Pencari Celah Keamanan pada Aplikasi Web

dokumen-dokumen yang mirip
Perancangan Web Application Honeypot untuk Menggali Informasi Peretas

Jurnal Ilmiah Komputer dan Informatika (KOMPUTA) 45 Edisi... Volume..., Bulan 20.. ISSN :

PENDETEKSI CELAH KEAMANAN PADA APLIKASI WEB DENGAN PENETRATION TESTING MENGGUNAKAN DATA VALIDATION TESTING SKRIPSI INDRA M.

Analisis Penanganan SQL Injection pada Basis Data MySQL dengan Framework Code Igniter dan PHP

Riska Kurnianto Abdullah NRP :

Methods of Manual Penetration Testing (Actual Exploit)

Xcode Intensif Training. Advanced ethical web. hacking & security

ADITYA WARDANA

Xcode Intensif Training. Ethical Web hacking & Security ~ Advanced

JURNAL TEKNIK POMITS Vol. 2, No. 1, (2013) ISSN: ( Print) 1

rancang bangun aplikasi web vulnerability scanner terhadap kelemahan sql injection dan xss menggunakan java

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

DAFTAR ISI. LEMBAR PENGESAHAN PEMBIMBING... iii. LEMBAR PENGESAHAN PENGUJI... iv. LEMBAR PERNYATAAN KEASLIAN... v. HALAMAN PERSEMBAHAN...

TUGAS KELOMPOK SECURITY COMPUTER TOOL HACKING SQL INJECTION

BAB III PERANCANGAN DAN PEMBUATAN SISTEM

BAB III ANALISIS DAN PERANCANGAN

Nama : FEPILIANA Nim : TUGAS 05 KEAMANAN JARINGAN KOMPUTER ACTUAL EXPLOIT

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

KINERJA APLIKASI CLIENT SERVER UNTUK SISTEM INFORMASI TUMBUH KEMBANG BALITA

Bab 4 Hasil dan Pembahasan

ANALISIS KEAMANAN WEBSITE DI UNIVERSITAS MUHAMMADIYAH SURAKARTA

BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

Melindungi Aplikasi dari Serangan CrossSite Scripting (XSS) Dengan Metode Metacharacter

PROTECTING WEBSITES FROM COMMON ATTACKS

Form Mampu membuat form dan dan mengirim data ke halaman lain Pengaturan Validasi dan keamanan form. Sesi 5

Secara umum, eksploit dapat dibagi atas dua jenis, yaitu eksploit lokal (local exploit), dan eksploit remote (remote exploit).

Keamanan Data di dalam Cloud Storage

Keamanan Web Server. Pertemuan XI WEB HACKING

IMPLEMENTASI KEAMANAN APLIKASI WEB DENGAN WEB APPLICATION FIREWALL

Andi Dwi Riyanto, M.Kom

APLIKASI WEB VULNERABILITY SCANNER UNTUK SERANGAN SQL INJECTION MEMANFAATKAN GOOGLE DORK INURL TUGAS AKHIR. Oleh : MASYITHA

STUDI DAN IMPLEMENTASI KEAMANAN WEBSITE MENGGUNAKAN OPEN WEB APPLICATION SECURITY PROJECT (OWASP) STUDI KASUS : PLN BATAM

TUTORIAL ANTI INJECTION 1. SCRIPT CODE LOGIN ANTI SQL INJECTION. Materi asli dari Masinosinaga baca dibawah ini:

M. TRI JOKO

SKRIPSI PENGUJIAN KETAHANAN WEBSITE MENGGUNAKAN FRAMEWORK ISSAF DAN OWASP

Lim Server digunakan untuk mengelola jumlah concurrent license, yang akan menentukan jumlah WebInspect server yang dapat dijalankan (aktif).

APLIKASI PENGUJIAN CELAH KEAMANAN PADA APLIKASI BERBASIS WEB

BAB I PENDAHULUAN. teknologi terkini. Tukar menukar surat elektronik (surel) dan juga keberadaan dari

Masalah Keamanan Pada Sistem Mobile

TUGAS KEAMANAN JARINNGAN KOMPUTER

PERANCANGAN DAN ANALISIS SISTEM KEAMANAN WEBSITE MENGGUNAKAN SCRIPT PHP STUDI KASUS POLITEKNIK NEGERI MEDAN

Perancangan Website Ujian. Teknik Elektro UNDIP Berbasis HTML

Daftar Isi. Daftar Gambar. Daftar Tabel. 1 Pendahuluan 1. 2 Apakah Hacking Statistik? 2

BAB IV HASIL DAN PEMBAHASAN. dalam bentuk website maupun dalam bentuk aplikasi android pada sisi klien.

Content Injection at Accounts Page that could Result Reflected Cross Site Scripting

Tugas Bahasa Indonesia

Presented by z3r0byt3 Disusun oleh the_day & y3dips

Bab 1. Pendahuluan. 1.1 Latar Belakang

I. PENDAHULUAN. jaringan dan aplikasi yang dibuat khusus untuk jaringan. Akibatnya, interaksi

WEB VULNERABILITIES ANALYSIS STUDI KASUS WEB DISBUN.MUBAKAB.GO.ID

2.2 Update Record Salah satu fitur aplikasi database adalah update data. Perintah SQL yang digunakan untuk update data seperti di bawah ini.

BAB III ANALISIS DAN PERANCANGAN

BAB III ANALISIS DAN PERANCANGAN SISTEM. Pada tahap ini sistem yang akan dianalisis merupakan Web

Keamanan Sistem WWW. Muhammad Zidny Naf an

Pemrograman Web. PHP State, Session dan Cookies. Adam Hendra Brata

BAB IV IMPEMENTASI DAN PENGUJIAN

Ahmad Muammar W. K.

*HACKING* Sekilas Tentang Google

Biltek Vol. 5, No. 021 Tahun 2015 Sekolah Tinggi Teknik Harapan 1

Manual Book Website Adverse Drug Report

APLIKASI e-hosting STANDARD OPERATING PROCEDURE (SOP) REV.1 PT PLN (PERSERO) DISTRIBUSI JAWA TIMUR

BAB II LANDASAN TEORI

PERANCANGAN DAN PEMBUATAN WEBSITE PERUSAHAAN EKSPEDISI

BAB IV Hasil Dan Analisis

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

`BAB III ANALISIS DAN PERANCANGAN SISTEM. Material Requirement Planning (MRP) berbasis web pada CV. Mitra Techno Sains.

KEAMANAN KOMPUTER APLIKASI HAVIJ KELOMPOK : BAGUS WAHYU SANTOSO KHAIRUL RAHMAN RENDY ZULIANSYAH

Public Key Infrastructure (PKI)

BAB IV ANALISIS DAN PERANCANGAN SISTEM. permasalahan dari suatu sistem informasi. Hasil akhir dari analisis sistem

BAB III PERANCANGAN ALAT

Sistem Informasi Manajemen Aset Berbasis Intranet

BAB III ANALISA DAN PERANCANGAN SISTEM

BAB IV HASIL DAN UJI COBA

BAB V IMPLEMENTASI DAN PENGUJIAN

BAB IV HASIL DAN PEMBAHASAN

Rancang Bangun Aplikasi Perangkat Bergerak Layanan Pemesanan Barang (Studi Kasus Dinas Kebersihan dan Pertamanan Kota Surabaya )

WEB BROWSER SECURITY. Indra Priyandono

MODUL 5 GET & POST Pemograman Web Teknik Informatika Universitas Pasundan Bandung 2016/2017

BAB III IDENTIFIKASI DAN KLASIFIKASI WEB LOG

Bab 4 Pembahasan dan Hasil

Implementasi Firewall IPTables Untuk Mencegah Serangan Terhadap Webserver TUGAS AKHIR

BAB I PERSYARATAN PRODUK

BAB I PENDAHULUAN. hal yang wajib diketahui seorang web developer. Tanpa pengetahuan tersebut,

BAB 1. PENDAHULUAN. Ancaman keamanan terhadap penyedia layanan web semakin meningkat

APLIKASI DETEKSI KELEMAHAN WEBSITE DENGAN MENGGUNAKAN METODE INJEKSI REMOTE FILE INCLUSION DAN LOCAL FILE INCLUSION SKRIPSI

Aplikasi Tata Persuratan Berbasis Web Perum Jasa Tirta II. bertujuan untuk memenuhi kebutuhan di setiap Unit Kerja, sebuah

TUGAS BESAR MATA KULIAH JARINGAN DAN KEAMANAN KOMPUTER. Hacking untuk pemula (menyembunyikan IP menggunakan anonymous proxy server)

ANALISIS DAN PERANCANGAN

BAB I PENDAHULUAN 1.1 Latar Belakang

E-trik Ajax. Database MySQL. Dedi Alnas

APLIKASI BERBASIS WEB PEMETAAN INFORMASI PADA GAMBAR BITMAP

Elearning Perbanas Panduan Mahasiswa

Hacking Website With SQL Injection

BAB IV IMPLEMENTASI DAN EVALUASI SISTEM. disesuaikan dengan desain sistem yang sudah dibuat. Rancang Bangun sistem

BAB 4 Hasil dan Pembahasan

TUTORIAL SQL INJECTION

APLIKASI MANAJEMEN PERPUSTAKAAN BERBASIS WEB MENGGUNAKAN PHP DAN MYSQL PADA SMA NEGERI 5 BINJAI TUGAS AKHIR FATIMAH

PENGEMBANGAN APLIKASI SISTEM PENGATURAN BASIS DATA SECARA ONLINE. Agustinus Noertjahyana, Rendy Pangestu dan Dwi Budiman

Eksekusi file setup.exe yang ada dalam CD atau folder instalasi oracle.

1. Mahasiswa mampu membuat form pada dokumen HTML. 2. Mahasiswa memahami cara penggunaan dari fasilitas Form pada halaman dokumen HTML

Transkripsi:

1 Pencari Celah Keamanan pada Aplikasi Web Muhammad Chandrika Kesuma, Ary Mazharuddin Shiddiqi, Baskoro Adi Pratomo Jurusan Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS) Jl. Arief Rahman Hakim, Surabaya 60111 E-mail: ary.shiddiqi@cs.its.ac.id Abstrak Kejahatan di dunia teknologi dan informasi terutama pada aplikasi web semakin marak terjadi. Salah satu faktor yang menyebabkan kurangnya tingkat keamanan pada aplikasi web adalah kesalahan penulisan kode program. Kesalahan penulisan kode program dalam pembuatan aplikasi web adalah hal yang sering dimanfaatkan oleh para penyerang, hal ini mengakibatkan rata-rata aplikasi web bisa diserang dengan memanfaatkan kesalahan ini. Kelemahankelemahan yang sering dimanfaatkan oleh para penyerang diantaranya adalah kelemahan terhadap SQL Injection, XSS, Remote File Inclusion, dan Username Enumeration. Salah satu cara untuk mendeteksi adanya kelemahan-kelemahan pada aplikasi web adalah dengan menggunakan aplikasi pencari celah keamanan. Aplikasi pencari celah keamanan ini dimaksudkan untuk mendeteksi secara otomatis apakah suatu aplikasi web memiliki kerentanan terhadap suatu serangan. Aplikasi ini akan mencari celah keamanan suatu situs web terhadap 4 metode serangan, yaitu : SQL Injection, XSS (Cross-Site Scripting), RFI (Remote File Inclusion), dan Username Enumeration. Dari hasil uji coba, aplikasi ini bisa memberikan informasi tentang dimana letak celah keamanan yang terdapat pada suatu aplikasi web terhadap metode-metode serangan yang diujikan. Serangan SQL Injection, XSS, dan RFI dapat dihindari dengan cara melakukan sanitasi terhadap masukan dari pengguna. Kata Kunci : RFI, SQL Injection, Username Enumeration, XSS D I. PENDAHULUAN alam dunia pengembangan website, pengamanan terhadap sebuah website seringkali luput dari benak pengembang web. Pada kenyataanya, mencari suatu bug atau kelemahan keamanan dan melakukan audit terhadap suatu website cukup sulit untuk dilakukan. Melihat kenyataan tersebut, para pengembang ataupun praktisi keamanan web mengaplikasikan berbagai teknik keamanan. Setiap pengembang website harus memperbaiki pengamanan terhadap website yang dibangunnya. Pengamanan harus diterapkan sejak awal karena penerapannya akan sangat sulit jika telah terjadi masalah di kemudian hari. Akan tetapi, hal tersebut tidak menjamin website tersebut aman 100% karena selalu terdapat celah-celah yang harus diminimalisir jumlahnya. Salah satu faktor yang menyebabkan kurangnya tingkat keamanan pada aplikasi web adalah kesalahan penulisan kode program. Kesalahan penulisan kode program dalam pembuatan aplikasi web adalah hal yang sering dimanfaatkan oleh para penyerang, hal ini mengakibatkan rata-rata aplikasi web bisa diserang dengan memanfaatkan kesalahan ini. Kelemahan-kelemahan penulisan kode yang sering dimanfaatkan aleh para penyerang untuk menyerang korbannya diantaranya adalah SQL Injection dan XSS. Seperti ditunjukan pada diagram yang dirilis oleh webappsec.org (diperbaharui terakhir Juli 2011) pada Gambar 1 bahwa SQL Injection (20%) dan XSS (9,9%) merupakan dua metode serangan yang sering digunakan [1]. Gambar 1. Diagram Serangan pada Aplikasi Web Selain 2 metode yang telah disebutkan, terdapat pula metode-metode lain yang bisa dilakukan untuk menyerang suatu aplikasi web, diantaranya adalah : Username Enumeration, dan Remote File Inclusion [2]. Apabila celahcelah keamanan ini tidak diatasi dengan baik dan benar, maka bisa menimbulkan dampak buruk pada aplikasi web. Salah satu cara untuk mempermudah pendeteksian adanya kelemahan-kelemahan pada aplikasi web/website adalah dengan menggunakan aplikasi pencari celah keamanan. Aplikasi pencari celah keamanan ini dimaksudkan untuk mendeteksi secara otomatis apakah suatu aplikasi web memiliki kerentanan terhadap suatu serangan. Dengan menggunakan aplikasi seperti ini maka baik administrator maupun pengembang aplikasi web dapat mengetahui dimana letak kerentanan pada aplikasi web mereka. Hal ini tentunya akan memudahkan dalam upaya meningkatkan keamanan aplikasi web. Tujuan tugas akhir ini adalah membangun aplikasi yang bisa mendeteksi kelemahan dari aplikasi web terhadap SQL Injection, Cross-Site Scripting (XSS), Remote File Inclusion, dan Username Enumeration.

2 A. SQL Injection II. KAJIAN PUSTAKA SQL Injection adalah jenis serangan yang memungkinkan penyerang untuk memanipulasi perintah SQL melalui URL atau isian form yang dikirimkan oleh aplikasi web ke server [3]. Salah satu bentuk serangan ini dilakukan dengan menyusun perintah SQL yang memungkinkan dilakukannya login tanpa memiliki akun yang valid. Dalam serangan SQL Injection, penyerang mencoba memasukkan query baik melalui field atau URL yang menyebabkan database server menghasilkan query SQL yang salah. Teknik SQL Injection merupakan teknik penyerangan yang sangat sederhana, namun justru hal inilah yang sering diabaikan oleh para pengembang aplikasi web. SQL Injection dapat disebabkan karena penanganan yang buruk terhadap karakter tanda (petik satu), karakter -- (double minus), maupun karakter-karakter lain yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Hal ini bisa mengakibatkan seorang penyerang menyisipkan perintah SQL kedalam suatu parameter maupun suatu form. B. XSS (Cross-Site Scripting) XSS merupakan salah satu jenis serangan injeksi kode (code injection attack) yang memungkinkan suatu website untuk menampilkan kode berbahaya yang kemudian dieksekusi pada web browser pengguna [4]. Penyerang melakukan serangan XSS dengan cara memasukkan kode HTML atau kode client script lainnya ke suatu website. Dengan menggunakan serangan ini penyerang bisa melakukan web deface yang dimaksudkan untuk mengelabui pengguna sehingga penyerang bisa mendapatkan informasi sensitif, ataupun menyimpan aplikasi berbahaya. Resiko yang mungkin diakibatkan dari kerentanan aplikasi web terhadap XSS diantaranya adalah pencurian akun pengguna. Hal ini sangat berbahaya karena penyerang bisa mendapatkan informasi sensitif milik pengguna. Serangan XSS dapat terjadi karena suatu aplikasi web yang membutuhkan masukan dari pengguna tidak tersanitasi dengan baik. C. RFI (Remote File Inclution) Remote File Inclusion (RFI) adalah teknik serangan yang digunakan untuk mengeksploitasi mekanisme include file secara dinamis pada aplikasi web. Ketika aplikasi web mengambil masukan pengguna (URL, nilai parameter, dll) dan mengirimnya ke command include, aplikasi web mungkin akan mengeksekusi file dari luar yang memiliki kode berbahaya di dalamnya [5]. D. Username Enumeration Username Enumeration adalah suatu metode untuk bisa masuk ke suatu situs web dengan menggunakan username dan password secara acak. Metode ini menggunakan daftar username dan password yang kemudian digunakan untuk mencoba masuk ke dalam halaman web. Proses ini dilakukan secara berulang-ulang sampai didapatkan username dan password yang benar [6]. Jika username dan password yang benar berhasil didapatkan, maka hal ini akan sangat berbahaya bagi pemilik username dan password tersebut. Hal ini bisa mangakibatkan terjadinya penyalah gunaan username dan password oleh pihak yang tidak berhak menggunakannya. A. Deskripsi Umum III. DESAIN SISTEM Aplikasi yang akan dibuat dalam tugas akhir ini adalah aplikasi pencari celah keamanan pada aplikasi web. Aplikasi ini akan memberikan informasi tentang kerentanan suatu aplikasi web terhadap serangan-serangan yang akan dilakukan dengan menggunakan empat metode berbeda. Metode penyerangan yang akan digunakan dalam aplikasi ini adalah : SQL Injection, XSS (Cross-Site Scripting), RFI(Remote File Inclusion), dan Usename Enumeration. Aplikasi ini akan menghasilkan laporan yang berisikan informasi letak celah keamanan yang terdapat pada aplikasi web yang dijadikan bahan uji. B. Arsitektur Sistem Dalam tugas akhir ini akan dirancang dan diaplikasikan sebuah aplikasi pencari celah keamanan untuk aplikasi web dimana secara garis besar memiliki arsitektur seperti diperlihatkan pada Gambar 2. Aplikasi Vulnerability Scanner Script Injection Gambar 2. Arsitektur Sistem Script HTML WEB SERVER Sesuai dengan gambar 2, maka jalannya aplikasi adalah sebagai berikut: 1. Aplikasi Pencari Celah Keamanan melakukan request berupa URL ke server 2. Server memberikan respon berupa HTML 3. Aplikasi melakukan proses scan terhadap respon HTML dan menginjeksikan script injeksi. 4. Server memberikan respon berupa HTML. 5. Aplikasi melakukan proses scan terhadap respon HTML untuk mengecek hasil proses injeksi. 6. Aplikasi memberikan laporan hasil proses scan. C. Deskripsi Singkat Aplikasi Aplikasi pencari celah keamanan ini memiliki empat fitur utama yang dapat membantu untuk mencari celah keamanan yang mungkin terdapat pada suatu aplikasi web. Fitur-fitur yang terdapat pada aplikasi ini adalah sebagai berikut: Mencari Celah Keamanan terhadap XSS. Fungsi scanning XSS (Cross-Site Scripting) dimulai dengan pengguna memasukkan alamat sebuah situs web. Aplikasi akan memulai proses crawling situs web yang menjadi masukan, kemudian menginjeksikan script XSS. Aplikasi akan menentukan apakah terdapat celah keamanan yang rentan terhadap serangan XSS dalam situs web yang

3 menjadi masukan. Mencari Celah Keamanan terhadap SQL Injection. Fungsi scanning SQL Injection dimulai dengan pengguna memasukkan alamat sebuah situs web. Aplikasi akan memulai proses crawling situs web yang menjadi masukan, kemudian menginjeksikan script SQL Injection. Aplikasi akan menentukan apakah terdapat celah keamanan yang rentan terhadap serangan SQL Injection dalam situs web yang menjadi masukan. Mencari Celah Keamanan terhadap RFI. Fungsi scanning RFI (Remote File Inclusion) dimulai dengan pengguna memasukkan alamat sebuah situs web. Aplikasi akan memulai proses crawling situs web yang menjadi masukan, kemudian menginjeksikan script RFI. Aplikasi akan menentukan apakah terdapat celah keamanan yang rentan terhadap serangan RFI dalam situs web yang menjadi masukan. Username Enumeration. Fungsi Username Enumeration dimulai dengan pengguna memasukkan alamat sebuah situs web. Aplikasi akan mencari form login dari website yang menjadi masukan, lalu menginjeksikan username dan password yang diperoleh dari file teks yang telah disediakan. D. Diagram Alir Aplikasi Diagram alir dari aplikasi ini terbagi menjadi 4 buah diagram alir yang dapat dilihat pada Gambar 3, Gambar 4, Gambar 5, dan Gambar 6. Diagram alir tersebut masingmasing mewakili fitur-fitur yang terdapat pada aplikasi ini, yaitu : XSS Scanner, SQL Injection Scanner, RFI Scanner, dan Username Enumeration. Gambar 4. Diagram Alir SQL Injection Scanner Gambar 5. Diagram Alir RFI Scanner Gambar 3. Diagram Alir XSS Scanner Gambar 6. Diagram Alir Username Enumeration

4 IV. IMPLEMENTASI A. Implementasi Fitur Pencarian Celah Keamanan terhadap XSS Lapisan logika pada fitur ini diimplementasikan di dalam class EvaluatorXSS. Saat fitur ini dijalankan, aplikasi mengeksekusi fungsi cari_link pada dengan parameter sebuah URL untuk memulai proses crawling tahap pertama, dilanjutkan dengan fungsi isi_semua_link untuk melakukan crawling tahap kedua. Kemudian aplikasi akan menginjeksikan script XSS ke dalam link yang telah didapatkan dengan menggunakan fungsi replace_param_xss_rfi. Dilanjutkan dengan fungsi search_form dan search_post_form untuk mendapatkan dan menginjeksi form yang terdapat pada URL. Fungsi terakhir yang dijalankan adalah fungsi eval untuk menentukan apakah suatu URL memiliki celah keamanan terhadap XSS atau tidak. B. Implementasi Fitur Pencarian Celah Keamanan terhadap SQL Injection Lapisan logika pada fitur ini diimplementasikan di dalam class EvaluatorSQL. Saat fitur ini dijalankan, aplikasi mengeksekusi fungsi cari_link pada dengan parameter sebuah URL untuk memulai proses crawling tahap pertama, dilanjutkan dengan fungsi isi_semua_link untuk melakukan crawling tahap kedua. Kemudian aplikasi akan menginjeksikan script SQL Injection ke dalam link yang telah didapatkan dengan menggunakan fungsi replace_param_sql. Dilanjutkan dengan fungsi search_form dan search_post_form untuk mendapatkan dan menginjeksi form yang terdapat pada URL. Fungsi terakhir yang dijalankan adalah fungsi eval untuk menentukan apakah suatu URL memiliki celah keamanan terhadap SQL Injection atau tidak. C. Implementasi Fitur Pencarian Celah Keamanan terhadap RFI Lapisan logika pada fitur ini diimplementasikan di dalam class EvaluatorRFI. Saat fitur ini dijalankan, aplikasi mengeksekusi fungsi cari_link pada dengan parameter sebuah URL untuk memulai proses crawling tahap pertama, dilanjutkan dengan fungsi isi_semua_link untuk melakukan crawling tahap kedua. Kemudian aplikasi akan menginjeksikan script RFI ke dalam link yang telah didapatkan dengan menggunakan fungsi replace_param_xss_rfi. Dilanjutkan dengan fungsi search_form dan search_post_form untuk mendapatkan dan menginjeksi form yang terdapat pada URL. Fungsi terakhir yang dijalankan adalah fungsi eval untuk menentukan apakah suatu URL memiliki celah keamanan terhadap RFI atau tidak. D. Implementasi Fitur Username Enumeration Lapisan logika pada fitur ini diimplementasikan pada class ModifyLink. Pada class ini terdapat fungsi username_enumeration yang digunakan untuk melakukan proses percobaan login secara berulang dengan menggunakan daftar username dan password yang dibaca dari file teks bernama username.txt. E. Implementasi Fitur Pengaturan Proxy Lapisan logika pada fitur ini diimplementasikan pada class Proxy_Authenticator. Pada class ini terdapat fungsi connecttoproxy yang akan dijalankan jika aplikasi membutuhkan akses ke proxy server. V. UJI COBA DAN EVALUASI A. Uji Coba Pencarian Celah Keamanan terhadap XSS Gambar 7. Proses Pencarian Celah Keamanan XSS kemudian menekan tombol scan. Aplikasi akan memulai proses pencarian celah keamanan terhadap XSS. Setelah proses selesai tekan tombol report untuk menampilkan hasil pencarian celah keamanan. Gambar 8. Pengujian Manual XSS manual terhadap link yang dinyatakan memiliki celah keamanan oleh aplikasi. Parameter keberhasilan uji coba ini adalah pada saat dilakukan pengecekan secara manual, link yang dinyatakan vulnerable oleh aplikasi valid. Proses pencarian bisa dilihat pada Gambar 7, sementara hasil pengujian manual bisa dilihat pada Gambar 8. B. Uji Coba Pencarian Celah Keamanan terhadap SQL Injection kemudian menekan tombol scan. Aplikasi akan memulai proses pencarian celah keamanan terhadap SQL Injection.

5 Setelah proses selesai tekan tombol report untuk menampilkan hasil pencarian celah keamanan. Gambar 12. Pengujian Manual RFI Gambar 9. Proses Pencarian Celah Keamanan SQL Injection manual terhadap link yang dinyatakan memiliki celah keamanan oleh aplikasi. Parameter keberhasilan uji coba ini adalah pada saat dilakukan pengecekan secara manual, link yang dinyatakan vulnerable oleh aplikasi valid. Proses pencarian bisa dilihat pada Gambar 9, sementara hasil pengujian manual bisa dilihat pada Gambar 10. manual terhadap link yang dinyatakan memiliki celah keamanan oleh aplikasi. Parameter keberhasilan uji coba ini adalah pada saat dilakukan pengecekan secara manual, link yang dinyatakan vulnerable oleh aplikasi valid. Proses pencarian bisa dilihat pada Gambar 11, sementara hasil pengujian manual bisa dilihat pada Gambar 12. D. Uji Coba Username Enumeration kemudian menekan tombol scan. Gambar 10. Pengujian Manual SQL Injection C. Uji Coba Pencarian Celah Keamanan terhadap RFI kemudian menekan tombol scan. Aplikasi akan memulai proses pencarian celah keamanan terhadap RFI. Setelah proses selesai tekan tombol report untuk menampilkan hasil pencarian celah keamanan. Gambar 13. Proses Username Enumeration Gambar 14. Pengujian Manual Username Enumeration Gambar 11. Proses Pencarian Celah Keamanan RFI manual untuk melakukan login dengan menggunakan username dan password yang telah dinyatakan berhasil login

6 oleh aplikasi. Parameter keberhasilan uji coba ini adalah pada saat dilakukan pengecekan secara manual, login berhasil dilakukan. Proses pencarian bisa dilihat pada Gambar 13, sementara hasil pengujian manual bisa dilihat pada Gambar 14. E. Uji Coba Pengaturan Proxy Pengaturan proxy dilakukan dengan menekan tombol proxy settings untuk menampilkan form pengaturan proxy. Pengguna harus mengisikan host, port, username, dan password untuk mengakses proxy di dalam textbox yang telah disediakan lalu menekan tombol oke. b. Aplikasi bisa memilah data yang terdapat pada file HTML untuk keperluan proses scan dengan menggunakan library Jsoup. c. Aplikasi bisa melakukan injeksi script SQL Injection, XSS, dan RFI ke dalam file HTML dengan cara memodifikasi link dan form yang didapatkan dari proses crawling. d. Serangan SQL Injection, XSS, dan RFI dapat dihindari dengan cara melakukan sanitasi terhadap masukan dari pengguna. e. Waktu yang dibutuhkan untuk melakukan proses scan bergantung pada jumlah link yang terdapat pada website. UCAPAN TERIMA KASIH Penulis M.C.K. mengucapkan terima kasih kepada Tuhan Yang Maha Esa, kedua orangtua dan keluarga penulis, dosen pembimbing, dosen dan kepala jurusan Teknik Informatika, kerabat-kerabat dekat, serta berbagai pihak yang telah membantu penulis dalam menyelesaikan Tugas Akhir ini. Gambar 15. Pengaturan Proxy DAFTAR PUSTAKA [1] Barnett, R. Web Hacking Incident Database [Internet]. 2011 [diperbaharui pada April 2012; disitat pada 23 September 2011]. Bisa diakses pada : http://projects.webappsec.org/w/page/13246995 /Web-Hacking-Incident-Database#nbspTopAttackMethodsAllEntries. [2] Siddharth, S. Doshi, P. Five Common Web Application Vulnerabilities [Internet]. 2010 [diperbaharui pada 2 November 2010; disitat pada 23 September 2011]. Bisa diakses pada : http://www.symantec.com/connect/articles/five-common-webapplication-vulnerabilities. [3] Clarke, Justin. SQL Injection Attacks and Defense. United States of America : Syngress Publishing, Inc, 2009. [4] Grossman, Jeremiah., Hansen, Robert., D. Petkov, Petko., Rager, Anton. Cross Site Scripting Attacks: XSS Exploits and Defense. United States of America : Syngress Publishing, Inc, 2007. [5] Auger, R. Remote File Inclusion [Internet]. 2010 [diperbaharui pada Januari 2010; disitat pada 9 April 2012]. Bisa diakses pada : http://projects.webappsec.org/w/page/13246955/remote%20file%20 Inclusion. Gambar 16. Proses Scan Menggunakan Proxy [6] OWASP. Testing for User Enumeration [Internet]. 2009 [diperbaharui pada 3 Februari 2009; disitat pada 9 April 2012]. Bisa diakses pada : https://www.owasp.org/index.php/testing_for_user _enumeration_(owasp-at-002). Parameter keberhasilan uji coba ini adalah berhasil melakukan koneksi melalui jaringan yang dibatasi proxy. Proses pengaturan proxy bisa dilihat pada Gambar 15, sementara proses scanning menggunakan proxy bisa dilihat pada Gambar 16. VI. KESIMPULAN Kesimpulan yang bisa ditarik dari Tugas Akhir ini adalah sebagai berikut: a. Proses crawling dilakukan dengan membaca link yang terdapat pada suatu halaman web, kemudian menyimpannya ke dalam daftar link. Proses pembacaan dilakukan sedalam 2 tingkat.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan