untuk tidak memberikan respon terhadap permintaan web page yang tidak ada. 2. Menampilkan pesan error seperti Page is not found. 4. Session Cookie Without HttpOnly Flag Set Informasi yang terdapat pada cookie seperti username dan password pada CMS Wall Street yang dapat disalahgunakan oleh penyerang. Low Mengkonfigurasi session cookie dengan HttpOnly Flag Set. 5. Session Cookie Without Secure FlagSet Informasi yang terdapat pada cookie seperti username dan password pada CMS Wall Street yang dapat disalahgunakan oleh penyerang. Low Mengkonfigurasi session cookie dengan Secure Flag Set.

21 No. Web Alert Risiko Tingkatan Risiko Rekomendasi 6. Address Found Junk mail atau spam di mana penyerang dapat mengirimkan - yang tidak berguna secara terus menerus yang tentunya hal ini dapat menyebabkan mail server menjadi down. Spam dapat mengandung virus atau aplikasi yang berbahaya yang dapat mengelabui pengguna untuk membocorkan informasi perusahaan yang sensitif. Low 1. Menggunakan anti virus yang berlisensi dan melakukan update secara berkala. 2. Menggunakan anti spam Tabel 4.5 Tingkatan Risiko pada Web Alert Keterangan (Tabel 4.5 Tingkatan risiko pada web alert) 1. POP3 Server Password Tingkatan Risiko : High Keterangan : Tingkatan risiko dikategorikan high karena password tidak memenuhi standar yang aman sehingga mudah untuk diserang. 2. Directory Listing Tingkatan Risiko : Low Keterangan : Tingkatan risiko dikategorikan low karena tidak mengandung informasi sensitif. 3. Error Page Path Disclosure Tingkatan Risiko : Low Keterangan : Tingkatan risiko dikategorikan low karena sistem tidak merespon akses terhadap path tersebut.

22 4. Session Cookie without HttpOnly Flag Set Tingkatan Risiko : Low Keterangan : Tingkatan risiko dikategorikan low karena website Wall Street merupakan website educational di mana tidak sering terjadi transaksi berbeda halnya jika website tersebut adalah website E-Commerce maka cookie banyak mengandung informasi sensitif. 5. Session Cookie without Secure Flag Set Tingkatan Risiko : Low Keterangan : Tingkatan risiko dikategorikan low karena website Wall Street merupakan website educational di mana tidak sering terjadi transaksi berbeda halnya jika website tersebut adalah website E-Commerce maka cookie banyak mengandung informasi sensitif. 6. Address Found Tingkatan Risiko : Low Keterangan : Tingkatan risiko dikategorikan low karena jarang terjadi pengiriman di mana hanya digunakan pada form.

23 4.3 Laporan Hasil Audit LAPORAN HASIL PENGUJIAN KEAMANAN WEBSITE YANG DIKEMBANGKAN OLEH PT WEB ARCHITECT TECHNOLOGY ( STUDI KASUS PADA WALL STREET INSTITUTE INDONESIA ) Kepada : PT Web Architect Technology Perihal : Laporan Hasil Pengujian Keamanan Website Wall Street Institute Indonesia Periode : Juli Januari 2012 Oleh : Yiyin Susanty Widya Putri Ayu Bina Nusantara University Jakarta 2012

24 Temuan #1 Open Port 21/FTP Risiko: Pertukaran data yang terjadi antara klien dan server tidak terenskripsi yang menyebabkan data dapat dicuri atau disisipkan program yang berbahaya seperti virus trojan di tengah-tengah perjalanan sebelum data tersebut sampai ke klien ataupun ke server. Rekomendasi : 1. PT Web Architect Technology sebaiknya menggunakan VSftpd (Very Secure FTP Daemon) sebagai FTP Server. 2. PT Web Architect Technology menggunakan Virtual Private Network (VPN) sehingga pihak lain tidak dapat menyadap informasi dengan mudah pada saat Wall Street melakukan transfer data ke FTP server. Temuan #2 Open Port 25/SMTP Risiko: 1. Dapat terjadi flooding yang disebabkan karena adanya yang tidak terotentifikasi, 2. Adanya fake ( palsu).

25 Rekomendasi : 1. PT Web Architect Technology membuka port 25/SMTP dan port 465/SMTPS pada website Wall Street sehingga Wall Street dapat memilih untuk menggunakan port 25/SMTP atau port 465/SMTPS untuk mengirim . Namun sebaiknya PT Web Architect Technology hanya membuka port 465/SMTPS untuk pengiriman secara aman. 2. Memasang anti spam. Temuan #3 Open Port 53/Domain Risiko : Terjadinya spoofing. Dengan teknik spoofing maka penyerang dapat mengelabui pengguna website untuk memperoleh informasi penting dari mereka seperti username, password, alamat, nomor telepon, dan lain-lain dengan membuat web tiruan yang mirip dengan website aslinya. Rekomendasi: Tindakan yang telah dilakukan PT Web Architect Technology untuk meminimalkan risiko ini yaitu dengan melakukan back up Domain Name System (DNS) Server secara berkala (3 hari sekali). Akan tetapi lebih baik jika back up DNS dilakukan secara harian. Selain itu, PT Web Architect Technology sebaiknya mengubah status port 53 menjadi closed atau filtered.

26 Temuan #4 Open Port 80/HTTP Risiko: Terjadinya SQL Injection, Cross Site Scripting (XSS), dan Denial of Service (DOS). Rekomendasi: Sebaiknya PT Web Architect Technology menyarankan pihak Wall Street untuk menggunakan SSL yang diterapkan pada HTTP sehingga hanya port 445/HTTPS yang dibuka untuk melakukan komunikasi yang aman pada web browser pengguna. Temuan #5 Open Port 110/POP3 Risiko: Para penyerang dapat memanfaatkan lalu lintas yang diambil oleh POP3 dan mendapatkan informasi-informasi penting dari tersebut karena protokol ini dinilai tidak aman. Rekomendasi: 1. Menggunakan port 995/POP3S yang dinilai lebih aman dalam lalu lintas , 2. Memasang anti spam.

27 Temuan #6 Open Port 143/IMAP Risiko : Terjadinya penyadapan informasi dari lalu lintas yang sedang berjalan. Rekomendasi: 1. Sebaiknya PT Web Architect Technology menyarankan pihak Wall Street Institute Indonesia untuk menggunakan SSL yang diterapkan pada IMAP sehingga hanya port 993/IMAPS yang dibuka untuk melakukan pengambilan dari server secara aman, 2. Memasang anti spam. Temuan#7 Open Port 3306/MySQL Risiko: Apabila terdapat bug pada database MySQL maka akan menjadi celah bagi penyerang untuk mengeksploitasi akses pada sistem sehingga data Wall Street dapat dimanipulasi dan diubah oleh penyerang.

28 Rekomendasi: 1. PT Web Architect Technology sebaiknya selalu melakukan upgrade MySQL dengan versi yang terbaru, 2. Membuat dan menerapkan kebijakan akses terhadap MySQL. Temuan #8 POP3 server menggunakan password yang lemah dan mudah ditebak. Risiko : Orang-orang yang tidak terotorisasi dapat mengakses POP3 server dan memperoleh seluruh informasi dalam yang ditampung sementara dalam mail server. Rekomendasi : Menerapkan kebijakan untuk membuat password dengan menggunakan kombinasi yang terdiri dari angka, huruf, dan simbol. Temuan#9 Directory Listing Risiko : Seorang penyerang dapat melihat semua file dalam directory yang mungkin terdapat informasi sensitif.

29 Rekomendasi : 1. Disable Directory Listing yang mengandung informasi sensitif. 2. Memastikan bahwa dalam Directory Listing tidak terdapat informasi sensitif. Temuan#10 Error Page Path Disclosure Risiko : Disclosure akan informasi sensitif. Rekomendasi : 1. Mengkonfigurasi web server untuk tidak memberikan respon terhadap permintaan web page yang tidak ada. 2. Menampilkan pesan error seperti Page is not found. Temuan #11 Session Cookie without HttpOnly Flag Set Risiko : Informasi yang terdapat pada cookie seperti username dan password pada CMS Wall Street yang dapat disalahgunakan oleh penyerang. Rekomendasi : Mengkonfigurasi session cookie dengan HttpOnly Flag Set.

30 Temuan #12 Session Cookie Without Secure Flag Set Risiko: Informasi yang terdapat pada cookie seperti username dan password pada CMS Wall Street yang dapat disalahgunakan oleh penyerang. Rekomendasi: Mengkonfigurasi session cookie dengan Secure Flag Set. Temuan#13 address found dan Risiko : Junk mail atau spam dimana penyerang dapat mengirimkan yang tidak berguna secara terus menerus yang tentunya hal ini dapat menyebabkan mail server menjadi down. Spam dapat mengandung virus atau aplikasi yang berbahaya yang dapat mengelabui pengguna untuk membocorkan informasi perusahaan yang sensitif. Rekomendasi : 1. Menggunakan anti virus yang berlisensi dan melakukan update secara berkala. 2. Menggunakan anti spam.