Cyberspace: Jurnal Pendidikan Teknologi informasi Volume 9.
Nomor 1.
Maret 2025, hal.
17 - 26
ISSN 2598-2079 .
| ISSN 2597-9671 .
IMPLEMENTASI PENETRATION TESTING PADA SISTEM
INFORMASI TRIBRATA POLRES PIDIE MENGGUNAKAN
METODE OWASP
Fujatullah Narezki, 2Desita Ria Yusian TB Informatika.
Fakultas Sains dan Teknologi.
Universitas Ubudiyah Indonesia.
Jl.
Alue Naga.
Tibang.
Banda Aceh 23114.
Indonesia Email: fuja@uui.
Abstract One factor that must be taken into account is information system security, which is comprised of three components confidentiality, integrity, and One area that requires attention is information system security.
Since there are three components to information securityAiconfidentiality, integrity, and availabilityAian information system must be assessed through penetration testing in order to preserve information security.
Enhancing the site's information security is the goal of this penetration test.
The Pidie Police Tribrata is a system created in this regard by the Pidie Police, the Aceh Regional Police's readiness unit situated in the Pidie Regency information region.
However, penetration testing must be done on the Web application in order to assess the information system's security for the site's The Open Web Applications Security Project (OWASP) approach is used for penetration testing on the Pidie Police Tribrata information From the results of the penetration testing, several vulnerabilities in the web application were found and these were used as reports to improve the security system in the information system.
Keywords: Penetration Testing.
OWASP.
Information Systems.
Abstrak Keamanan sistem informasi merupakan aspek yang perlu diperhatikan.
Keamanan informasi terdiri dari 3 aspek yaitu Kerahasiaan.
Integritas.
Ketersediaan maka dari itu untuk menjaga keamanan informasi tersebut perlu dilakukannya evaluasi dari suatu sistem informasi berupa pengujian Pengujian penetrasi ini bertujuan untuk meningkatkan keamanan sitem informasi.
Barkaitan dengan hal tersebut polres pidie yang merupakan satuan Kepolisian Polda Aceh yang berada di wilayah Kabupaten Pidie telah merancang sebuah sistem informasi yakni Tribrata Polres Pidie .
Namun keamanan dari Sistem Informasi tersebut perlu diuji untuk mengevaluasi sistem keamananya, maka dari itu perlu dilakukan pengujian penetrasi pada Aplikasi Web tersebut.
Pengujian penetrasi pada sistem informasi tribrata Polres Pidie ini menggunakan metode Open Web Aplications SeScurity Project (OWASP).
Dari hasil pengujian penetrasi tersebut berhasil ditemukannya beberapa kerentanan pada aplikasi web tersebut dan dijadikan pelaporan untuk meningkatkan sistem keamanan pada sistem informasi tersebut.
Kata Kunci: Pegujian Penetrasi.
OWASP.
Sistem Informasi.
IMPLEMENTASI PENETRATION TESTING PADA SISTEM INFORMASI TRIBRATA
POLRES PIDIE MENGGUNAKAN METODE OWASP
Pendahuluan Di era globalisasi saat ini, ketergantungan manusia terhadap fasilitas internet semakin meningkat .
Dunia teknologi informasi telah berkembang pesat di setiap sektor lapangan kerja, baik pendidikan, perkantoran, hingga industri.
Pesatnya perkembangan teknologi informasi menyebabkan peningkatan informasi digital yang didukung oleh infrastruktur jaringan internet yang sangat cepat.
Namun kelebihan teknologi informasi juga mempunyai kelemahan, seperti ancaman terhadap keamanan suatu sistem informasi yang dapat berujung pada kejahatan siber .
Untuk memberantas cybercrime yang diartikan sebagai tindakan ilegal yang dapat mengakibatkan kerugian dan disebabkan oleh pencurian data, penipuan kode, peniruan tampilan website lain, penyebaran informasi pribadi, dan lain-lain, suatu sistem informasi perlu memperhatikan sistem keamanannya .
Tiga komponen keamanan informasi adalah ketersediaan, integritas, dan kerahasiaan.
Pengujian berupa pengukuran penetrasi diperlukan untuk mengetahui tingkat keamanan suatu sistem informasi.
Pengujian penetrasi dapat dilakukan dengan beberapa cara.
Penetrasi dapat digunakan untuk mengamankan sistem informasi, mengidentifikasi area yang mungkin rentan, dan memberikan rekomendasi untuk meningkatkan keamanan sistem informasi .
Implementasi pengujian penetrasi biasanya dilakukan pada sistem informasi yang relatif baru .
Oleh karena itu.
Polres Pidie yang merupakan bagian dari Kepolisian Daerah Aceh yang membawahi Kabupaten Pidie membuat sistem informasi Polres Tribrata Pidie yang berfungsi untuk menyebarkan informasi mengenai kepolisian dan masyarakat setempat.
Di bawah arahan Kepolisian Negara Republik Indonesia.
Polres Pidie merupakan organisasi pemerintah yang mempunyai andil besar dalam menjaga keutuhan negara, khususnya di Kabupaten Pidie Provinsi Aceh.
Oleh karena itu pada penelitian ini peneliti melakukan pengujian penetrasi pada suatu sistem informasi yaitu Sistem Informasi Tribrata Polres Pidie untuk mengirimkan sistem keamanan pada sistem informasi ini dengan menggunakan pendekatan Open Web Application Security Project (OWASP).
Kajian Pustaka 1 Penetration Testing Pengujian penetrasi, terkadang disebut sebagai pentesting, adalah metode yang memantau serangan nyata untuk menentukan kemungkinan potensi pelanggaran keamanan .
Untuk memastikan dampak potensial dari eksploitasi yang berhasil, penguji tidak hanya menemukan kerentanan yang dapat dieksploitasi oleh penyerang, namun mereka juga memanfaatkan kelemahan tersebut .
Pengujian penetrasi adalah salah satu metode untuk memperingatkan keamanan sistem komputer atau jaringan dari potensi serangan hacker.
Tahap ini penting untuk menciptakan pertahanan yang kuat untuk komputer server jaringan karena tahap ini mengevaluasi implementasi dan desain sistem selain operasi.
Meskipun penting, pengujian penetrasi sering kali tidak diterima oleh berbagai bisnis dan institusi.
Mereka membedakan diri mereka dari penyerang dengan melakukannya secara resmi dan terjadwal .
2 OWASP
OWASP adalah grup ekosistem nirlaba untuk meningkatkan keamanan perangkat lunak dan aplikasi web.
Kelompok OWASP mengembangkan aplikasi OWASP ZAP (Zed Attack Prox.
open source untuk menerapkan keamanan aplikasi web .
Alat ini mencakup fitur-fitur utama seperti SQL Injection.
Cross Site Scripting (XSS), dan Cross Site Request Forgery (CSRF) untuk mengidentifikasi dan mengatasi kerentanan Cyberspace: Jurnal Pendidikan Teknologi Informasi | 18 Fujatullah Narezki.
Desita Ria Yusian TB keamanan dalam aplikasi web, dan juga memungkinkan pengguna untuk melakukan eksplorasi sistem dan fuzzing manual .
Antarmuka pengguna grafis (GUI) memudahkan pengembang dan peneliti keamanan untuk menggunakannya, dan dapat berinteraksi dengan prosedur pengujian keamanan kontinental dengan mendukung otomatisasi melalui baris perintah.
Metode Penelitian 1 Sistem Operasi TABLE 1.
SPESIFIKASI HADWARE
Komponen Processor IntelA Core E i7-4790 CPU @ 60GHz .
CPU.
, 3.
6GHz Random Acces memory (RAM) 8 GB Storage Memory 512 GB Operating System (OS) Windows 10 Home Single Languange 64-bit .
Build 19.
2 Rancangan Penelitian Gambar 1.
Flowchart Metode OWASP Berikut merupakan pejelasan dari tahapan dari metode Owasp:
Start Information Gathering Information Gathering adalah megumpulkan segala informasi dai sistem informasi dengan menggunakan teknik Black Box.
19 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMPLEMENTASI PENETRATION TESTING PADA SISTEM INFORMASI TRIBRATA
POLRES PIDIE MENGGUNAKAN METODE OWASP
Vulnerability Scanning Vulnerability Scanning adalah Melakukan analisis mendalam pada data OWASP untuk mengidentifikasi celah keamanan yang mungkin ada dalam aplikasi web.
Clacification and level determination Clacification and level determination adalah mengelompokkan dan mengurutkan kerentanan berdasarkan tingkat bahayanya.
Risk Investigation Risk Investigation adalah menjelaskan kerentanan yang ditemukan.
Solution Offered.
Solution Offered yaitu membuat laporan berupa Solusi untuk perbaikan pada sistem.
Selesai.
Berikut Komponen yang digunakan pada metode OWASP.
TABLE 2.
SPESIFIKASI SOFTWARE METODE OWASP
Komponen Komponen Versi Kali Linux Ping Whois Information Gathering SSLScan Vulnerability Scanning Reporting Nmap Zap Microsoft Word Hasil dan Pembahasan Information Gathring Pengumpulan data adalah dengan mengekstraksi informasi dari sampel penelitian dengan menggunakan teknik Black box.
Langkah pertama adalah melihat kecepatan sistem informasi dalam merespon data pada sistem, dalam hal ini jalankan perintah ping -c5 Ip Address.
Gambar 2.
Respon Pengiriman paket data Dari hasil uji tersebut menujukan bahwa kecepatan pengiriman data pada sistem informasi tersebut masih lumayan bagus.
Time yang bagus menujukan waktu dibawah Kemudian, jalankan perintah whois AuIP AddressAy untuk melihat informasi sistem yang lebih spesifik, seperti pada gambar dibawah.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 20 Fujatullah Narezki.
Desita Ria Yusian TB Gambar 3.
Hasil Whois Pada IP Address.
Langkah selanjutnya yaitu mencari informasi mengenai standar keamanan suatu sistem informasi berupa SSL/ TLS dari sistem informasi tersebut.
Gambar 4.
Hasil Testssl Pada IP Addres.
Dari hasil perintah pengujian SSL dan TLS sistem informasi menyatakan bahwa SSL dan TLS sistem telah kedaluwarsa, dan tidak ada pemberitahuan yang diberikan dalam hasil pengujian.
Vulnerability Scanning Program ini sekarang sedang dipindai menggunakan nmap.
Di sini, port terbuka aplikasi web dilihat menggunakan perintah nmap -sT "IP Address", seperti yang terlihat pada gambar di bawah.
21 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMPLEMENTASI PENETRATION TESTING PADA SISTEM INFORMASI TRIBRATA
POLRES PIDIE MENGGUNAKAN METODE OWASP
Gambar 5.
Hasil nmap Pada IP Addres.
Banyak port di server terbuka, menurut temuan pemindaian alat nmap.
Menggunakan framework Zap untuk melakukan pemindaian adalah tahap selanjutnya, seperti terlihat pada gambar di bawah.
Gambar 6.
Proses Scanning menggunakan Zap.
Aplikasi online memiliki beberapa kerentanan, seperti yang ditunjukkan oleh temuan pemindaian kerangka kerja OWASP Zap, yang mengungkapkan beberapa tingkatan Hasil pemindaian dengan framework OWASP Zap adalah sebagai berikut.
TABLE 3.
HASIL PROSES SCANNING BERDASARKAN LEVEL
Risk Level Number of Allert High Medium Low Informational Cyberspace: Jurnal Pendidikan Teknologi Informasi | 22 Fujatullah Narezki.
Desita Ria Yusian TB TABLE 4.
PENJELASAN SCANNING MENGGUNAKAN FRAMEWORK ZAP.
Allert Description Level Solution Content Kebijakan Keamanan Konten Medium Verifikasi Security Policy (CSP), yang merupakan lapisan (CSP) Header pertahanan tambahan, membantu beban, server web, server aplikasi, dll.
Not Set menggagalkan beberapa jenis serangan, termasuk injeksi data menerapkan header dan Cross Site Scripting (XSS).
Kebijakan Serangan ini dapat digunakan Keamanan Konten.
untuk segala hal, mulai dari pencurian data hingga perusakan situs atau penyebaran virus.
Missing Anti- 'ClickJacking' bisa Medium Header HTTP Xclickjacking Frame-Options dan Header Dalam kebijakan ini, kebijakan Content-Security'frame-ancestor' atau X-FramePolicy Options Content harus digunakan.
oleh browser web Pastikan ditampilkan situs web atau aplikasi Anda.
Petunjuk "nenek moyang" Kebijakan Keamanan Konten.
Cross-Domain Halaman tersebut berisi satu atau Low Verifikasi bahwa JavaScript lebih file skrip dari domain pihak Source File ketiga.
Inclusion memuat file sumber JavaScript, memiliki kendali StrictAgen pengguna yang patuh.
Low Pastikan Transporttermasuk browser web, hanya Security boleh berkomunikasi dengan application, beban Header Not server web yang menggunakan penyeimbang, etc.
HTTP Strict Transport Security You are committed Set (HSTS) melalui koneksi HTTPS yang aman, atau HTTP berlapis Keamanan TLS/SSL.
Transportasi Ketat.
X-ContentType-Options Header Header Anti-MIME-Sniffing X- Low Content-Type-Options mengaktifkan opsi "nosniff".
Hal 23 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
Verifikasi bahwa aplikasi web atau server menyisipkan IMPLEMENTASI PENETRATION TESTING PADA SISTEM INFORMASI TRIBRATA
POLRES PIDIE MENGGUNAKAN METODE OWASP
Missing ini memungkinkan versi Chrome dan Internet Explorer yang lebih lama untuk melakukan MIME mengendus isi respons, yang dapat menyebabkan isi respons diubah dan ditampilkan sebagai jenis konten yang berbeda dari yang Modern Web Tampaknya menjadi aplikasi Informational online kekinian.
Jika Anda Application memerlukannya untuk menjelajah secara otomatis.
Ajax Spider bisa lebih efektif daripada yang Re-examine Karena header kontrol cache tidak Informational Cache-control ada atau tidak ada, browser atau proksi mungkin dapat menyimpan Directives konten dalam cache.
Retrieved from Content is loaded from the shared Informational Cache If the response data is userspecific, sensitive, or personal, sensitive information can be This can occasionally even grant a user total control over another user's session, depending on the cache settings of the User Fuzzer Agent Look for changes in answers Informational based on unclear User Agents .
uch as mobile websites or search engine crawler.
header X-ContentType-Options 'nosniff' setiap halaman web dan memuat header Tipe Konten dengan benar.
Karena tidak ada yang perlu diubah.
Pastikan HTTP cache diatur ke "tidak ada cache, konten yang aman.
Verifikasi bahwa tidak ada informasi disertakan dalam Jika untuk membatasi konten agar tidak di-cache HTTP.
Manfaatkan Validasi Agen Pengguna.
Analisis Log Server, dan Monitor Header HTTP.
Dari hasil Scanning menggunakna framework Zap tersebut ditemukan beberapa faktor dan sebagian besar kerentanan yang ditemukan disebabkan karena server yang sudah melewati masa tenggang dan faktor lainnya seperti kesalahan dalam proses pemrograman yang berdampak pada keamanan website tersebut, hal ini bisa terjadi karena kurangnya kesadaran tentang keamanan selama fase desain.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 24 Fujatullah Narezki.
Desita Ria Yusian TB Kesimpulan Dari hasil pengujian pada Penetration Testing pada sistem informasi Tribrata Polres Pidie terdapat beberapa kerentanan-kerentanan yang ditemukan seperti:
Header CSP tidak dikonfigurasi sehingga berbahaya terhadap serangan XSS dan pencurian data, sebaiknya dilakukan konfigurasi untuk meminimalisir dan memproteksi serangan XSS dan pencurian data.
Transport Security berupa TLS/SSL tidak dikofigurasi sehingga membahayakan sistem keamanan pada sistem informasi tersebut Terdapat beberapa script yang dapat membahayakan pada sistem informasi tersebut yang memungkinkan menjadi salah satu kerentanana, sebaiknya menghapus beberapa script yang tidak terlalu diperlukan Banyak open port yang ditemukan pada saat dilakukannya scanning sehingga membahayakan sistem informasi tersebut, sebaiknya segera menutup port-port yang terbuka.
Header X Type Options tidak di konfigurasi sehingga dapat membahayakan apaila terjadi MIME sniffing, sebaikya konfigurasi Header X Type Options agar Sistem Informais tersebut lebih aman.
Sebaiknya segera dilakukan perbaikan sistem keamanan untuk meningtakan sistem keamanan pada sistem informasi tersebut agar data-data pada sistem informasi tersebut lebih aman dan lebih terproteksi dari pihak-pihak yang tidak bertanggng jawab.
Referensi