Anda di halaman 1dari 11

AUDIT SISTEM KEAMANAN SERVER WEB SESUAI STANDAR PERMENKOMINFO TENTANG

KEAMANAN SERVER WEB PEMERINTAHAN


(Studi Kasus Situs Resmi Pemerintah Daerah Kabupaten Kotawaringin Timur http://beta.kotimkab.go.id)
Andy Ismail, S.Kom
Fakultas Ilmu Komputer, Universitas Darwan Ali
andy@unda.ac.id

ABSTRAK
Saat ini, internet sudah merupakan suatu kebutuhan bagi sebagian besar masyarakat. Bersumber dari internet inilah
berbagai kemudahan akan sebuah informasi bisa didapatkan. teknologi internet kemudian dimanfaatkan dalam berbagai
bidang salah satunya dalam pemerintahan. Hampir seluruh Pemerintah Daerah di Indonesia saat ini telah memiliki situs
web resmi Pemerintah Daerah, misalnya web site Pemerintah Daerah Kabupaten Kotawaringin Timur bisa diakses
melalui alamat beta.kotimkab.go.id. Agar web site Pemerintah Daerah bisa menjadi media informasi yang yang efektif,
tentunya segala sesuatu yang berkaitan dengan kelangsungan hidup sebuah situs web harus dipenuhi, bukan hanya
menghabiskan biaya setiap tahun untuk membayar sewa ISP dan web hosting sedangkan pengelolaanya diabaikan.
Sebuah web tentunya harus dikelola sehingga mampu untuk memenuhi tuntutan terhadap perubahan-perubahan yang
harus dilakukan, baik dari segi isi dari web site tersebut maupun keamanannya. Oleh sebab itu audit keamanan untuk
server web beserta aplikasi didalamnya khususnya pada sebuah server web Pemerintah Daerah sangat diperlukan,
berhubung saat ini situs web adalah bagian dari identitas dan kredibiltas Teknologi yang dimiliki oleh Daerah tersebut.
Adapun audit yang dilakukan berlandaskan standar keamanan server web yang di tetapkan dalam peraturan
Kementerian Komunikasi dan Informatika Republik Indonesia dengan menggunakan teknik one-way webhacking, yaitu
suatu teknik yang mengandalkan pada lalu lintas HTTP untuk menyerang dan menembus web server dan aplikasi server.
Teknik ini diformulasikan untuk menunjukkan bahwa memiliki firewall ketat atau SSL tidak terlalu penting ketika datang
ke serangan aplikasi web. Premis one-way adalah bahwa hanya permintaan HTTP yang valid yang diijinkan dan hanya
merespon HTTP yang diperbolehkan keluar dari firewall. Tahapan yang dilakukan yaitu melakukan penyamaran
identitas, pengintaian untuk mengumpulkan data, kemudian mencari kemungkinan kelemahan dan memetakan
kelemahan yang ada.
Dari hasil penelitian yang telah dilakukan diperoleh kesimpulan hasil audit keamanan server web dan aplikasi
didalamnya membutuhkan perawatan dan penanganan khusus terutama di bagian-bagian yang memiliki kelemahan
keamanan, sehingga pengembangan situs web dan layanan internet didalamnya menjadi sesuai dengan standar peraturan
keamanan server web oleh kementerian komunikasi dan informatika dan menjadikan server web lebih aman dari
gangguan perentas di dunia maya.

Kata Kunci : audit server web, Hacking Web, dan Teknik One-Way Web Hacking.

ABSTRACT
Currently, the Internet is a necessity for most people. Based from the internet will ease a variety of information that
can be obtained. Internet technology utilized in various fields, one of them is in the government. Almost all local
governments in Indonesia now has an official website, for example the web site of East Kotawaringin District
Government can be accessed through the address beta.kotimkab.go.id. For Local Government web site can be an
effective medium of information, of course all things related to the survival of a website must be achieved, not only cost
each year to pay ISP and Web hosting while its maintenance is ignored. A web should be managed so as to to meet the
demands of the changes that must be done, both in terms of the content of the web site as well as security. Therefore,
security audits for web servers and applications in it, especially on a local government web server is needed, since the
current web site is part of the identity and credibility of Technology is owned by the Region.
The audits are conducted based on web server security standards defined in the regulations in the Ministry of
Communication and Information of the Republic Indonesia by using one-way webhacking, is a technique which relies
purely on HTTP traffic to attack and penetrate web servers and application servers. This technique was formulated to
demonstrate that having tight firewalls or SSL does not really matter when it comes to web application attacks. The
premise of the one-way technique is that only valid HTTP requests are allowed in and only valid HTTP responses are
allowed out of the firewall. Steps being taken is to do undercover identity, reconnaissance to gather data, then look for
possible weaknesses and map out the existing weaknesses.
From the results of research conducted, concludes the audit security in web servers and applications require special
care and handling, especially on the section that has a security weakness, so that the website development and internet
services in it in accordance with standard web server security regulations by the ministry of communication and
informatics and make the web server more secure from tampering by hackers in cyberspace.

Key Word : Web Server Audit, Web Hacking, and One-Way Web Hacking Technique.
1. PENDAHULUAN misalnya, XSS, SQL Injection, PHP Injection, HTML
Situs web didalam server web merupakan Injection, dan lain sebagainya. Begitu pula pada CMS
salah satu sistem informasi yang digunakan sebagai semisal Mambo, Joomla, WordPress, dan lainnya. CMS
media informasi yang yang efektif . Beberapa fungsi tersebut memiliki banyak komponen pendukung di
dan manfaat dari adanya website atau situs remi internet yang bisa kita download, install dan
Pemerintah Daerah ini, antara lain : konfigurasi. Sehingga sangat memungkinkan sekali
a. Memperkenalkan dan mempromosikan kelebihan terdapat bug pada scriptingnya. Langkah terbaik
yang ada baik sumber daya alam maupun produk hasil tentunya melakukan pembedahan terhadap script serta
bumi suatu daerah tertentu, agar dapat diketahui secara melakukan pengujian sebelum komponen tersebut kita
luas baik dalam skala nasional maupun internasional gunakan pada web yang sebenarnya.
karena dapat diakses oleh siapapun melalui internet, b. Lubang pada Situs Tetangga
agar dapat menarik minat investor dalam negeri atau Ini merupakan salah satu faktor yang jarang
investor asing menanamkan modal di wilayah mendapat perhatian. Sebagian webmaster kadang tidak
Pemerintah Daerah. begitu peduli ketika web lain yang satu hosting direntas.
b. Memperlihatkan secara nyata kegiatan atau aktivitas Mereka berpikiran, “Ah, bukan web saya yang kena.”
yang dilakukan oleh Pemerintah Daerah dalam Padahal justru di sinilah letak kesalahannya. Logikanya,
melaksanakan urusan pemerintahan kepada masyarakat misal web ditempatkan pada perusahaan hosting A. itu
umum secara luas. artinya web bertetangga dengan web milik orang lain
c. Tersedianya sarana interaksi langsung antara yang berada dalam 1 hosting. Jika web tetangga
Pemerintah Daerah dan masyarakat, baik dalam tersebut memiliki celah fatal, sehingga penyerang bisa
wilayah Pemerintah Daerah maupun diluar wilayah menanam program yang dijadikan backdoor. Dengan
Pemerintah Daerah, terutama para perantau dari daerah backdoor inilah penyerang bisa masuk ke dalam web
asal yang ingin memperoleh informasi secara langsung lainnya. Bukan itu saja, tidak mustahil attacker
akan perkembangan pembangunan di daerah asalnya melakukan perusakan massal.
dengan tersedianya konten berita ( News ) dan forum. c. Tempat Hosting yang Bermasalah
d. Memberitakan produk-produk hukum yang Pada beberapa kasus justru tempat hosting
dikeluarkan oleh Pemerintah Daerah dalam bentuk yang bermasalah menjadi sebab direntasnya banyak
Peraturan Daerah ( Perda ) yang dapat dilihat oleh situs yang berada di bawah pengelolaannya.
masyarakat umum. Kenyataannya, justru web hosting itu yang tidak pernah
e. Menjadi indikator dan barometer bagi pembangunan di administrasi dengan baik, jarang diupdate, dan jarang
daerah dari suatu Pemerintah Daerah tertentu dengan di patch, sehingga mudah terkena serangan. Dengan
Pemerintah Daerah lainnya, sehingga tiap daerah model pengelolaan yang seperti ini jangan berharap
terpacu untuk membangun wilayah daerahnya masing- web akan aman. Karena itu, pastikan tempat hosting
masing, dan memperluas wawasan Pemerintah Daerah yang digunakan benar-benar memperhatikan tingkat
akan informasi-informasi baru dari daerah lainnya. keamanan bagi pelanggannya.
Dari beberapa fungsi di atas, dapat diketahui Adapun standar dan ketentuan pengamanan
bahwa informasi yang cepat dan tepat mempengaruhi server web milik pemerintahan baik pemerintah pusat
perkembangan suatu daerah dalam skala regional, maupun pemerintah daerah telah di tetapkan dalam
nasional maupun internasional. sebuah Peraturan yang ditetapkan oleh Kementerian
Namun website tidak bisa terlepas dari segi Komunikasi dan Informatika sebagai berikut :
keamanan. Tetapi kebanyakan para pengelola hanya PERTAMA: Bahwa dalam rangka melindungi HAM
mengutamakan tampilan dan topik apa yang harus tersebut dan melayani publik, maka situs pemerintah
disediakan supaya menarik pengunjung sebanyak- haruslah dihargai dan diberikan perlindungan,
banyaknya. Padahal jika seorang pengelola khususnya terhadap otentisitas, keutuhan, dan
mengabaikan keamanan suatu situs web, maka yang ketersediaan Informasi demi kepentingan publik itu
dirugikan adalah pengelola itu sendiri serta institusi sendiri, sehingga diperlukanlah upaya untuk melindungi
pemilik dari situs web tersebut. situs pemerintah dari segala tindakan tersebut.
Keamanan suatu situs web atau web security KEDUA: Bahwa keamanan atas situs pemerintah
systems merupakan salah satu prioritas yang sangat haruslah terjaga dengan baik demi akuntabilitas dan
utama bagi seorang pengelola web. Jika pengelola web kepercayaan publik terhadap substansi informasi yang
mengabaikan keamanan suatu situs web, maka hacker disediakan, dan telah menimbulkan permasalahan yang
dapat mengambil data-data penting pada suatu situs serius jika tampilan situs dirusak, layanan publik
web dan bahkan pula dapat merusak data yang ada. terhenti dan informasi yang bersifat sensitif jatuh
Beberapa faktor timbulnya serangan : ketangan pihak yang salah.
a. Scripting KETIGA: Sistem Informasi berikut sistem keamanan
Kesalahan dalam scripting pembuatan web yang baik adalah sistem yang dapat memberikan
adalah hal terbanyak yang dimanfaatkan oleh para kejelasan informasi bagi penyelenggara dan pengguna,
attacker, sehingga rata-rata web yang berhasil diserang tidak membuat ketergantungan terhadap penggunaan
melalui lubang ini. Kelemahan-kelemahan scripting jenis teknologi tertentu, serta dapat memberikan
yang ditemukan pada proses vulnerabilities scanning kemandirian bagi penyelenggara negara untuk
mengembangkan sendiri lebih lanjut sistem tersebut ada, Zackary [Basic of Hacking]. Definisi dari kata
sesuai dengan perkembangan organisasi penyelenggara “menyalahgunakan” memiliki arti yang sangat luas, dan
negara dari waktu ke waktu; dapat diartikan sebagai pencurian data rahasia, serta
KEEMPAT: Keamanan terhadap situs informasi dan penggunaan e-mail yang tidak semestinya seperti
web-server harus dirumuskan dalam satu kebijakan spamming ataupun mencari celah jaringan yang
internal dalam setiap instansi pemerintah yang memuat memungkinkan untuk dimasuki.
kejelasan proses pengembangan dan 2.1.2 Pengertian
pengimplementasian sistem informasi yang mencakup Audit atau pemeriksaan dalam arti luas
kejelasan rancangan dan penerapan serta bermakna evaluasi terhadap suatu organisasi, sistem,
pengoperasiannya serta telah memperhitungkan insiden proses, atau produk. Audit dilaksanakan oleh pihak
ataupun kejadian-kejadian tak tentu yang tidak yang kompeten, objektif, dan tidak memihak, yang
dikehendaki. disebut auditor. Tujuannya adalah untuk melakukan
KELIMA: Untuk penyelenggaraan yang baik maka verifikasi bahwa subjek dari audit telah diselesaikan
Penyelenggara Negara yang bertanggung jawab atau berjalan sesuai dengan standar, regulasi, dan
terhadap Penyelenggaraan Informasi (Chief Information praktik yang telah disetujui dan diterima (Wikipedia,
Officer) yang berkewajiban menyelenggarakan 2011).
keterbukaan informasi publik mempunyai kewajiban 2.1.3 Tahapan Audit Server Web
kehatian-hatian (duty of care) terhadap penyediaan atau 1. Melakukan penyamaran identitas Internet
penyajian informasi kepada publik. Tim pengelola situs Protocol / IP Spoofing, sebab web server
pemerintah (Web management teams) harus biasanya memiliki aplikasi pendeteksi
berkonsultasi dengan instansi yang terkait dalam kegiatan dan perilaku hacking yang
menentukan kebijakan keamanannya. dianggap berbahaya bagi server, dan
KEENAM: Jika situs resmi pemerintah dikelola oleh secara otomatis melakukan pemblokiran
pihak ketiga (Internet Service Provider (ISP)/hosting atas Internet Protocol / IP pengakses.
service), Penyelenggara Negara harus menjalankan 2. Web Application discovery, melakukan
Sistem Manajemen Keamanan Informasi dan mengikat pencarian data aplikasi yang tertanam
secara kontraktual pihak ketiga dan menyediakan didalam server web untuk dipelajari titik
pengamanan terhadap webserver serta infrastruktur lemah dari tiap-tiap aplikasi yang dimiliki
terkait sesuai dengan tingkat yang ditentukan. Standar server web kemudian memetakannya.
umum tentang sistem keamanan untuk situs non 3. Memberi saran solusi perbaikan dari
pemerintah pada umumnya (contoh antara lain kelemahan yang telah ditemukan.
kelompok ISO 27000 atau yang setara) dapat digunakan 2.1.4 Aspek Audit Server Web
sebagai acuan untuk pengembangan dan pengelolaan
Aspek-aspek yang dianalisis meliputi:
untuk situs pemerintah.
Dengan landasan peraturan tersebut maka 1. Site Structure, adalah pemetaan struktur
auditing dilakukan demi memenuhi setiap aspek standar situs web yang terdapat di server web,
yang sudah ditentukan. seperti susunan folder dan file yang ada
Karena situs web Kotawaringin Timur dalam didalamnya.
proses pengembangan (baru meluncurkan situs versi 2. Port Scan, adalah pemetaan Port yang
beta dengan alamat beta.kotimkab.go.id) mendorong terbuka pada server web.
peneliti melakukan audit khususnya diaspek-aspek 3. Network Alerts, adalah pemetaan celah
keamanan server web sesuai standar keamanan server keamanan pada jaringan keluar masuk
web yang sudah ditetapkan oleh aturan menteri yang data pada server web.
masih berlaku. 4. Web Alerts, adalah pemetaan
2. DASAR TEORI kemungkinan celah keamanan yang ada
2.1 Web Hacking pada aplikasi web di server web.
2.1.1 Pendahuluan 5. Knowledge Base, adalah pemetaan
Situs web dimiliki oleh sebagian besar service yang sedang berjalan pada server
Pemerintah daerah di Indonesia dengan aturan standar web.
keamanan pada web servernya yang telah diatur dalam 2.2 Web
peraturan Menteri Komunikasi dan Informatika. 2.2.1 Definisi Web
Standar tersebut selayaknya dipenuhi oleh pengembang World Wide Web atau “Web” adalah sebuah
server web yang didalamnya terdapat situs web dan system dari keterhubungan, dokumen hypertext yang
aplikasi pendukungnya. Untuk itu audit dilakukan berjalan dalam internet. Dengan browser web, seorang
dengam menggunakan beberapa metode yang terdapat pengguna melihat halaman-halaman web yang berisi
dalam teknik one-way web hacking. teks, gambar, dan multimedia; dan menghubungkan
Istilah Hacking dalam web hacking anatara mereka menggunakan hyperlink.
mengandung pengertian aktivitas penyusupan ke dalam World Wide Web adalah kombinasi dari empat hal
sebuah sistem komputer ataupun jaringan dengan tujuan dasar:
untuk menyalahgunakan ataupun merusak sistem yang
1. Hypertext.
2. Resource Indentifers.
3. Model Client-Server.
4. Markup Language.
Dalam World Wide Web, aplikasi client
menerima informasi, seperti halaman Web atau file
komputer lainnya, dari web server menggunakan URL.
Jika aplikasi client tersebut adalah browser web, maka
ia akan menampilkan informasi tersebut pada komputer
pengguna. Pengguna kemudian dapat menggunakan
hyperlink dalam tiap halaman web untuk navigasi ke Gambar 2.1 Komponen Server Web
informasi dalam web lainnya. (Wikipedia, 2008) Aplikasi server web memiliki semua aplikasi,
2.3 Software yang Digunakan Dalam Audit yang dapat berupa script, tools atau file binary. Web
Server Web server front-end bertindak sebagai antarmuka aplikasi
Dalam audit server web ini, digunakan ke dunia luar, menerima masukan dari klien web
undaOS sebagai Operating System dengan aplikasi melalui form HTML dan HTTP, dan memberikan
penunjang yaitu nmap. output yang dihasilkan oleh aplikasi dalam bentuk
2.3.1 Linux undaOS halaman HTML. Secara internal, aplikasi antarmuka
undaOS Sistem Operasi berbasis Open Source dengan database server back-end untuk melakukan
Linux yang dikembangkan oleh Team Pengembang transaksi. Firewall diasumsikan dikonfigurasi ketat,
Sistem Universitas Darwan Ali, yang dikembangkan sehingga apa yang masuk dan keluar dimonitor dan
dari Linux Ubuntu dan Linux Backtrak. undaOS dibatasi.
dikembangkan untuk tujuan kemudahan bermigrasi 3. PERENCANAAN AUDIT SERVER WEB
dari Sistem Operasi Windows dan juga memiliki Perencanaan merupakan suatu sketsa langkah-
kelebihan dibidang keamanannya terutama dalam langkah awal yang akan dilakukan dalam melakukan
memenuhi keamanan bertransaksi e-commerce dan e- kegiatan audit server web.
banking. 3.1 Identifikasi
2.3.2 Nmap 3.1.1 Identifikasi Kebutuhan Fungsional
Nmap (Network Mapper) adalah scanner Untuk mengetahui kebutuhan fungsi apa saja
keamanan yang aslinya ditulis oleh Gordon Lyon (juga yang harus ada saat melakukan kegiatan audit server
dikenal dengan nama samaran Fyodor Vaskovich) web, diperoleh spesifikasi fungsi sebagai berikut :
digunakan untuk menemukan host dan service di 1. Akses internet dengan kecepatan
jaringan komputer, sehingga menciptakan peta jaringan broadband 512kbps. Pada dasarnya
(Wikipedia, 2011). semakin cepat akses internet yang dimiliki,
2.3.3 Mozilla Firefox Web Browser semakin cepat pula audit diselesaikan.
Mozilla Firefox (aslinya bernama Phoenix dan 2. Proxy, dengan Koneksi Proxy digunakan
kemudian untuk sesaat dikenal sebagai Mozilla untuk mengganti Internet Protocol / IP
Firebird) adalah penjelajah web antar-platform gratis sebagai cara untuk menyamarkan identitas
yang dikembangkan oleh Yayasan Mozilla dan ratusan diri saat melakukan analisa celah keamanan
sukarelawan. Versi 3.0 dirilis pada 17 Juni 2008 server web. adapun proxy adalah adalah
(Wikipedia, 2011). sebuah [peladen [(komputasi)peladen]]
2.4 Server Web (sistem komputer atau aplikasi) yang
Server web adalah sebuah perangkat lunak bertindak sebagai perantara permintaan dari
server yang berfungsi menerima permintaan HTTP atau klien mencari sumber daya dari server lain.
HTTPS dari klien yang dikenal dengan browser web Klien A terhubung ke peladen perantara,
dan mengirimkan kembali hasilnya dalam bentuk meminta beberapa servis, seperti berkas,
halaman-halaman web yang umumnya berbentuk koneksi, halaman web, atau sumber daya
dokumen HTML. Server web yang terkenal diantaranya lainnya, yang tersedia dari peladen yang
adalah Apache dan Microsoft Internet Information berbeda (Wikipedia, 2011).
Service (IIS). Apache merupakan server web antar-
platform, sedangkan IIS hanya dapat beroperasi di
sistem operasi Windows.
Server web juga dapat berarti komputer yang
berfungsi seperti definisi di atas (Wikipedia, 2011).
Gambar 3.1 Kerja Proxy
2.4.1 Komponen Server Web
Ada empat komponen dalam sistem aplikasi 3.1.2 Indentifikasi Kebutuhan Aplikasi
Identifikasi kebutuhan aplikasi dilakukan
web, yaitu klien yang biasanya web browser, web front-
untuk mengetahui konten dan media yang digunakan
end server, aplikasi server dan untuk sebagian besar
dalam audit server web.
aplikasi, database server. Diagram berikut
memperlihatkan bagaimana komponen bekerja.
1. Indentifikasi Analisa Keamanan Server Web dan tak terduga. Sebuah contoh akan
Berbagai macam cara untuk menganalisa menjadi URL berikut:
server web dan aplikasi didalamnya sehingga http://www.test.com/berita.php?idberita=1
dalam penelitian ini menggunakan beberapa Menggunakan HTTP Fuzzy dapat membuat
analisa tersebut, yaitu: aturan yang secara otomatis akan
a. Pada aspek Site Stucture, analisa yang mengganti bagian terakhir dari URL '1
dilakukan adalah analisa Web Scanning 'dengan angka antara 1 dan 999. Hanya
yaitu pada lingkungan aplikasi Web hasil yang valid akan dilaporkan. Tingkat
yang ada pada server web. Terbagi otomatisasi ini memungkinkan untuk
menjadi dua bagian, yaitu : dengan cepat menguji hasil dari 1000 query
- Crawling, adalah teknik menganalisa tanpa harus melakukan satu per satu.
struktur folder dan file yang tersedia di i. Authentication Tester, adalah melakukan
aplikasi web. dictionary attack terhadap halaman login
- Scanning, adalah teknik menganalisa yang menggunakan kedua HTTP (NTLM
folder dan file yang ada kemudian v1, v2 NTLM, digest) atau bentuk
mencari kelemahan keamanan didalam berdasarkan otentikasi. Biasa
sourcecode. menggunakan dua file teks standar (kamus)
b. Pada aspek Port Scan, analisa yang yang berisi daftar nama pengguna umum
dilakukan yakni analisa memetakan dan password. Dapat pula menambahkan
Port yang terbuka pada server web. sendiri kombinasi untuk file-file teks.
c. Pada Aspek Network Alert, analisa yang 2. Identifikasi Kebutuhan Hardware
dilakukan yakni mencatat kelemahan Kebutuhan hardware yang dicantumkan sesuai
jaringan yang terhubung ke server web. dengan hardware yang digunakan peneliti
d. Target Finding, adalah sebuah dalam melakukan penelitian ini, yaitu :
penelusur port yang memungkinkan a. Perangkat Laptop AXIOO NEON
Anda untuk mencari server web (port MNW dengan spesifikasi Processor
80, 443) dalam rentang alamat IP Core2Duo 2 GHz, Memory 2GHz, VGA
tertentu. Jika web server ditemukan, SIS Mirage 3 128Mb
pemindai juga akan menampilkan b. Modem Broadband TPLINK untuk
header respon server dan perangkat Sambungan Internet Broadband Telkom
lunak server. Speedy.
e. Sub Domain Scanning, Menggunakan 4. MEMULAI ANALISA SERVER WEB
berbagai teknik dan menebak-nebak Analisa dilakukan secara langsung melalui
nama sub domain umum, Sub domain internet (online realtime) dimulai pada tanggal 7 April
scanner memungkinkan identifikasi 2011 jam 21:45:00 dan diselesaikan tanggal 8 April
yang cepat dan mudah ke sub domain 2011 jam 08:55:25, selama 11 jam 10 menit. Karena
aktif. status situs pemkab saat penelitian berlangsung masih
f. Blind SQL Injection, Ideal untuk dalam status pengembangan (beta), maka bisa terjadi
penguji penetrasi, Blind SQL injection hasil pemetaan celah keamanan bisa berubah-ubah dan
adalah sebuah teknik ekstraksi basis menyebabkan hasil penelitian menjadi tidak valid lagi
data bertujuan untuk menganalisis lebih dalam waktu tertentu.
lanjut dan melaporkan kemungkinan 4.1 Penyamaran Identitas
kelemahan injeksi SQL. bekerja dengan Untuk menyamarkan identitas dalam
cara menghitung database, tabel, data melakukan audit server web, diperlukan penggantian
dump dan juga membaca file tertentu Internet Protocol/IP yang dimiliki dengan mengganti IP
pada sistem file dari web server jika milik proxy. berikut penerapannya menurut
eksploitasi SQL injection ditemukan. http://wazem.blogspot.com/2008/01/how-to-change-
g. HTTP Editing, memungkinkan untuk gnome-proxy-settings-on.html:
membuat permintaan HTTP dan a. Cek IP sebenarnya dapat dilakukan dengan
melakukan debug HTTP baik cara mengakses situs http://ip-adress.com
permintaan dan tanggapan. Ini juga terlihat IP sebenarnya milik klien adalah
mencakup sebuah encoding dan beserta ISP asal IP
decoding alat untuk encode / decode
teks dan URL untuk hash MD5, UTF-7
format dan banyak format lainnya.
h. HTTP Fuzzy, Dengan HTTP Fuzzy Gambar 4.1 IP klien sebenarnya
dapat meluncurkan serangkaian tes b. Pada Network Proxy Ubah IP dengan IP
fuzzy, untuk menguji aplikasi web milik Proxy
dalam menangani data acak, tidak valid
250-server42307.masterweb.net
f. SMTP server running A SMTP server is
running on TCP port 587. Information
gathered from this service:
250-server42307.masterweb.net
g. SSH server running A SSH server is
running on TCP port 22. SSH server
information: SSL server running [443]
A SSL3 server is running on TCP port 443.
SSL server information:
Version: SSL2,SSL3,TLS1
Certificate:
Gambar 4.2 Menggunakan Proxy pada Country Name: US
undaOS Organization Name: Equifax
C. Periksa kembali IP klien dengan cara Organizational Unit Name: Equifax Secure
mengakses http://ip-adress.com , jika IP sudah Certificate Authority:
berubah maka penyamaran identitas berhasil. Serial Number:
R-7YzbIknW3djPY/OsKMChOTTGz-8nsh
Country Name: ID
Organization Name: *.masterweb.net
Organizational Unit Name: GT70027190
Gambar 4.3 IP klien yang tampil setelah Organizational Unit Name:
menggunakan Proxy See www.rapidssl.com/resources/cps (c)10
Organizational Unit Name:
4.2 Web Application Discovery Domain Control Validated - RapidSSL(R)
4.2.1 Port Scan dan Knowledge Base Common Name: *.masterweb.net
Port Scan dilakukan untuk menganalisa port version: 2 number:
dan service yang terbuka pada server web, dengan 0fd0d3
menggunakan fasilitas pada nmap untuk melakukan print:
analisa port dengan cara penggunaannya dapat dilihat di bc2fa580dafb46267a47f00f118daaa6
alamat http://nmap.org/bennieston-tutorial/ dan hasil ID:
yang diperoleh, port yang terbuka pada server web 1.2.840.113549.1.1.5 start:Fri Mar 12
http://beta.kotimkab.go.id adalah : 03:51:17 UTC+0700 2010 end:Thu Mar 12
a. Open Port 25 / smtp 13:43:30 UTC+0700 2015 in:1434 days
b. Open Port 22 / ssh A TLS1 server is running on TCP port 443.
c. Open Port 21 / ftp SSL server information:
d. Open Port 80 / http Version: SSL2,SSL3,TLS1
e. Open Port 110 / pop3 Certificate:
f. Open Port 143 / imap Country Name: US
g. Open Port 443 / https Organization Name: Equifax
h. Open Port 587 / submission Organizational Unit Name: Equifax Secure
i. Open Port 873 / rsync Dari analisa port dan service yang
j. Open Port 993 / imaps 4.2.2 Informasi Server Web
k. Open Port 995 / pop3s Dalam pengujian mencari informasi server
l. Open Port 3306 / mysql web diketahui beberapa informasi penting, yaitu :
Dapat dilihat bahwa port yang terbuka selain Queried whois.apnic.net with "119.235.18.102"
http juga https, database yang digunakan mysql, terlihat inetnum: 119.235.18.0 - 119.235.18.255
dari port mysql yang terbuka, begitu pula terdapat port netname: MWN-INET-ID
email. Selanjutnya menganalisa service yang aktif pada descr: PT. Master Web Network
server web. hasil yang didapat adalah : descr: IT Solution Company
a. FTP server running An FTP server is descr: Gd. Cyber Lt. 5 Jl. Kuningan Barat
running on TCP port 21. No. 8 Jakarta Selatan 12710
b. Whois lookup Whois result for IP address country: ID
119.235.18.102: admin-c: SH1061-AP
c. IMAP server running An IMAP server is tech-c: SH1061-AP
running on TCP port 143. status: ASSIGNED NON-PORTABLE
d. POP3 server running A POP3 server is remarks: Send Spam & Abuse report to:
running on TCP port 110. support@masterwebnet.com
e. SMTP server running A SMTP server is mnt-by: MAINT-ID-INET
running on TCP port 25. Information changed: hostmaster@inet.net.id 20090902
gathered from this service:
changed: hostmaster@idnic.net 20100215 Systems (CMS) Joomla. Selanjutnya untuk analisa versi
source: APNIC Joomla yang digunakan yaitu dengan melihat struktur
route: 119.235.18.0/24 script pada file index.php.
descr: Route object of PT. Master Web
Network
descr: IT Solution Company
descr: Jakarta
country: ID
origin: AS24532
mnt-by: MAINT-ID-INET
changed: hostmaster@idnic.net 20090709
source: APNIC
person: Santoso Halim
Facebook: http://www.facebook.com/
profile.php?id=579811729
address: Pluit Permai 8 No.3A Gambar 4.2 Struktur Script pada File index.php
address: Jakarta-Utara Dapat diketahui bahwa versi Joomla yang
address: Indonesia digunakan adalah versi 1.5. Tahap selanjutnya adalah
country: ID menganalisis komponen pihak ketiga yang ditanamkan
phone: +62-21-30047799 pada script joomla.
fax-no: +62-21-30047798
e-mail: hostmaster@inet.net.id
nic-hdl: SH1061-AP
mnt-by: MAINT-ID-INET
changed: halim@inet.net.id 20061020
source: APNIC
NS1: dns3.masterwebnet.com
NS2: dns1.masterwebnet.com
Server: Apache Gambar 4.3 Struktur komponen tambahan
OS: Debian 5 Komponen pihak ketiga yang ditanamkan pada
Location: http://beta.kotimkab.go.id script Joomla adalah :
Informasi yang didapatkan diatas a. com_easybookreloaded oleh
menunjukkan bahwa situs beta.kotimkab.or.id dikelola http://joomla-extensions.kubik-
oleh pihak ketiga yaitu perusahaan hosting PT. Master rubik.de/ebr-easybook-reloaded, adalah
Web Network (www.masterwebnet.com) beralamat di komponen yang berfungsi sebagai modul
Jakarta-Utara, dengan atas nama Santoso Halim. buku tamu pada laman
Dipastikan server web ditempatkan di Jakarta Utara. http://beta.kotimkab.go.id/index.php?optio
4.2.3 Site Structure n=com_easybookreloaded&view=easyboo
Pemetaan struktur situs yang didapatkan dari kreloaded&Itemid=144
hasil web crawling adalah sebagai berikut : b. com_eventlist oleh http://www.schlu.net
adalah komponen yang berfungsi sebagai
modul pengaturan agenda kegiatan,
digunakan pada laman
http://beta.kotimkab.go.id/index.php?optio
n=com_eventlist&view=eventlist&Itemid=
139
c. com_phocadownload oleh
http://www.phoca.cz/phocadownload
adalah komponen yang berfungsi sebagai
modul yang memberikan fasilitas untuk
mengunduh berkas, digunakan pada laman
http://beta.kotimkab.go.id/index.php?optio
n=com_phocadownload&view=sections&It
emid=121
d. com_phocagallery oleh
http://www.phoca.cz/phocagallery adalah
komponen yang berfungsi sebagai modul
Gambar 4.1 Struktur Folder Utama album foto, digunakan pada laman
Dari pemetaan struktur folder situs http://beta.kotimkab.go.id/index.php?optio
beta.kotimkab.go.id dapat diketahui bahwa situs n=com_phocagallery&view=categories&It
menggunakan sebuah script Content Management emid=122
Kemudian memetakan dan menganalisa modul 4.3 Analisa Celah Keamanan pada Aplikasi
dan templat pihak ketiga yang digunakan pada situs Server Web
beta.kotimkab.go.id. 4.3.1 Celah Keamanan Jaringan
4.3.1.1 Network Alert
Port 8080 yang menjalankan layanan proxy
server terbuka untuk umum dapat diakses melalui
beta.kotimkab.go.id:8080, sehingga proxy server dapat
digunakan untuk terhubung ke port server web tanpa
terikat firewall.
Tingkat ancaman keamanan : Tinggi.
Potensi serangan :
proxy ini memungkinkan setiap orang untuk melakukan
Gambar 4.4 Struktur Modules dan Templates permintaan untuk port HTTP sewenang-wenang, seperti
Modul pihak ketiga yang digunakan adalah : membuka email dan telnet/ssh.
a. mod_hot_image_slider oleh
4.3.2 Celah Keamanan Aplikasi Web
http://www.hotjoomlatemplates.com adalah 4.3.2.1 Blind SQL Injection
modul yang berfungsi menampilkan gambar Menggunakan analisa pada aplikasi web yang
secara berotasi, digunakan pada halaman berhubungan dengan database SQL khususnya MySQL
index situs. yang terpasang pada server web beta.kotimkab.go.id.
b. mod_news_pro_gk4 oleh adapun teknik penggunaannya dapat dilihat pada laman
http://tools.gavick.com/newshowpro.html http://packetstormsecurity.org/files/95588/Tutorial-
adalah modul yang berfungsi mengatur Blind-SQL-Injection-Referensi.html
tampilan berita pada situs, digunakan pada
SQL injection merupakan kerentanan yang
halaman index situs.
c. mod_vvsit_counter oleh memungkinkan penyerang untuk mengubah data
http://vinaora.com adalah modul yang melalui backend SQL dengan memanipulasi input
berfungsi menghitung jumlah pengunjung pengguna. Sebuah SQL injection terjadi ketika aplikasi
pada situs. web menerima input pengguna yang langsung
Templat pihak ketiga yang berfungsi sebagai ditempatkan dalam sebuah pernyataan SQL dan tidak
tampilan atau layout situs beta.kotimkab.go.id adalah menyaring karakter yang berbahaya.
menggunakan jsn epic pro yang dapat di beli melalui
Request 1:
http://www.joomlashine.com/?task=view
POST
/index.php?Itemid=139&option=com_eventlist
&view=eventlist HTTP/1.1
Content-Length: 84
Content-Type: application/x-www-form
--------dipotong untuk menyingkat--------------
Host: beta.kotimkab.go.id:80
Connection: Keep-alive
Accept-Encoding: gzip,deflate
--- dipotong untuk menyingkat--------------

filter=&filter_order=%24%7bCELAH_KEA
Gambar 4.5 Templat jsn epic pro MANAN_DISINI%7d&filter_order_Dir=&fil
ter_type=title&limit=5
HTML Response 1:

Gambar 4.6 Templat jsn epic pro pada situs


beta.kotimkab.go.id Gambar 4.5 Celah Keamanan pada Modul Agenda
Request 2: Tingkat ancaman keamanan : kecil
POST Potensi ancaman keamanan :
/index.php?Itemid=139&option=com_eventlist File usang atau tidak terhubung dengan file lainnya
biasanya terjadi saat pengembang melakukan backup
&view=eventlist HTTP/1.1
file, terkadang dapat berisikan informasi yang sensitif
Content-Length: 91 seperti informasi koneksi database atau informasi
Content-Type: application/x-www-form- penting lainnya.
urlencoded 4.3.2.2.2 Broken Link
--- dipotong untuk menyingkat-------------- Ditemukan beberapa broken link / link rusak
Host: beta.kotimkab.go.id:80 yang didapat dari penelusuran sourcecode navigasi tiap-
Connection: Keep-alive tiap file, yaitu:
/index.php?Itemid=26&option
Accept-Encoding: gzip,deflate
=com_contact&view=contact
--- dipotong untuk menyingkat--------------
Request :
filter=&filter_order=a.dates&filter_order_Dir= GET
%24%7bCELAH_KEAMANAN_DISINI%7
/index.php?Itemid=26&option=com_contact&
d&filter_type=title&limit=5
view=contact HTTP/1.1
HTML Response2: Pragma: no-cache
--------------dipotong-------------------------
Host: beta.kotimkab.go.id
Connection: Keep-alive
Response :

Gambar 4.6 Celah Keamanan pada Modul Agenda


Dari hasil percobaan menggunakan teknik
SQL Injection, ditemukan beberapa celah keamanan
khususnya pada modul Agenda yang merupakan
komponen untuk joomla dari pihak ketiga bernama
com_eventlist oleh http://www.schlu.net. Berikut untuk
kasus keamanan serupa menyangkut komponen Gambar 4.7 Broken Link pada Situs
tersebut: Tingkat ancaman keamanan : Rendah
a. http://www.cvedetails.com/cve/CVE-2007- Potensi ancaman keamanan :
4509/ Broken link terkadang dapat berisikan informasi yang
b. http://www.milw0rm.com/exploits/4309 sensitif seperti informasi database atau informasi
Tingkat ancaman keamanan : Sedang. penting lainnya.
Potensi serangan : 4.3.2.2.3 Templat Joomla
Penyerang dapat melakukan modifikasi beberapa file Script pada situs beta.kotimkab.go.id
sistem atau informasi, tetapi penyerang tidak memiliki menggunakan CMS Joomla versi 1.5 dengan
kendali atas apa yang dapat dimodifikasi. Tetapi jika menambah templat bernama jsn epic pro yang dapat di
diimplikasikan pada link beli melalui http://www.joomlashine.com/?task=view ,
Layanan Pengadaan Secara Elektronik (LPSE) hasil analisa source code pada file index.php, templat
http://beta.kotimkab.go.id/index.php?option=com_bann merupakan versi berbayar / non-free tetapi tampak
ers&task=click&bid=4 milik Kabupaten Kotawaringin dalam sourcecode templat tidak mencantumkan kode
Timur (http://lpse.kotimkab.go.id/eproc/app), maka lisensinya.
potensi pemalsuan terhadap halaman (web spoofing,
http://en.wikipedia.org/wiki/Website_spoofing)
Layanan Pengadaan Secara Elektronik (LPSE) bisa
terjadi dan kerugian yang diakibatkannya pun bisa
menjadi sangat besar.
4.3.2.2 Web Scanning Gambar 4.8 templat JSN Epic Pro tanpa lisensi
4.3.2.2.1 Berkas yang Usang Tingkat ancaman keamanan : Tinggi
Ditemukan beberapa file yang tidak memiliki Potensi ancaman keamanan :
fungsi / tidak pernah terhubung dengan file lainnya, Jika templat yang digunakan situs beta.kotimkab.go.id
yaitu index2.php, dapat diakses pada memang tidak memiliki kode lisensi, maka hal ini dapat
http://beta.kotimkab.go.id/index2.php
digolongkan dalam pembajakan/pelanggaran atas hak http://extensions.joomla.org/extensions/calendars-a-
cipta. events
4.4 Solusi Perbaikan Atas Celah Keamanan 4.3.2.2 Solusi Web Scanning
Hasil dari analisa dan penemuan atas celah 4.3.2.2.1 Solusi Berkas yang Usang
keamanan, maka solusi perbaikan yang disarankan Seluruh berkas yang sifatnya adalah berkas
peneliti dipaparkan menjadi beberapa bagian. usang atau tidak berfungsi dalam situs seharusnya
4.4.1 Solusi Celah Keamanan Jaringan dihapus untuk mencegah kelalaian yang menyebabkan
4.4.1.1 Solusi Network Alert potensi kebocoran informasi penting pada server web.
Konfigurasi Proxy Server yang Hapus berkas index2.php dari folder web
berdampingan dengan server web beta.kotimkab.go.id beta.kotimkab.go.id.
tergolong sebagai open public proxy 4.3.2.2.2 Solusi Broken Link
(http://en.wikipedia.org/wiki/Open_proxy),yang artinya Seluruh link yang sifatnya adalah broken link
setiap orang dapat terhubung dan menggunakan layanan dalam sourcecode seharusnya dihapus untuk mencegah
proxy tersebut. Untuk server web milik kelalaian yang menyebabkan potensi kebocoran
beta.kotimkab.go.id yang bukan sebagai layanan publik informasi penting pada server web. Hapus link
seharusnya melakukan konfigurasi proxy menjadi /index.php?Itemid=26&option=com_contact&view=co
reverse proxy ntact pada index.php.
(http://id.wikipedia.org/wiki/Proxy_server) sehingga 4.3.2.2.3 Solusi Templat Joomla
service seperti email dan telnet/ssh menjadi lebih aman Templat yang digunakan oleh
dan bebas dari penyalahgunaan IP proxy. Rujukan cara beta.kotimkab.go.id tidak memiliki kode lisensi, jadi
konfigurasi revese proxy terdapat pada laman tambahkan kode lisensi yang didapatkan saat pembelian
http://emka.web.id/linux/ubuntu/2010/panduan- atau ganti templat dengan yang lain yang sifatnya tidak
menginstall-varnish-web-acceleratorreverse-proxy-di- melanggar hak paten atau gratis.
debianubuntu/ 4.3.2.2.4 Solusi Lain-lain
4.3.2 Solusi Celah Keamanan Aplikasi Web Joomla saat ini (April 2011) telah
4.3.2.1 Solusi Blind SQL Injection meluncurkan versi terbaru yakni versi 1.6 dengan
Blind SQL Injection dapat dilakukan bila pesan tingkat keamanan yang lebih baik. Sebaiknya selalu
error / warning pada script diaktifkan, sehingga perusak upgrade Joomla dengan versi yang terbaru, sehingga
bisa mengetahui informasi penting seperti nama mengurangi potensi ancaman keamanan. Cara
database, tabel dan kolom yang digunakan pada situs. melakukan upgrade dapat dilihat pada rujukan
jika pesan error dan warning tidak tampak, maka akan http://docs.joomla.org/Tutorial:Migrating_from_Joomla
mempersulit kerja dari teknik Blind SQL Injection _1.5_to_Joomla_1.6
tersebut. untuk menonaktifkan pesan error dan warning Begitu juga untuk setiap modul dan komponen
pada php dapat dilakukan dengan cara: yang digunakan, lakukan upgrade versi secara berkala
a. Menambah kode error_reporting(0); pada untuk menjamin keamanan sourcecode dari bug pada
sourcecode script tersebut.
5. KESIMPULAN DAN SARAN
5.1 Kesimpulan
Kesimpulan dari Penelitian yang berjudul “ AUDIT
SISTEM KEAMANAN SERVER WEB SESUAI
STANDAR PERMENKOMINFO TENTANG
KEAMANAN SERVER WEB PEMERINTAHAN”
adalah sebagai berikut :
Gambar 4.9 Error terjadi pada mysql.php
1. Situs Web milik Pemerintah baik Pemerintah
tempatkan kode error_reporting(0); di baris Pusat maupun Pemerintah Daerah yang di
awal php pada error yang terdapat pada file hosting pada server web memiliki standar
mysql.php. Rujukan untuk cara penggunaan keamanan yang telah diatur oleh Peraturan
error_reporting(0) dapat diakses pada Kementerian KOMINFO, sehingga dalam
http://www.w3schools.com/PHP/func_error_re pembangunan dan pemeliharaannya harus
porting.asp berdasarkan standar yang telah ditetapkan
b. Konfigurasi php.ini, set display_errors = tersebut .
Off. sehingga setiap error dan warning yang 2. Server web dan situs web milik Kabupaten
terjadi pada setiap script php otomatis tidak Kotawaringin Timur di hosting diluar
ditampilkan dilayar. Kabupaten Kotawaringin Timur dan
Cara lain mengatasi celah keamanan ini adalah dikembangkan oleh perusahaan umum
dengan tidak menggunakan sama sekali untuk pengelola jasa web hosting sebagai pihak
komponen com_eventlist dan mengganti komponen lain ketiga.
yang fungsinya sama, daftar komponen pengganti 3. Server web tempat situs dihosting dan situs
com_eventlist dapat dilihat di web masih belum memenuhi standar
keamanan server web untuk Pemerintahan
yang telah diatur Peraturan Kementerian [4] Wardhana, D., 2007, Arsitektur Dan Prototipe
KOMINFO. Keamanan Database Multilevel,
4. Templat yang digunakan oleh situs web Institut Teknologi Bandung.
beta.kotimkab.go.id tidak memiliki kode [5] http://www.depkominfo.go.id
lisensi yang mengakibatkan potensi [6] http://www.wikipedia.com
pelanggaran atas hak cipta / menggunakan [7] http://www.google.com
templat bajakan. [8] http://wazem.blogspot.com/2008/01/how-to-
5. Analisa dilakukan secara langsung melalui change-gnome-proxy-settings-on.html
internet (online realtime) dimulai pada tanggal [9] http://www.ip-adress.com
7 April 2011 jam 21:45:00 dan diselesaikan [10] http://nmap.org/bennieston-tutorial
tanggal 8 April 2011 jam 08:55:25, selama 11 [11] http://joomla-extensions.kubik-rubik.de/ebr-
jam 10 menit. Karena status situs pemkab saat [12] http://easybook-reloaded
penelitian berlangsung masih dalam status [13] http://www.schlu.net
pengembangan (beta), maka bisa terjadi hasil [14] http://www.phoca.cz
pemetaan celah keamanan bisa berubah-ubah [15] http://www.hotjoomlatemplates.com
dan menyebabkan hasil penelitian menjadi [16] http://tools.gavick.com/newshowpro.html
tidak valid lagi dalam waktu tertentu. [17] http://vinaora.com
[18] http://packetstormsecurity.org/files/95588/
5.2 Saran Tutorial-Blind-SQL-Injection-Referensi.html
Saran yang perlu diperhatikan adalah sebagai [19] http://www.joomlashine.com
berikut : [20] http://joomla.org
1. Jika situs web di hosting pada server web [21] http://www.w3schools.com/PHP/
komersil / perusahaan umum sebagai pihak func_error_reporting.asp
ketiga, maka sebaiknya perusahaan tersebut
mengetahui dengan benar standar keamanan
server web untuk Pemerintahan yang diatur
oleh Peraturan Kementeri KOMINFO.
2. Ada baiknya server web yang menghosting
situs Pemerintah di bendakan baik dari segi
konfigurasi software ataupun bisa dari
hardware sever web itu sendiri. Tidak
mencampurkan user penyewa hosting umum
dengan user pemerintahan.
3. Lakukan audit, upgrade software dan
hardware secara berkala, pemeliharaan server
web sama pentingnya dengan pengadaan
server web dan situs web itu sendiri.
4. Sangat disarankan situs Pemerintahan seperti
kotimkab.go.id di hosting sendiri, dengan
server web sendiri yang diolah oleh
Pemerintah Daerahnya sendiri, karena situs
web merupakan cerminan identitas dan
kredibilitas teknologi yang dimiliki oleh
Daerah tersebut.

DAFTAR PUSTAKA

[1] Saumil Shah . (2003, Desember 8). One-way


Web Hacking: http://net-
square.com/papers/one_way/one_way.html
[2] Tedjaprawira, Y., 2007, Keamanan Sistem
Informasi, Institut Teknologi Bandung,
Bandung
[3] National Computer Security Center, A Guide
To Understanding Discretionary Access
Control in Trusted Systems, Version 1,
National Computer Security Center, 30
September 1987.