Cyberspace: Jurnal Pendidikan Teknologi informasi Volume 9.
Nomor 1.
Maret 2025, hal.
27 - 41
ISSN 2598-2079 .
| ISSN 2597-9671 .
IMLEMENTASI PENETRATION TESTING PADA APLIKASI
WEB SISTEM EVALUASI DATA BIDANG TIK POLDA ACEH
MENGGUNAKAN METODE OWASP DAN NIST SP 800-115
1Syahril Handaya, 2Raihan Islamadina Pendidikan Teknologi Informasi.
Fakultas Tarbiyah dan Keguruan.
Universitas Islam Negeri Ar-Raniry.
Jl.
Syeikh Abdul Rauf Darussalam.
Banda Aceh 23111.
Indonesia Email: 210212050@student.
ar-raniry.
Abstract One factor that must be taken into account is information system security, which is comprised of three components confidentiality, integrity, and availability.
As a result, in order to preserve information security, an information system must be evaluated through penetration testing, which attempts to strengthen the system's security.
this context, the Aceh Regional Police's Information and Communication Technology department has created an information system in the form of a Webbased application called the Data Evaluation System Web Application.
However, in order to transmit the security site, the web application's security must be examined, which calls for penetration testing.
The Aceh Police Information and Communication Technology Data Evaluation System Web Application was subjected to penetration testing using the National Institute of Standards Technology Securely Provision 800-115 (NIST SP 800-.
method and the Open Web Applications Security Project (OWASP) method.
Specifically for the National Institute of Standards Technology Securely Provision 800-115 (NIST SP 800-.
method, these two approaches employ the same information gathering technique, the Black Box technique, along with additional steps, such as vulnerability scanning and the attack phase.
Numerous vulnerabilities in the web application were discovered as a consequence of the penetration testing, and these reports were used to strengthen the information system's security.
Keywords: Penetration Testing.
OWASP.
NIST 800-115.
Information Systems.
Abstrak Keamanan sistem informasi merupakan aspek yang perlu diperhatikan.
Keamanan informasi terdiri dari 3 aspek yaitu Kerahasiaan.
Integritas.
Ketersediaan maka dari itu untuk menjaga keamanan informasi tersebut perlu dilakukannya evaluasi dari suatu sistem informasi berupa pengujian penetrasi.
Pengujian penetrasi ini bertujuan untuk meningkatkan keamanan sitem informasi.
Barkaitan dengan hal tersebut bidang teknologi Informasi dan Komunikasi Polda Aceh telah merancang sebuah sistem informasi berupa Aplikasi berbasis Web yaitu Aplikasi Web Sistem Evaluasi Data.
Namun keamanan dari Aplikasi Wseb tersebut perlu diuji untuk mengevaluasi sitem keamananya, maka dari itu perlu dilakukan pengujian penetrasi pada Aplikasi Web tersebut.
Pengujian penetrasi pada Aplikasi Web Sistem Evaluasi Data Bidang Teknologi Informasi dan Komunikasi Polda Aceh ini dengan menggunakan metode Open Web Aplications Scurity Project (OWASP) dan metode National Institut Standart Technology Securely Provision 800-115 (NIST SP 800-.
Didalam proses kedua metode ini menggunakan teknik yang sama dalam Information Gathring yaitu teknik Black Box dan terdapat tahapan lainnya yaitu Vulnerabelity IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
Scanning serta Fase Attack khusus untuk metode National Institut Standart Technology Securely Provision 800-115 (NIST SP 800-.
Dari hasil pengujian penetrasi tersebut berhasil ditemukannya beberapa kerentanan pada aplikasi web tersebut dan dijadikan pelaporan untuk meningkatkan sistem keamanan pada sistem informasi tersebut.
Kata Kunci: Pegujian Penetrasi.
OWASP.
NIST 800-115.
Sistem Informasi.
Pendahuluan Penggunaan Internet telah merambah hampir ke semua sektor pekerjaan, termasuk pada bidang Pendidikan.
Perkantoran, dan Industri.
Ketergantungan manusia pada fasilitas internet yang terus berkembang ini sangatlah besar, terutama di era perkembangan IPTEK saat ini.
Perkembangan IPTEK yang sangat pesat telah mengakibatkan lonjakan akses terhadap informasi digital, didukung oleh infrastruktur jaringan internet yang sangat cepat.
Di lain sisi, keunggulan dari IPTEK ini juga sangat membawa ancaman terhadap keamanan suatu sistem informasi , yang dapat mengakibatkan kejahatan Cyber.
Oleh karena itu suatu sistem informasi perlu diperhatikan sistem keamanannya.
Keamanan Informasi terdiri dari 3 aspek yaitu kerahasian.
Integritas dan Ketersediaan.
Untuk mengukur sejauh mana tingkat keamanan sistem informasi tersebut perlu dilakukan pengujian berupa pengujian penetrasi.
Terdapat beberapa metode dalam pengujian penetrasi tersebut.
Pengujian penetrasi berguna untuk mengevaluasi keamanan aplikasi web, memastikan area yang berpotensi rentan telah diperiksa, dan diberikan rekomendasi yang relevan untuk meningkatkan keamanan suatu sistem informasi.
Berhubungan dengan hal tersebut Polda Aceh merupakan suatu instansi pemerintah yang berada di bawah naungan Kepolisian Negara Republik Indonesia dan Polda Aceh memiliki peran penting dalam menjaga keberlangsungan kesatuan negara Republik Indonesia khususnya di wilayah Aceh.
Polda Aceh sendiri memiliki banyak personilpersonilnya yang ditempatkan baik di satuan wilayah (Polre.
maupun satuan kerja (Satke.
dan memiliki perannya masing-masing.
Dari hal tersebut Bidang Teknologi Informasi dan Komuikasi Polda Aceh membangun sebuah sistem informasi berupa Aplikasi berbasis Web yang bertujuan untuk memonitor kinerja baik di satuan wilayah maupun di satuan kerja.
Aplikasi berbasis Web ini Bernama AuSistem Evaluasi DataAy .
Namun Aplikasi Web ini masih perlu dievaluasi sistem keamanannya.
Oleh karena itu.
Pada penelitian ini peneliti melakukan pengujian penetrasi tersebut pada suatu sistem informasi yaitu Aplikasi Web Sistem Evaluasi Data Bidang Teknologi Informasi dan Komuikasi Polda Aceh untuk mengevaluasi sistem keamanan pada sistem informasi tersebut dengan menggunkan metode Open Web Aplication Security Project (OWASP) dan metode National Institut Standart Technology Securely Provision 800-115 (NIST 800-.
Kajian Pustaka 1 Penetration Testing Pentesting, juga dikenal sebagai pengujian penetrasi, adalah teknik yang digunakan untuk menilai risiko kemungkinan pelanggaran keamanan dengan mensimulasikan serangan Penguji tidak hanya mengidentifikasi kerentanan yang dapat dieksploitasi oleh penyerang, namun mereka juga memanfaatkan kerentanan tersebut untuk menentukan kemungkinan konsekuensi dari keberhasilan eksploitasi.
Salah satu teknik untuk memperingatkan keamanan sistem komputer atau jaringan tentang kemungkinan serangan peretasan adalah pengujian penetrasi.
Langkah ini sangat Cyberspace: Jurnal Pendidikan Teknologi Informasi | 28 Syahril Handaya.
Raihan Islamadina penting dalam mengembangkan pertahanan yang kuat untuk server komputer yang terhubung dalam jaringan, karena tidak hanya menilai operasi tetapi juga implementasi dan desain sistem.
Pengujian penetrasi dilakukan secara resmi dan terjadwal, yang membedakan mereka dari penyerang, dan meskipun penting, tidak diadopsi secara luas oleh berbagai organisasi dan institusi.
2 OWASP
Sebuah kelompok nirlaba bernama OWASP berdedikasi untuk meningkatkan keamanan perangkat lunak dan aplikasi web.
Aplikasi open source OWASP ZAP (Zed Attack Prox.
dikembangkan oleh grup OWASP untuk mengevaluasi keamanan aplikasi web.
Untuk menemukan dan memperbaiki kelemahan keamanan dalam aplikasi web, alat ini menyertakan fitur penting seperti SQL Injection.
Cross Site Scripting (XSS), dan Cross Site Request Forgery (CSRF).
Pengguna juga dapat melakukan eksplorasi sistem dan fuzzing manual dengan OWASP ZAP.
Antarmuka pengguna grafis (GUI) alat ini memudahkan pengembang dan peneliti keamanan untuk menggunakannya.
Selain itu.
OWASP ZAP dapat berkomunikasi dengan prosedur pengujian keamanan terkini dengan mendukung otomatisasi melalui baris perintah.
3 NIST SP 800-115
NIST menciptakan standar sebagai standar pengembangan untuk menjamin kualitas dan kesesuaian barang dan jasa.
Hal ini mencakup berbagai bidang teknis, seperti keamanan siber dan standar pengukuran.
NIST melakukan penelitian dan pengembangan ilmu pengukuran untuk menjamin presisi dan keseragaman secara global.
NIST menciptakan standar dan pedoman untuk melindungi data dan sistem komputer dari intrusi dan .
NIST menciptakan kerangka keamanan siber yang membantu bisnis mengelola risiko keamanan siber dengan cara yang terorganisir dan metodis.
Untuk memastikan fasilitas pengujian dan kalibrasi mematuhi persyaratan yang ketat.
NIST menjalankan program akreditasi.
NIST menerbitkan standar keamanan informasi dan teknologi, seperti seri NIST SP 800.
NIST melakukan penelitian ilmiah dan teknologi dibidang ilmu material, nanoteknologi, dankomuikasi untuk mendorong inovasi dan pengembangan.
NIST mengembangkan dan mempromosikan teknologi dan standar dalam kemitraan dengan bisnis, akademisi, dan organisasi pemerintah lainnya.
Selain itu.
NIST menawarkan materi pengajaran dan pelatihan tentang berbagai mata pelajaran teknis.
NIST telah memberikan dampak signifikan pada berbagai industri, termasuk manufaktur, teknologi informasi, kesehatan, dan energi, dengan mendorong inovasi, efisiensi, dan keamanan.
29 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
Metode Penelitian 1 Sistem Operasi TABLE 1.
SPESIFIKASI HADWARE
Komponen Processor 13th Gen Intel(R) Core(TM) i9-13900H .
CPU.
, 2.
6GHz Random Acces memory (RAM) 32 GB Storage Memory 1,5 TB Vidio Graphics Array (GVA) GVA 0: Intel(R) IrisA Xe Graphics.
GVA 1: NVIDIA GeForce RTX 4050 Operating System (OS) Windows 11 Home Sinle Languange 64bit .
Build 22.
2 Rancangan Penelitian Metode OWASP Gambar 1.
Flowchart Metode OWASP.
Untuk mengubah data OWASP menjadi wawasan berharga, berikut tahapan yang dapat dilakukan:
Pengumpulan Informasi (Information Gathrin.
Megumpulkan segala informasi terkait aplikasi web yang akan dianalisis dengan menggunakan teknik Black Box.
Pemindaian Kerentanan (Vulnerability Scannin.
Melakukan analisis mendalam pada data OWASP untuk mengidentifikasi celah keamanan yang mungkin ada dalam aplikasi web.
Klasifikasi tingkat kerentanan Mengelompokkan dan mengurutkan kerentanan berdasarkan tingkat bahayanya.
Kerentanan yang paling berpotensi merugikan harus menjadi prioritas utama Investigasi kerentanan Mendeskripsikan atau menjelaskan kerentanan yang ditemukan pada saat Vulnerability Scanning Rekomendasi Solusi.
Menindaklanjuti dengan membuat laporan berupa Solusi untuk perbaikan pada sistem.
Hal ini bisa berupa pembaruan perangkat lunak, penyesuaian konfigurasi, perbaikan kode.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 30 Syahril Handaya.
Raihan Islamadina atau penguatan kebijakan keamanan.
Berikut Komponen yang digunakan pada metode OWASP.
TABLE 2.
SPESIFIKASI SOFTWARE METODE OWASP
Komponen Komponen Versi Dual OS Information Gathering Vulnerability Scanning Reporting Virtual Box Kali Linux Ping Whois SSLScan Nmap Zap Word 3 Rancangan Penelitian Metode NIST SP 800-115 Gambar 2.
Flowchart Metode NIST SP 800-115.
Metode NIST SP 800-115 memiliki beberapa tahapan diantaranya sebagai berikut:
Fase Planning Pada tahap Perencanaan.
Anda akan merencanakan pengujian yang akan Beberapa hal yang termasuk dalam perencanaan ini adalah penentuan sasaran, tujuan, ruang lingkup, dan metode yang digunakan dalam pengujian.
Fase Discovery Penulis mengumpulkan dan memeriksa data mengenai tujuan tes sepanjang langkah ini.
Dalam Fase Serangan Kali Linux, teknik Black Box digunakan untuk pengumpulan dan pemindaian.
Fase Attack Sampel penelitian dilakukan penulis pada fase Attack.
Setelah serangan dilakukan, kerentanan akan dieksploitasi menggunakan alat seperti Metasploit untuk mengonfirmasi temuan.
Fase Reporting Tiga fase sebelumnya diselesaikan bersamaan dengan fase pelaporan.
Strategi penilaian dikembangkan selama tahap perencanaan.
Log tertulis kemudian disimpan selama tahap Penemuan dan Serangan, dan administrator serta manajemen sistem menerima laporan secara teratur.
Pendekatan NIST SP 800-115 memanfaatkan komponen berikut.
31 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
TABLE 3.
SPESIFIKASI SOFTWARE METODE NIST SP 800-115
Komponen Komponen Versi Dual OS Information Gathering Vulnerability Scanning Attack Reporting Virtual Box Kali Linux Ping Whois SSLScan NMap Zap Hydra Metasploit Wireshark Microsoft Word Hasil dan Pembahasan 1 Planning Pada tahapan ini membahas mengenai ruang lingkup penelitian, hardware yang digunakan pada penelitian, software yang digunakan pada peelitian serta teknik yang digunakan pada saat penelitian.
2 Discovery 1 Information Gathring Pemahaman Data pada metode ini maksudnya yaitu untuk menggali informasi dari sample penelitian, dalam hal ini menggunakan teknik Black box.
Langkah yang pertama yaitu dengan melakukan perintah ping -c5 AuIp AdreesAy untuk melihat bagaimana kecepatan sistem informasi tersbut dalam mengirim paket data, seperti pada gambar 3.
Gambar 3.
Hasil nmap pada DNS.
Waktu adalah waktu respons host dalam milidetik .
, hasil ping yang bagus adalah kurang dari 100 ms.
Time to live (TTL) adalah lamanya suatu paket data pada jaringan dalam satuan detik.
Kemudian seperti yang terlihat pada gambar di bawah, jalankan perintah whois "Alamat IP" untuk melihat informasi sistem yang lebih spesifik, seperti pada gambar 4.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 32 Gambar 4.
Hasil Whois Pada IP Address.
Dari hasil perintah tersebut berhasil menunjukkan informasi detail mnegenai aplikasi tersebut, perintah selanjutnnya yang dilakukan adalah cd testssl.
sh lalu perintah /testssl.
sh AuIP AdressAy.
Seperti pada gambar 5.
Gambar 5.
Hasil Testssl Pada IP Addres.
Dari gambar tersebut menyatakan bahwa tidak terdapatnya ssl pada aplikasi web tersebut, ssl adalah standar keamanan jaringan dari suatu sistem informasi.
2 Vulnerability Scanning Pada titik ini, nmap digunakan untuk memindai program.
Di sini, perintah nmap sT "IP Address" digunakan untuk melihat port aplikasi web yang terbuka, seperti yang ditunjukkan pada gambar di bawah.
Gambar 6.
Hasil nmap Pada IP Addres.
33 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
Dari hasil Scanning manggunkan tools nmap tersebut menyatakan bahwa tidak ada ports pada server yang terbuka.
Dan langkah selanjutya yaitu melakukan scanning menggunkan framework Zap, seperti gambar di bawah ini.
Gambar 7.
Proses Scanning menggunakan Zap.
Dari hasil scanning menggunakan framework OWASP Zap berhasil ditemukannya beberapa kerentanan yang terdapat pada aplikasi web tersebut dan dari hasil scanning tersebut menunjukan beberapa tingkatat kerentanan, berikut meupakan hasil scanning menggunkan framework OWASP Zap.
TABLE 4.
HASIL PROSES SCANNING BERDASARKAN LEVEL
Risk Level Number of Allert High Medium Low Informational Berikut merupakan detail dari penjelasan Scanning menggunakan framework Zap.
TABLE 5.
HASIL VULENERABILITY SCANNING ZAP.
Allert Description Risk level Solution Content Serangan ini dapat Medium Verifikasi bahwa Header Security Policy digunakan untuk segala Kebijakan Keamanan (CSP) Header hal mulai dari penyebaran Konten telah diatur pada Not Set virus hingga perusakan penyeimbang beban, situs atau pencurian data.
server web, server aplikasi, dll.
Directory Browsing Daftar direktori dapat mengungkapkan skrip tersembunyi, termasuk file, file sumber cadangan, yang dapat diakses untuk membaca informasi Medium Nonaktifkan penjelajahan Jika perlu, pastikan file yang tercantum tidak menimbulkan risiko.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 34 Missing Anticlickjacking Header Serangan 'ClickJacking' tidak dapat dilindungi.
Ini karena tidak ada konfigurasi pada Kebijakan Keamanan Konten dengan arahan 'frame-ancestors' atau XFrame-Options.
Medium Cookie No Http Only Flag JavaScript dapat mengakses cookie karena telah disetel tanpa flag HttpOnly.
Cookie dapat diakses dan ditransfer ke situs web lain jika skrip berbahaya dapat dijalankan di halaman ini.
Low Cookie without SameSite Attribute Low Pastikan semua cookie memiliki atribut SameSite yang disetel ke 'longgar' atau 'ketat'.
Cross-Domain JavaScript Source File Inclusion Permintaan 'lintas situs' dapat mengakibatkan cookie dikirimkan karena telah disetel tanpa atribut SameSite.
Terdapat halaman yang berisi satu atau lebih file skrip dari situs web Low Server Leaks Version Information via "Server" HTTP Response Header Field Informasi versi dibocorkan oleh server web/aplikasi melalui header respons HTTP "Server".
Penyerang mungkin akan lebih mudah menemukan lebih banyak kelemahan di server web/aplikasi jika penyerang memiliki akses ke informasi ini.
X-ContentOpsi Tipe Konten AntiType-Options MIME Sniffing Title X Header Missing tidak dikonfigurasi.
Oleh karena itu, sniffing MIME dapat mengakibatkan isi respons dibaca dan Low Verifikasi bahwa hanya sumber terpercaya yang digunakan untuk memuat file sumber JavaScript, dan pengguna akhir aplikasi tidak memiliki kendali atas sumber Verifikasi bahwa header Kebijakan Keamanan Konten telah diatur pada penyeimbang beban, server web, server aplikasi, dll.
Low 35 | Cyberspace: Jurnal Pendidikan Teknologi Informasi Header HTTP X-FrameOptions dan ContentSecurity-Policy didukung oleh browser web Pastikan setiap halaman web yang ditampilkan situs atau aplikasi telah menetapkan salah satu halaman Sebagai alternatif, pertimbangkan untuk menerapkan arahan "frame-ancestor" dari Kebijakan Keamanan Konten.
Verifikasi bahwa setiap cookie memiliki pengaturan Http Only yang disetel.
Pastikan server atau aplikasi web memuat header X-Content-TypeOptions ke 'nosniff' untuk setiap halaman web dan IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
Authentication Request Identified GET for POST Information Disclosure Suspicious Comments Modern Web Application Session Management Response Identified disajikan sebagai jenis konten yang berbeda dari yang ditentukan di versi Chrome dan Internet Explorer yang lebih lama.
Kumpulan baris key=value yang ditemukan di bidang 'Info Lainnya'.
Yang di adalah permintaan GET juga diterima untuk permintaan yang awalnya dianggap sebagai POST.
Meskipun masalah ini bukan merupakan kelemahan keamanan, hal ini mungkin membuat serangan lain lebih mudah Misalnya, penelitian ini mungkin menyarankan bahwa XSS yang lebih sederhana .
erbasis GET) juga layak dilakukan jika Critical POST awal rentan terhadap Critical Critical oss-Site Scripting (XSS).
Pernyataan mencurigakan yang dapat membantu penyerang tampaknya disertakan dalam Catatan:
Konten secara keseluruhan, bukan hanya komentar, bertentangan dengan kecocokan yang dibuat dalam blok skrip atau file.
Hapus semua komentar yang memberikan detail yang mungkin membantu penyerang dan mengatasi masalah mendasar yang mereka ajukan.
Telah ditentukan bahwa respons yang diberikan berisi token manajemen Kumpulan token header yang berlaku untuk Metode Manajemen Sesi memuat header Tipe Konten dengan benar.
Informational Tidak ada yang perlu diperbaiki karena ini hanyalah pemberitahuan dan bukan kerentanan.
Informational Pastikan bahwa ketika POST diharapkan, hanya POST yang diterima.
Informational Hilangkan komentar apa pun yang memberikan informasi yang dapat membantu penyerang dalam mengidentifikasi dan memperbaiki sumber masalah yang mereka Informational Tidak ada yang perlu diubah, ini hanyalah pemberitahuan informasi.
Informational Tidak ada yang perlu diperbaiki karena ini hanyalah pemberitahuan dan bukan kerentanan.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 36 User Agent Fuzzer Berbasis Header terdapat di bidang 'Info Lainnya'.
Variasi tanggapan tergantung pada Agen Pengguna yang tidak jelas .
eperti crawler mesin pencari atau situs web Bandingkan kode hash dan kode status respons dengan respons Informational Gunakan Monitor Header HTTP.
Analisis Log Server, dan Validasi Agen Pengguna.
Dari hasil Scanning menggunakna framework Zap tersebut sebagian besar kerentanan yang ditemukan disebabkan karena kesalahan dalam proses pemrograman atau insicure design yang berdampak pada keamanan website tersebut, hal ini bisa terjadi karena kurangnya kesadaran tentang keamanan selama fase desain.
3 Attack Langkah utama metode NIST SP 800-115 untuk melakukan pengujian petrasi pada hasil yang diperoleh melalui Discovery adalah langkah ini.
Berikut serangan yang bisa 1 Brute For Attack Saat mencoba melakukan serangan brute force.
Anda harus memberikan tebakan acak untuk sesi pencarian nama pengguna dan kata sandi yang berbeda.
Gunakan Hydra pada saat ini, lalu jalankan perintah seperti yang terlihat pada gambar 8.
Gambar 8.
Serangan Brute For Attack.
Tidak ada hasil sah yang dicapai, seperti yang ditunjukkan oleh hasil tes Brute for Attack, yang menunjukkan 0 kata sandi valid diambil.
Oleh karena itu, menggunakan SSH untuk menguji login brute force tidaklah rentan.
2 Denial of Service Synflood Gunakan eksploitasi Synflood DoS untuk memanfaatkan Denial of Service (DoS).
DoS Synflood adalah serangan di mana jaringan kelebihan beban dengan lalu lintas Artinya jaringan atau server yang diserang tidak akan mampu menyuplai trafik sehingga menyebabkan sistem rusak dan tidak dapat beroperasi secara efektif.
Menggunakan perintah, kemudian menggunakan ux/dos/tcp/synflood, dan terakhir menampilkan opsi, pengujian ini memanfaatkan kerangka Metasploit untuk 37 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
mensimulasikan serangan Synflood DoS dan menganalisis detail lalu lintas jaringan selama proses eksploitasi DoS menggunakan Wirshark.
Gambar 9.
Modul serangan Denial of Service Synflood Selanjutnya konfigurasikan menggunakan perintah yang tersedia pada modul seperti pada gambar di bawah.
Gambar 10.
Serangan Denial of Service Synflood.
Serangan telah diimplementasikan seperti yang ditunjukkan pada gambar 10.
Selanjutnya Wireshark diperlukan untuk mencatat aktivitas paket data grafik di seperti pada gambar 11.
Gambar 11.
Serangan Denial of Service Synflood.
Tampilan Wireshark menunjukkan bahwa sistem sedang sibuk karena lalu lintas jaringan yang sangat padat.
TCP dapat dieksploitasi dengan mengirimkan paket SYN dan memalsukan alamat IP, yang menyebabkan server mengklarifikasi koneksi namun tidak pernah membuatnya.
Akibatnya kapasitas server terlampaui oleh proses yang berjalan di dalamnya.
Cyberspace: Jurnal Pendidikan Teknologi Informasi | 38 Syahril Handaya.
Raihan Islamadina 2 DNS Server Request Amplification Untuk mematikan server DNS sebagai bagian dari serangan Distributed Denial of Service (DDoS), eksploitasi amplifikasi DNS mengubah kueri sederhana menjadi muatan yang lebih besar.
Setelah menampilkan opsi dengan perintah bantu/scanner/dns/dns_amp, konfigurasikan menggunakan perintah modul yang tersedia seperti yang ditunjukkan pada gambar 12 di bawah.
Gambar 12.
Serangan Distributed Denial of Service.
Ini telah secara efektif menyusup ke modul DNS Amp, sesuai dengan hasil Mengirimkan 87 byte permintaan untuk menguji paket menunjukkan efek amplifikasi DNS.
Kesimpulan Dari hasil pengujian pada Aplikasi Web Sistem Evaluasi Data Bidang Tik Polda Aceh berhasil ditemukannya kerentanan-kerentanan yang terdapat pada Aplikasi Web tersebut Sebaiknya menggunakan DNS karena aplikasi web tersebut masih menggunakan IP Adress server sebagai DNS sehingga dapat memungkinkan peyerang mengakses situs yang lain pada server tersebut.
Sebaiknya ditambahkan standar pengamanan pada web server tersebut berupa Secure Socket Layer (SSL) karena pada web server tersebut tidak menggunakan SSL yang menjadi standar dalam suatu sistem informasi.
Sebaiknya mengkonfigurasi Header X Type Options karena penyerang dapat membaca informasi sensitif melalui respon pada Aplikasi Web tersebut.
Sebaiknya memperbaiki kesalahan dalam pemrograman atau insecure design yang menjadi sumber kerentanan yang dapat meberikan informasi mengenai kerentanankerentanan yang lain.
Sebaiknya mengkonfigurasi CSP untuk meningkatkan keamanan karena jika tidak dikonfigurasi dapat mengakibatkan perusakan situs dan penyebaran malware.
Untuk menangani serangan DoS .
Sebaiknya server menggunkan Firewall untuk menghindari serangan, .
Melakukan Blocking terhadap IP yang terliht mencurigakan, .
Menolak paket data dan mematikan service UDP (User Diagram Protoco.
, .
Menggunakan antivirus yang dapat menangkal serangan data seperti Kapersky, .
Melakukan Filtering pada permintaan ICMP echo pada Firewall.
Untuk menangani serangan DDoS
39 | Cyberspace: Jurnal Pendidikan Teknologi Informasi
IMLEMENTASI PENETRATION TESTING PADA APLIKASI WEB SISTEM EVALUASI
DATA BIDANG TIK POLDA ACEH MENGGUNAKAN
METODE OWASP DAN NIST SP 800-115
Sebaiknya Menggunakan Firewall yang kuat, .
Sebaiknya Menggunakan Load Blancer untuk mendistribusikan beban jaringan secara merata ke beberapa server.
Sebaiknya memasang Sertifikasi SSL sebagai standar keamanan suatu sistem Sebaiknya dilakukan perbaikan untuk meningkatkan keamanan sistem baik pada Aplikasi Web maupun Server.
Referensi