Penerapan Pengujian Keamanan Web Server Menggunakan Metode OWASP versi 4

(Studi Kasus Web Server Ujian Online)

Mohmmad Muhsin, Adi Fajaryanto

Fakultas Teknik
Universitas Muhammadiyah Ponorogo
Email : mmuhsin69@gmail.com, adifajaryanto@gmail.com

Abstrak

Fakultas Teknik Universitas Muhammadiyah Ponorogo telah menerapkan Ujian Tengah

Semester dan Ujian Akhir Semester menggunakan aplikasi “Si Ujo (Sistem Ujian Online)
berbasis web. Sejak tahun 2012 sampai tahun 2014, Si Ujo telah beberapa kali mengalami
pengembangan baik dari sisi fitur maupun data yang disimpan. Data tersebut menyimpan data
nilai matakuliah setiap mahasiswa teknik Universitas Muhammadiyah Ponorogo. Mengingat
pentingnya data yang tersimpan maka perlu diterapkan pengujian keamanan dari aplikasi Si
Ujo. Pengujian keamanan tersebut dilakukan untuk mengetahui tingkat kerentanan agar
terhindar dari serangan dari pihak yang tidak bertanggung jawab. Salah satu metode untuk
menguji aplikasi berbasis web adalah metode OWASP (Open Web Application Security Project)
versi 4 yang dikeluarkan oleh owasp.org sebuah organisasi non profit yang berdedikasi pada
keamanan aplikasi berbasis web. Hasil pengujian menggunakan OWASP versi 4 menunjukkan
bahwa manajemen otentifikasi, otorisasi dan manajemen sesi belum diimplementasikan dengan
baik sehingga perlu dilakukan perbaikan lebih lanjut oleh pihak stake holder Fakultas Teknik
Universitas Muhammadiyah Ponorogo

Kata kunci: web server, pentest, owasp, framework.

PENDAHULUAN kerentanan agar terhindar dari serangan

Tahun 2012 Fakultas Teknik dari pihak yang tidak bertanggung jawab.
Universitas Muhammadiyah Ponorogo telah Salah satu metode untuk menguji
menerapkan Ujian Tengah Semester dan aplikasi berbasis web adalah metode
Ujian Akhir Semester menggunakan aplikasi OWASP (Open Web Application Security
“Si Ujo (Sistem Ujian Online) berbasis web. Project) versi 4 yang dikeluarkan oleh
Sejak tahun 2012 sampai tahun 2014, Si Ujo owasp.org sebuah organisasi non profit
telah beberapa kali mengalami yang berdedikasi pada keamanan aplikasi
pengembangan baik dari sisi fitur maupun berbasis web. Metode ini bebas digunakan
data yang disimpan. oleh siapa saja yang ingin mengetahui
Data yang tersimpan pada database kerentanan dari sebuah aplikasi web.
Si Ujo berdasarkan hasil wawancara dengan Dari penjelasan pada latar belakang
admin Si Ujo telah mencapai 100 megabyte. diatas maka dilakukan penelitian untuk
Database tersebut menyimpan data nilai menerapkan pengujian keamanan aplikasi
matakuliah setiap mahasiswa teknik Ujian Online menggunakan metode OWASP
Universitas Muhammadiyah Ponorogo. versi 4 agar dapat diketahui tingkat
Mengingat pentingnya data yang tersimpan kerentanan yang ada.
maka perlu diterapkan pengujian keamanan
dari aplikasi Si Ujo. Pengujian keamanan
tersebut dilakukan untuk mengetahui tingkat

Multitek Indonesia Vol. 9, No. 1 Juni 2015 31

PERUMUSAN MASALAH TINJAUAN PUSTAKA
Melihat latar belakang diatas maka Penetration Test
akan rumusan masalah dari penelitian ini Pengujian keamanan dapat
adalah sebagai berikut : melakukan tiga jenis test (Whitaker &
1. Bagaimana mengidentifikasi kerentanan Newman, 2005), antara lain :
aplikasi Ujian Online Fakultas Teknik 1. Black-box test, penetration tester tidak
Universitas Muhammadiyah Ponorogo? memiliki pengetahuan tentang jaringan
2. Bagaimana hasil pengujian kerentanan perusahaan sebelumnya. Apabila test ini
aplikasi Ujian Online menggunakan dilakukan maka tester mungkin akan
metode OWASP versi 4? diberikan alamat situs web atau alamat
3. Bagaimana analisa hasil dari penerapan IP dan diberitahu untuk mencoba
metode OWASP versi 4 pada aplikasi menyusup seolah-olah ia seorang hacker
Ujian Online? jahat luar.
2. White-box test, tester memiliki
TUJUAN pengetahuan tentang jaringan internal
Tujuan dari penelitian ini adalah : yang lengkap. Tester mungkin diberikan
1. Mengetahui kerentanan aplikasi Ujian peta jaringan atau daftar sistem operasi
Online Fakultas Teknik Universitas yang ada dan aplikasi yang terinstall
Muhammadiyah Ponorogo sebelum melakukan tes. Meskipun bukan
2. Mengetahui hasil pengujian kerentanan yang paling representatif dari serangan
aplikasi Ujian Online Fakultas Teknik luar, tes jenis ini merupakan yang paling
Universitas Muhammadiyah Ponorogo akurat karena menyajikan skenario
3. Mengetahui hasil analisa dari penerapan terburuk di mana penyerang memiliki
pengujian metode OWASP versi 4 pengetahuan lengkap tentang jaringan
yang ada.
BATASAN MASALAH 3. Gray-box test, tester memposisikan diri
Batasan masalah dalam objek penelitian ini sebagai karyawan dalam suatu
adalah: perusahaan. Tester diberikan akun di
1. Studi yang dilakukan hanya terbatas jaringan internal dan akses standar ke
pada pengujian keamanan aplikasi web jaringan. Tes ini dilakukan untuk menilai
menggunakan framework OWASP versi ancaman internal dari karyawan dalam
4 fokus pada Authentication Testing, perusahaan.
Authorization Testing, Session
Management Testing. OWAPS versi 4
2. Metode pengujian keamanan diterapkan OWASP merupakan organisasi non-
pada pemodelan aplikasi Ujian Online profit amal di Amerika Serikat yang didirikan
Fakultas Teknik Universitas pada tanggal 21 April 2004 yang berdedikasi
Muhammadiyah Ponorogo untuk membuat framework pengujian
keamanan yang bebas digunakan oleh
siapa saja.

32 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

 Framework yang digunakan pada hak-hak istimewa yang ditugaskan untuk
OWASP versi 4 adalah sebagai berikut : tester.
 Authentication Testing  Session Management Testing
Otentikasi merupakan tindakan Session Management didefinisikan
membangun dan mengkonfirmasi sebagai himpunan semua kontrol yang
sesuatu bahwa klaim yang dibuat adalah mengatur interaksi full state antara
benar. Otentikasi sebuah objek dapat pengguna dan aplikasi berbasis web
berarti mengkonfirmasikan sumbernya, (Matteo Meucci and Friends : 2014). Ini
sedangkan otentikasi seseorang sering secara luas mencakup apa pun dari
terdiri dari verifikasi identitasnya. bagaimana otentikasi pengguna
Otentikasi tergantung pada satu atau dilakukan, bagaimana mereka logout.
lebih faktor otentikasi. Lingkungan aplikasi web yang
Dalam keamanan komputer, populer, seperti ASP dan PHP,
otentikasi adalah proses mencoba untuk memberikan pengembang dengan built-
memverifikasi identitas digital pengirim in rutinitas penanganan sesi. Beberapa
komunikasi. Sebuah contoh umum dari jenis identifikasi token biasanya akan
proses tersebut adalah log proses. dikeluarkan, yang akan disebut sebagai
Pengujian skema otentikasi berarti "ID Sesi" atau Cookie.
memahami bagaimana proses otentikasi
bekerja dan menggunakan informasi METODE PENELITIAN
tersebut untuk menghindari mekanisme Metode penelitian ini diselesaikan
otentikasi. dengan tahap-tahap kegiatan dalam
 Authorization Testing Gambar 3.1.
Otorisasi merupakan konsep yang
Studi Literatur
memungkinkan akses ke sumber daya
bagi mereka yang diizinkan untuk
Identifikasi Kerentanan Sistem
menggunakannya. Pengujian untuk
otorisasi berarti memahami bagaimana
Pengujian Penetrasi OWASP versi 4
proses otorisasi bekerja, dan
menggunakan informasi tersebut untuk Analisis dan Pelaporan
menghindari mekanisme otorisasi.
Otorisasi adalah proses yang Gambar 3.1 Tahapan Penelitian
datang setelah otentikasi berhasil,
sehingga tester akan memverifikasi titik Studi Literatur
ini setelah ia memegang identitas yang Tahap ini bertujuan untuk
sah. Selama ini jenis penilaian, harus menjelaskan kajian pustaka dari teori-teori
diverifikasi apakah mungkin untuk penunjang yang mendukung konstruksi
memotong skema otorisasi, menemukan penelitian. Kegiatan ini dilakukan dengan
kerentanan jalur traversal, atau membaca buku, jurnal, artikel laporan
menemukan cara untuk meningkatkan penelitian, dan situs-situs di internet.

Multitek Indonesia Vol. 9, No. 1 Juni 2015 33

Identifikasi Kerentanan Sistem proses otorisasi bekerja, dan
Identifikasi kerentanan pada model menggunakan informasi tersebut untuk
web server IKIP PGRI Madiun menghindari mekanisme otorisasi.
menggunakan aplikasi Acunetix. Otorisasi adalah proses yang
datang setelah otentikasi berhasil,
Implementasi Pengujian OWAPS versi 4 sehingga tester akan memverifikasi titik
OWASP merupakan organisasi non- ini setelah ia memegang identitas yang
profit amal di Amerika Serikat yang didirikan sah. Selama ini jenis penilaian, harus
pada tanggal 21 April 2004 yang berdedikasi diverifikasi apakah mungkin untuk
untuk membuat framework pengujian memotong skema otorisasi, menemukan
keamanan yang bebas digunakan oleh kerentanan jalur traversal, atau
siapa saja. menemukan cara untuk meningkatkan
Framework yang digunakan pada hak-hak istimewa yang ditugaskan untuk
OWASP versi 4 adalah sebagai berikut : tester.
 Authentication Testing  Session Management Testing
Otentikasi merupakan tindakan Session Management didefinisikan
membangun dan mengkonfirmasi sebagai himpunan semua kontrol yang
sesuatu bahwa klaim yang dibuat adalah mengatur interaksi full state antara
benar. Otentikasi sebuah objek dapat pengguna dan aplikasi berbasis web
berarti mengkonfirmasikan sumbernya, (Matteo Meucci and Friends : 2014). Ini
sedangkan otentikasi seseorang sering secara luas mencakup apa pun dari
terdiri dari verifikasi identitasnya. bagaimana otentikasi pengguna
Otentikasi tergantung pada satu atau dilakukan, bagaimana mereka logout.
lebih faktor otentikasi. Lingkungan aplikasi web yang
Dalam keamanan komputer, populer, seperti ASP dan PHP,
otentikasi adalah proses mencoba untuk memberikan pengembang dengan built-
memverifikasi identitas digital pengirim in rutinitas penanganan sesi. Beberapa
komunikasi. Sebuah contoh umum dari jenis identifikasi token biasanya akan
proses tersebut adalah log proses. dikeluarkan, yang akan disebut sebagai
Pengujian skema otentikasi berarti "ID Sesi" atau Cookie.
memahami bagaimana proses otentikasi
bekerja dan menggunakan informasi PEMBAHASAN
tersebut untuk menghindari mekanisme Identifikasi Kerentanan
otentikasi. Identifikasi kerentanan dalam
 Authorization Testing penelitian ini menggunakan aplikasi
Otorisasi merupakan konsep yang Acunetix untuk mengetahui tingkat
memungkinkan akses ke sumber daya kerentanan yang ada. Berikut adalah hasil
bagi mereka yang diizinkan untuk scan Acunetix :
menggunakannya. Pengujian untuk
otorisasi berarti memahami bagaimana

34 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

Scan of 192.168.0.200

Scan details

Scan information
Starttime 07/07/2015 8:57:45
Finish time 07/07/2015 9:02:52
Scan time 5 minutes, 7 seconds
Profile Default

Server information
Responsive True
Server banner Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l
mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1
Server OS Windows
mod_perl/2.0.4 Perl/v5.10.1
Server technologies PHP,mod_ssl,mod_perl,OpenSSL,Perl

Threat level
Acunetix Threat Level 3
One or more high-severity type vulnerabilities have been
discovered by the scanner. A malicious user can exploit these
vulnerabilities and compromise the backend database and/or
deface your website.
Alerts distribution

Total alerts found 316

High 3
Medium 144
Low 12
Informational 157

Executive summary

Alert group Severity A

Cross Site Scripting High 3
l
Apache httpd Remote Denial of Service Medium 1
e
Application error message Medium 2
Backup files Medium r1
Directory Listing Medium t1
Error message on page Medium 5
3
PHP hangs on parsing particular strings as floating point number Medium 1
c4
Login page password-guessing attack Low 1
o
u
n
Multitek Indonesia Vol. 9, No. 1 Juni 2015 35 t
 Session Cookie without HttpOnly flag set Low 4
Session Cookie without Secure flag set Low 4
TRACE method is enabled Low 1
TRACK method is enabled Low 1
User credentials are sent in clear text Low 1
Broken links Informational 5
Email address found Informational 2
GHDB Informational 1
Password type input with autocomplete enabled Informational 1
3
Possible internal IP address disclosure Informational 5
8
Possible username or password disclosure Informational 6

Berdasarkan infomasi diatas dapat Penetrasi OWASP versi 4

diidentifikasi kerentanan dari Aplikasi Ujian
Online mempunyaoi tingkat kerentanan
tinggi. Dengan tingginya tingkat kerentanan
yang ada maka dilakukan pengujian lanjut
dengan menggunakan OWASP versi 4.
Dalam pengujian ini dilakukan
pengujian pada alamat 192.168.0.200/dosen
saja, hal ini dilakukan sebab penelitian ini
difokuskan pada penggunaan dosen seperti
terlihat pada tabel 4.1

Tabel 4.1 Hasil Pengujian OWASP versi 4

Tahapan Tool Hasil Status
Testing for WebScar POST /dosen HTTP/1.1 X
Credentials ab Host: 192.168.0.200
Transporte User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
d over an rv:38.0) Gecko/20100101 Firefox/38.0
Encrypted Accept:
Channel text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
(OTG- =0.8
AUTHN- Accept-Language: en-US,en;q=0.5
001) Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123
Testing for Brutus Proses brute force selama 7 jam tidak berhasil OK
default
credentials
(OTG-
AUTHN-
002)
Testing for Browser Tidak ada mekanisme penguncian X
Weak lock Mozilla
out Firefox
mechanism
(OTG-
AUTHN-
003)
Testing for WebScar ---- Scanning URL: http://192.168.0.200/ ---- X
bypassing ab FOUND: http://192.168.0.200/ [STATE: 403 - 296]

36 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

 Tahapan Tool Hasil Status
authenticati (*) DIRECTORY: http://192.168.0.200/css
on schema (*) DIRECTORY: http://192.168.0.200/foto
(OTG- (*) DIRECTORY: http://192.168.0.200/images
AUTHN- (*) DIRECTORY: http://192.168.0.200/img
004) (*) DIRECTORY: http://192.168.0.200/js
Test WebScar POST /dosen HTTP/1.1 X
remember ab Host: 192.168.0.200
password User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
functionality rv:38.0) Gecko/20100101 Firefox/38.0
(OTG- Accept:
AUTHN- text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
005) =0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123
Testing for Browser POST /dosen HTTP/1.1 X
Browser Mozilla Host: 192.168.0.200
cache Firefox User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
weakness rv:38.0) Gecko/20100101 Firefox/38.0
(OTG- Accept:
AUTHN- text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
006) =0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123
Testing for Brutus Proses brute force selama 5 jam tidak berhasil OK
Weak
password
policy
(OTG-
AUTHN-
007)
Testing for - Fitur lupa password tidak ada, apabila user lupa password OK
Weak langsung menghubungi admin
security
question/an
swer (OTG-
AUTHN-
008)
Testing for - Tidak ada fitur reset password OK
weak
password
change or
reset
functionaliti
es (OTG-

Multitek Indonesia Vol. 9, No. 1 Juni 2015 37

 Tahapan Tool Hasil Status
AUTHN-
009)
Testing for - Tidak ada akses lain selain website utama OK
Weaker
authenticati
on in
alternative
channel
(OTG-
AUTHN-
010)
Testing WFuzz Tidak berhasil menemukan dokumen root maupun root OK
Directory directory
traversal/fil
e include
(OTG-
AUTHZ-
001)
Testing for Dirb ---- Scanning URL: http://192.168.0.200/ ---- X
bypassing FOUND: http://192.168.0.200/ [STATE: 403 - 296]
authorizatio (*) DIRECTORY: http://192.168.0.200/css
n schema (*) DIRECTORY: http://192.168.0.200/foto
(OTG- (*) DIRECTORY: http://192.168.0.200/images
AUTHZ- (*) DIRECTORY: http://192.168.0.200/img
002) (*) DIRECTORY: http://192.168.0.200/js
Testing for WebScar Tidak ada OK
Privilege ab
Escalation
(OTG-
AUTHZ-
003)

Testing for Browser X

Insecure Mozilla
Direct Firefox
Object
References
(OTG-
AUTHZ-
004)

Testing for Dirb ---- Scanning URL: http://192.168.0.200/ ---- X

Bypassing FOUND: http://192.168.0.200/ [STATE: 403 - 296]
Session (*) DIRECTORY: http://192.168.0.200/css
Manageme (*) DIRECTORY: http://192.168.0.200/foto
nt Schema (*) DIRECTORY: http://192.168.0.200/images
(OTG- (*) DIRECTORY: http://192.168.0.200/img
SESS-001) (*) DIRECTORY: http://192.168.0.200/js
Testing for Zed POST /dosen HTTP/1.1 OK
Cookies Attack Host: 192.168.0.200

38 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

 Tahapan Tool Hasil Status
attributes Proxy User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
(OTG- rv:38.0) Gecko/20100101 Firefox/38.0
SESS-002) Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123

GET /dosen HTTP/1.1

Host: 192.168.0.200
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
rv:38.0) Gecko/20100101 Firefox/38.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Testing for Zed POST /dosen HTTP/1.1 OK
Session Attack Host: 192.168.0.200
Fixation Proxy User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
(OTG- rv:38.0) Gecko/20100101 Firefox/38.0
SESS-003) Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123

GET /dosen HTTP/1.1

Host: 192.168.0.200
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
rv:38.0) Gecko/20100101 Firefox/38.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Testing for Zed POST /dosen HTTP/1.1 OK
Exposed Attack Host: 192.168.0.200

Multitek Indonesia Vol. 9, No. 1 Juni 2015 39

 Tahapan Tool Hasil Status
Session Proxy User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
Variables rv:38.0) Gecko/20100101 Firefox/38.0
(OTG- Accept:
SESS-004) text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123

GET /dosen HTTP/1.1

Host: 192.168.0.200
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
rv:38.0) Gecko/20100101 Firefox/38.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Testing for OWASP X
Cross Site CSRF
Request Tester
Forgery
(CSRF)
(OTG-
SESS-005)

Testing for Browser OK

logout Mozilla
functionality Firefox
(OTG-
SESS-006)

Test Browser Tidak ada session timeout X

Session Mozilla
Timeout Firefox
(OTG-
SESS-007)

40 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)

 Tahapan Tool Hasil Status
Testing for Zed POST /dosen HTTP/1.1 X
Session Attack Host: 192.168.0.200
puzzling Proxy User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
(OTG- rv:38.0) Gecko/20100101 Firefox/38.0
SESS-008) Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

kode=999999&password=dload123

GET /dosen HTTP/1.1

Host: 192.168.0.200
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64;
rv:38.0) Gecko/20100101 Firefox/38.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q
=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.0.200/dosen
Cookie: PHPSESSID=4jv3pbgms1d0l7o0rcnt6al0h7
Connection: keep-alive

Dari tabel 4.1 terlihat bahwa pada variabel session yang sama selama lebih
proses otentifikasi terdapat kerentanan yaitu dari satu tujuan sehingga penyerang dapat
pada pengujian OTG-AUTHN-001, OTG- mengakses halaman secara acak.
AUTHN-003, OTG-AUTHN-004, OTG-
AUTHN-005, OTG-AUTHN-006 sehingga KESIMPULAN DAN SARAN
proses ini perlu mendapat perbaikan. Pada Kesimpulan
proses pengujian otorisasi terdapat Hasil pengujian menggunakan
kerentanan pada OTG-AUTHZ-002, OTG- OWASP versi 4 menunjukkan bahwa
AUTHZ-004, namun setelah dilakukan manajemen otentifikasi, otorisasi dan
pengecekan diatas hasilnya adalah false manajemen sesi belum diimplementasikan
alarm sehingga proses otorisasi sudah dengan baik sehingga perlu dilakukan
berjalan dengan baik, sedangkan pada perbaikan lebih lanjut oleh pihak stake
manajemen sesi terdapat kerentanan pada holder Fakultas Teknik Universitas
OTG-SESS-001, OTG-SESS-005, OTG- Muhammadiyah Ponorogo
SESS-007, OTG-SESS-008. Tidak adanya
session timeout memungkinkan pemakai Saran
yang meninggalkan komputer dimanfaatkan Berdasarkan kesimpulan diatas maka
oleh pemakai lain yang tidak berhak. Pada perlu dilakukan penelitian dengan metode
OTG-SESS-008, aplikasi ini menggunakan ISSAF (Information System Security

Multitek Indonesia Vol. 9, No. 1 Juni 2015 41

Assessment Framework) agar dapat
diketahui kerentanan dari sisi web server.

DAFTAR PUSTAKA
Alfred Basta, W. H. (2008). Computer
Security and Penetration Testing.
Allsopp, W. (2009). Unauthorised Access:
Physical Penetration Testing for it
Security Teams.
Assosiasi Penyelenggara Jasa Internet
Indoneisa. (2012). Retrieved May 17,
2014, from
http://www.apjii.or.id/v2/read/page/hal
aman-data/9/statistik.html
Chow, E. (2011). Ethical Hacking &
Penetration Testing.
Friends, N. N. (2009). Penetration Testing A
Roadmap to Network.
J Thomson, F. (2013, Desember). Akamai.
Retrieved Mei 19, 2014, from
http://www.akamai.com/dl/akamai/aka
mai-soti-
q413.pdf?WT.mc_id=soti_Q413

42 Penerapan Pengujian Keamanan Web…(Mohmmad Muhsin, Adi Fajaryanto)