Jurnal informasi dan Komputer Vol: 13 No:2 2025
P-ISSN: 2337-8344
E-ISSN: 2623-1247
EVALUASI KEAMANAN OPEN JOURNAL SYSTEMS (OJS) VERSI LAMA
MENGGUNAKAN KERANGKA ISSAF
Toto Andri Puspito Institut Agama Islam Negeri Metro Jl.
Ki Hajar Dewantara No.
Iringmulyo.
Kec.
Metro Timur.
Kota Metro totoandri@metrouniv.
ABSTRAK
Open Journal Sistem (OJS), yang dikembangkan oleh Public Knowledge Project dan dirilis dengan lisensi public GNU, banyak digunakan oleh lembaga pendidikan dan swasta untuk mempublikasikan hasil penelitian.
Lebih dari 000 jurnal di 148 negara menggunakan OJS untuk menerbitkan penelitian dalam 60 lebih Bahasa .
namun, seperti halnya system berbasis website lainnya.
OJS memiliki kerentanan system yang memerlukan pemabaruan untuk menutup celah kemanan, meningkatkan kompatibilitas dan meningkatkan fitur kinerja.
Berdasarkan survei awal peneliti menemukan bahwa beberapa jurnal di perguruan tinggi masih menggunakan OJS versi lama.
Peneliti kemudian meneliti lebih lanjut dengan menggunakan Information System Security Assessment Framework (ISSAF) dan OWASP ZAP untuk mengidentifikasi kerentanan pada OJS versi lama yang masih digunakan oleh perguruan Kerentanan yang ditemukan meliputi informasi yang tercatat pada Common Vulnerabilities and Exposures (CVE), seclist.
org, exploit-db.
studi ini menunjukan bahwa beberapa institusi yang menggunakan OJS versi lama menambahkan WAF (Web Aplication Firewal.
untuk mengurangi resiko keamanan artikel ini membahas temuan tersebut dan memberikan rekomendasi untuk penelitian lanjutan mengenai peningkatan keamanan OJS.
Kata kunci : Open Journal System.
ISSAF.
OWASP ZAP
ABSTRACTS
The Open Journal System (OJS), developed by the Public Knowledge Project and released under the GNU public license, is widely used by educational and private institutions to publish research results.
More than 44,000 journals in 148 countries use OJS to publish research in more than 60 languages.
However, as with other web-based systems.
OJS has system vulnerabilities that require updates to close security gaps, improve compatibility, and improve performance features.
Based on an initial survey, researchers found that several journals in higher education still use the old version of OJS.
Researchers then researched further using the Information System Security Assessment Framework (ISSAF) and OWASP ZAP to identify vulnerabilities in the old version of OJS which universities still use.
The vulnerabilities include information recorded in Common Vulnerabilities and Exposures (CVE), seclist.
org, and exploit-db.
This study shows that some institutions that use older versions of OJS add a WAF (Web Application Firewal.
to reduce security This article discusses these findings and recommends further research on improving OJS security.
Keywords: Open Journal System.
ISSAF.
OWASP ZAP kegunaan dan kinerja .
namun, di Indonesia, masih PENDAHULUAN banyak ditemukan pengguna yang menggunakan Di Indonesia Open Journal System (OJS) banyak OJS versi lama.
OJS versi lama memiliki tangkat di gunakan oleh perguruan tinggi baik negeri kerentanan serangan cyber, hal ini dibuktikan oleh maupun swasta.
OJS merupakan sebuah software pengujian yang dilakukkan oleh Imam riadi dkk.
yang digunakan untuk mengelola dan menerbitkan analisis kemanan website Open Journal System artikel ilmilah.
Sebagai software sumber terbuka menggunakan metode vulnerability Asessment dari OJS dapat digunakan secara gratis hal ini yang hasli analisis menemukan bahwa OJS Versi 2.
menjadikan jumlah pengguna OJS diseluruh dunia memiliki banyak celah kerentanan.
Untuk meneliti terus meningkat.
Di indonesia hampir seluruh lebih jauh sebab masih banyaknya penggunaan OJS perguruan tinggi negeri dan swasta menggunakan versi lama di Indonesia.
Selanjutnya peneliti OJS sebagai system publikasi ilmiah.
Mesikupn mencoba untuk menganalisis beberapa journal aplikasi sumber terbuka tim Public Knowledge perguruan tinggi yang ada di provinsi Lampung dan Project (PKP) sebagai penmbuat OJS terus peneliti menemukan beberpa jurnal perguruan tinggi menyediakan pembaruan untuk pengguna agar di Lampung masih menggunakan OJS versi lama.
mendapatkan fitur keamanan terbaru, dapat Meskipun beberapa website vulnerabitiy telah terbaru, mempublikasikan vulnerability XSS database 153 | I T B A D i a n C i p t a C e n d i k i a Jurnal informasi dan Komputer Vol: 13 No:2 2025 OWASP yang menunjukan versi OJS lama memiliki kerentanan terhadap XSS (Cross Site Scriptin.
Dari hasil temuan awal yang peneliti temukan penyebab beberapa perguruan tinggi masih OJS menemukan bahwa beberapa OJS versi lama memberikan tambahan Web Application Firewall (WAF) untuk mengamankan OJS yang mereka WAF mampu menanggulangi terjadinya SQL Injection.
XSS, file inclusion dengan memeriksa lalu lintas pada HTTP .
membandingkan penggunaan WAF dalam menanggulangi kerentanan pada OJS versi lama, peneliti mencoba untuk menguji tingkat kerentanan dengan menggunakan Information System Security Assessment Framework (ISSAF) dan Zed Attack Proxy (ZAP).
ZAP merupakan sebuah aplikasi Vulnerability Scanner yang banyak digunakan karena kemudahan penggunaannya, dan memiliki tingkat akurasi yang baik .
METODE PENELITIAN
Pada tahap ini peneliti mencoba mencari beberapa literatur yang berkaitan dengan pengujian kerentanan sebuah sistem dan referensi lain yang dapat peneliti gunakan untuk melakukan analisis.
Selanjutnya menggunakan framework ISSAF (Information System Security Asessment Framework ) untuk melakukan pengujian Mulai Merumuskan masalaah menurut topik Studi Literatur Tahapan Pengujian Menggunakan ISAAF Menarik Kesimpulan Selesai Gambar 1 Tahapan Penelitian.
P-ISSN: 2337-8344
E-ISSN: 2623-1247
1 Tahapan Pengujian ISSAF Tahap Information Gathering Tahapan ini merupakan tahapan pengumulan informasi terhadap target penelitia menggunakan Whois.
com untuk mengetahui Name Server, penggunaan WAF atau tidak dan informasi umum yang dibutuhkan.
Tahapan Network Mapping Tahapan ini dilakukan untuk mengetahui port yang terbuka dan memperoleh informasi service apa saja yang berajalan pada server .
peneliti menggunakan software Nmap untuk melihat port apa saja yang terbuka pada server OJS.
Tahap Vulnerability Identification Pada tahap ini merupakan tahapan untuk melakukan pemindaian terhadap sistem target untuk mengetahui kerentanan pada sistem .
, peneliti menggunakan ZAP 2.
Penetration testing Merupakan proses menguji keamanan suatu sistem dengan cara melakukan simulasi nyata.
Tujuan dari pentest adalah untuk mencari kelemahan-kelemahan dalam sistem untuk kemungkinan hacking dan mengurangi resiko akses yang tidak sah, pencurian data .
Gaining Access and Privilege Escalation Pada tahap ini merupakan sebuah percobaan untuk mendapatkan akses terhadap akun dengan menggunakan blank password maupun default Enumerating Further Tahapan ini merupakan tahapan pengujian dengan melakukan pengambilan,pemecahan informasi password yang didapatkan dari sistem Compromise Remote User/Sites.
Tahap ini merupakan tahapan pengujian dengan melakukan ekspoitasi user root yang biasa digunakan untuk remot/hubungan jarak jauh.
Maintaining Access Tahap ini merupakan tahap managemen akses, maintaining access tahapan pengujian untuk memastikan akses yang sah tetap diberikan kepada yang berhak.
Covering Tracks.
Tahapan ini adalah tahapan terakhir dari pengujian penetration testing tahapan ini akan menghapus log serangan yang telah dilakukan pada tahapan Ae tahapan sebelumnya.
HASIL DAN PEMBAHASAN
Pada bagian ini disajikan hasil evaluasi keamanan terhadap sistem Open Journal Systems (OJS) versi lama dengan menggunakan kerangka Information System Security Assessment Framework (ISSAF).
Evaluasi dilakukan berdasarkan tahapan-tahapan yang tercantum dalam ISSAF.
1 Proses Pengujian 154 | I T B A D i a n C i p t a C e n d i k i a Jurnal informasi dan Komputer Vol: 13 No:2 2025
P-ISSN: 2337-8344
E-ISSN: 2623-1247
Untuk melakukan pengujian ini peneliti terkait kampus yang masih menggunakan ojs versi outdated yang kemudian dilakukan proses analisis menggunakan framework ISSAF.
Y tidak menggunakan WAF.
Selanjutnya pengujian menggunakan SSLLabs Information Gathering Pada tahap ini peneliti melakukan pengecetak versi ojs yang digunakan dengan melihat page source pada jurnal untuk mengetahui versi OJS yang digunakan, setelah itu peneliti menggunakan https://w.
com/ untuk melihat apakah OJS menggunakan WAF atau tidak dan https://w.
com/ untuk mengetahui SSL, dan IP publik yang digunakan.
SSL (Secure Sockets Laye.
merupakan teknologi keamanan standar yang digunakan antara server dan klien, dimana semua komunikasi antar klien dan server terenkripsi.
Gambar 4.
Hasil pengujian SSL Labs kampus X Gambar 5 Hasil Pengujian SSL Labs Kampus Y Tahapan Network Mapping Gambar 2 Hasil lookup domain kampus X Dari hasil pengujian menggunakan NMAP dengan kalibrasi pengujian pada 10 top port pada kampus X didapatkan 2 port terbuka yaitu port 80 dan port 443 port ini pada umumnya terbuka karena digunakan untuk keamanan komunikasi HTTP dan HTTPS .
dan memfilter port - port lain berbeda dengan yang dilakukan oleh kampus X, kampus Y membuka port 80,443,21 dan menutup port lain.
Untuk fleksibilitas memfilter port adalah pilihan bagus, namun untuk keamanan menutup port adalah pilihan tepat dengan mengorbankan fleksibilitas website.
Gambar 3 Hasil Lookup Domain Kampus Y Gambar 6.
hasil pengujian Nmap Kampus X
Dari hasil lookup tersebut didapatkan bahwa kampus X menggunakan WAF, sedangkan kampus
155 | I T B A D i a n C i p t a C e n d i k i a Jurnal informasi dan Komputer Vol: 13 No:2 2025
P-ISSN: 2337-8344
E-ISSN: 2623-1247
Dari hasil pengujian Ae pengujian yang telah dilakukan diatas maka dapat disimpulkan bahwa penggunaan WAF mampu melindungi dari serangan jahat oleh permintaan HTTP meskipun memiliki kekurangan karena harga yang mahal, dan WAF tidak dapat memblokir request yang belum dikenali .
Rekap Hasil pengujian dapat dilihat pada table dibawah ini :
Gambar 7.
Hasil Pengujian Nmap Kampus Y Tabel 1.
Rekap Hasil Pengujian Tahap Vulnerability Identification Pada tahapan ini peneliti menggunakan ZAP 0 untuk kampus X tidak didapatkan hasil karena WAF memblokir pola trafik yang dianggap Sedangkan pada kampus Y didapatkan 2 alert yang berkaitan dengan big redirect yang berpotensi kebocoran informasi sensitif,kebocoran melalu HTTP.
Parameter Pengguna WAF Kerentanan Yang Alat Pengujian Metode Kampus X Kampus Y Tidak Tidak ZAP Big Redirect.
Kebocoran HTTP
ZAP
WAF
Tidak Ada KESIMPULAN DAN SARAN 1 Kesimpulan Gambar 8.
Hasil Pengujian ZAP Kampus X Gambar 9.
hasil pengujian ZAP Kampus Y Gambar 10 detail hasil pengujian ZAP Penggunaan aplikasi ZAP 2.
0 Pada tahap Penetration testing.
Gaining Access and Privilege Escalation,Enumerating Further.
Compromise Remote User/Sites.
Maintaining Access.
Covering Tracks dianggap sudah cukup untuk mencakup semua tahap pengujian tersebut diatas .
Beberapa penelitian telah dilakukan terkait dengan pengujian keaman OJS diantaranya Analisis Keamanan Web Server Open Journal System(OJS) Menggunakan Metode ISSAF Dan OWASP (Studi Kasus Ojs Universitas Lancang Kunin.
Analisis Keamanan Pada Web Aplikasi Open Journal System Terhadap Serangan Cross Site Scripting (XSS) Menggunakan Metode Vulnerability Assessment .
, dari penelitian yang sudah dilakukan diatas penggunaan ISSAF dan OWASP sebagai framework pengujian umum digunakan untuk pengujian keamanan OJS, namun peran WAF sebagai pengaman yang mampu melindungi OJS dari serangan belum membandingkan antara OJS yang menggunakan WAF dan yang tidak menggunakan WAF, penelitian ini menguji 2 OJS versi 2 yang memiliki celah keamanan dimana pengguna terdaftar dapat mengunggah file berbahaya, dan file yang diunggah dapat diakses melalui url meskipun file ojs mampu merubah nama namun ekstensi file yang diunggah tetap .
dikemudian hari dibutuhkan penelitian yang membandingkan keamanan OJS versi terbaru dengan menggunakan WAF maupun tanpa menggunakan WAF.
2 Saran 156 | I T B A D i a n C i p t a C e n d i k i a Jurnal informasi dan Komputer Vol: 13 No:2 2025 Beberapa penelitian telah dilakukan terkait dengan pengujian keaman OJS diantaranya Analisis Keamanan Web Server Open Journal System(OJS) Menggunakan Metode ISSAF Dan OWASP (Studi Kasus Ojs Universitas Lancang Kunin.
Analisis Keamanan Pada Web Aplikasi Open Journal System Terhadap Serangan Cross Site Scripting (XSS) Menggunakan Metode Vulnerability Assessment .
, dari penelitian yang sudah dilakukan diatas penggunaan ISSAF dan OWASP sebagai framework pengujian umum digunakan untuk pengujian keamanan OJS, namun peran WAF sebagai pengaman yang mampu melindungi OJS dari serangan belum OJS menggunakan WAF dan yang tidak menggunakan WAF, penelitian ini menguji 2 OJS versi 2 yang memiliki celah keamanan dimana pengguna terdaftar dapat mengunggah file berbahaya, dan file yang diunggah dapat diakses melalui url meskipun file ojs mampu merubah nama namun ekstensi file yang diunggah tetap .
dikemudian hari dibutuhkan penelitian yang membandingkan keamanan OJS versi terbaru dengan WAF menggunakan WAF.
OJS Versi lama memiliki tingkat kerentanan keamanan yang signifikan.
XSS (Cross Site Scripin.
Penggunaan Web Application Firewall (WAF) mampu mengurangi resiko keamanan, meskipun terbatas pada serangan yang Penggunaan OWASP ZAP terbukti efektif untuk menganalisis celah kemanan pada OJS.
Pembaruan OJS tetap perlu dilakukan untuk memperbarui tingkat keamanan, perningkatan fitur, menjaga agar tetap kompatibel dengan browser yang digunakan, perbaikan bug pada OJS.
Dari penelitian ini dapat dilakukan penelitian lebih lanjut mengenai penerapan WAF pada OJS versi baru.
DAFTAR PUSTAKA