Makala H
Makala H
MAKALAH
Oleh :
Nama :NailusSakdah
NIM :1657301089
Puji syukur kami panjatkan kehadirat Allah SWT yang telah memberikan
rahmat serta karunia-NYA kepada saya sehingga saya berhasil menyelesaikan
Tugas Makalah ini dengan tepat waktunnya yang berjudul “ Pengenalan Aplikasi
Owasp “.
Makalah ini memuat tentang pentingnya keamanan web beserta sub – sub
bagiannya. Keamanan website di ciptakan oleh programmer-programer handal
untuk mengamankan setiap website. Karena dengan tanpa adanya pengamanan
dalam website akan memberikan peluang besar kepada cracker untuk mencuri
bahkan mencari kelemahan dalam website itu sehingga kemungkinan terjadinya
kehilangan dokumen-dokumen yang penting tidak bisa dihindarkan lagi. Lebih
tragisnya lagi apabila tanpa adanya keamanan yang terprogram bisa-bisa website
itu dapat diblokir oleh cracker.
Akhir kata penulis ucapkan terimakasih kepada semua pihak yang telah
membantu dalam penyelesaian makalah ini. Kritik dan saran pembaca sangat
penulis harapkan untuk penyempurnaan makalah ini dimasa mendatang.
i
ABSTRAKSI
ii
DAFTAR ISI
ABSTRAKSI......................................................................................................................... ii
iii
BAB
PENDAHULUAN
1.2. Tujuan
Makalah ini dibuat untuk memenuhi tugas mata kuliah PRAKTIKUM
KEAMANAN JARINGAN KOMPUTER. Selain itu agar para mahasiswa atau
yang membaca makalah ini bisa tau akan pentingnya keamanan dalam website
dengan baik. Serta sebagai wawasan pengetahuan perkembangan keamanan di
dunia maya dan memberi pengetahuan baru bagi para pembaca, khususnya bagi
penulis tentang pentingnya sebuah keamanan website.
1
BAB II
PEMBAHASAN
OWASP (Open Web Application Security Project) Zap. Zed Attack Proxy (
ZAP) adalah aplikasi untuk melakukan pentest untuk menemukan vulnerabilities dalam
suatu web applications dengan cara mudah, ZAP menyediakan scanner automatis sebaik
bila kita menggunakan tool untuk menemukan vulnerabilities secara manual.
BAGIA
BAGIAN N
KIRI KANAN
2
1
BAGIAN
BAWAH
3
Gambar 1. Tampilan OWASP ZAP
Keterangan :
Bagian kiri :
Bagian kiri jendela ZAP menunjukkan tombol dropdown “Konteks” dan “Situs”. Kadang-
kadang, beberapa situs web dapat ditargetkan untuk pemindaian dan muncul di bawah dropdown
“Situs”. Namun, situs web tertentu mungkin menarik. Dalam kasus khusus ini, harus ditentukan
di bawah bagian "Konteks". Anggap ini sebagai ruang lingkup pengujian.
Bagian Kanan:
Di sini, disediakan bagian URL di mana kita harus menentukan target untuk pemindaian.
Tombol "Serang" memulai serangan pada target dan tombol "Stop" menghentikan serangan.
Seorang penguji keamanan mungkin tertarik secara manual menyelidiki situs web untuk
kerentanan. ZAP memungkinkannya meluncurkan browser pilihan dengan URL yang dimuat
untuk pengujian manual. Ini dapat dicapai dengan mengklik "Luncurkan Browser" di bawah
URL. Masalah yang terdeteksi masih dicatat dan dikirim ke bagian bawah.
2
Bagian bawah:
Bagian ini berisi enam tab yang sangat vital dalam menunjukkan aktivitas yang terjadi selama
pemindaian kerentanan. Di bawah tab adalah bilah kemajuan yang menampilkan progres
pemindaian, jumlah permintaan yang dikirim, dan memungkinkan untuk mengekspor detail
dalam format CSV. Tab "History" menampilkan situs web yang sedang diuji. Dalam hal ini
menguji hanya satu target, sehingga catatan riwayat akan menunjukkan satu entri.
3
Gambar 3. Mode pada OWASP ZAP
Safe Mode: Adalah mode scan yang pasif dan tidak menghasilkan ‘noise’, yang
mematikan semua fitur berbahasa ketika sedang discan.
Protected Mode : Adalah mode scan yang hanya mescan webserver dengan
jangkauan yang khas atau khusus saja. Pada mode ini mengurangi istilah ‘noise’.
Standard Mode : Adalah mode scan yang mescan apa saja yang dianggap
bersangkut paut atau relevan.
Attack Mode: Adalah mode scan yang mescan secara aktif dalam jangkauan
yang penuh. Termasuk kepada mode scan yang yang paling menghasilkan
‘noise’.
Saya sangat merekomendasikan pengguna untuk menggunakan mode scan yang
‘protected mode’. Jika kamu ingin memaksimalkan jarak penglihatan web server, maka
gunakanlah ‘standard mode’. Hanya mengingatkan kedua mode yaitu ‘safe mode’ dan
‘protected mode’ akan ditiadakan dalam fitur kedepan.
Terdapat isitilah yang ada pada keamanan jaringan, yaitu :
Spider crawling
Fuzzing
Force browsing
Breaking
Resending requests
4
2.1.3. File yang Menginstuksikan Search Engine
Setelah memulai penyerangan terhadap web server, kamu akan mendapatkan pemberitahuan
sebuah file text yang bernama robots.txt. File tersebut adalah untuk mengatakan pada search
engine direktori mana atau file mana yang tidah harus didaftarkan.
Tab "Alerts" memberikan detail lebih lanjut tentang masalah yang ditemukan pada target yang
sedang dipindai. Masalah diurutkan berdasarkan tingkat keparahannya, dengan "Kritis" dianggap
tertinggi pada indeks risiko dan diberi warna merah, "Tinggi" dengan risiko tinggi dan oranye
berbayang, "Sedang" dengan risiko agak tinggi dan kuning berbayang, "Rendah" dari yang bisa
menyebabkan risiko tinggi atau sedang, paparan informasi sensitif atau kompromi target, dan
teduh biru.seperti yangterlihat pada gambar 6. Ada 8 masalah yang ditemukan
6
2.1.7. Website yang Diluar Jangkauan
Istilah Spider crawls terkadang pada suatu website yang mana ditemukan tidak dalam
jangkauan.
Tab "Spider" menunjukkan file yang dirayapi (ditemukan) dalam aplikasi web. Spidering dapat
disamakan dengan Fuzzing, di mana direktori dan file yang berada di situs web ditemukan dan
dicatat untuk pemindaian kerentanan aktif selanjutnya.Spidering penting dalam menemukan titik
masuk ke dalam aplikasi web dan tautan apa yang berada di luar jangkauan serangan. Bilah
progres penting dalam menunjukkan kemajuan spidering juga.
Get meminta sebuah URL penuh dengan informasi yang bisa diditandai dan
bisa dieksekusi ulang nantinya.
POST meminta sebuah URL tanpa informasi yang tidak bisa ditandai dan
tidak bisa dieksekusi ulang nantinya.Contoh dari GET dan POST untuk
mengirimkan halaman id :
(GET) http://example.com/page.php?id=2
(POST) http://example.com/page.php
Untuk kenyamanan penggunaan, Metode GET lebih baik dari pada metode POST.
Bagaimanapun, dari sudut pandang keamanan, metode GET kurang aman daripada
method POST, yang mana method post itu sendiri tidak akan pernah menyimpan
parameter ke jejak browser atau log pada webserver. Metode GET bisa gunakan untuk
7
mengajukan data yang tidak sensitive seperti id halaman, yang mana pada method POST
harus digunakan pada saat mengirimkan data yang sensitive seperti username dan
password.
Laporan tersebut berisi informasi penting, termasuk ringkasan peringatan yang diklasifikasikan
menurut tingkat keparahannya, deskripsi masing-masing kerentanan, URL yang terpengaruh,
metode yang digunakan untuk mendapatkan file yang terpengaruh, parameter yang dapat
disuntikkan di mana muatan diterapkan, dan, akhirnya , muatan berbahaya.
9
BAB III
KESIMPULAN
OWASP Zed Attack Proxy (ZAP) adalah salah satu alat pengujian keamanan aplikasi web paling
populer di dunia.bersadarkan uraian diatas dapat kita lihat bahawa dengan menggunakan alat ini
kita dapat mengetahui kelemahan atau kerentanan dari situs web Alat ini menggabungkan
kemampuan untuk melakukan pemindaian otomatis serta pentester untuk pengujian keamanan
manual.
10
DAFTAR PUSTAKA
https://www.embeddedhacker.com/2019/08/hacking-tutorial-rp-web-scanning/
https://resources.infosecinstitute.com/introduction-owasp-zap-web-application-security-
assessments/#gref
11