Security testing pada aplikasi yang telah dibangun

Dani Sofyan (113040291)

Teknik Informatika, Fakultas Teknik, Universitas Pasundan
Jl. Dr. Setiabudi No. 193
Phone: 022-2021440, 2019433, Fax: 022-2009267
danisofyan@mail.unpas.ac.id

Abstrak

Pada sebuah aplikasi, keamanan merupakan salah satu hal yang sangat penting untuk diperhatikan agar
menjamin bahwa suatu aplikasi bebas dari segala ancaman yang dapat menyebabkan kerugian besar dikarnakan
aplikasi tidak aman / masih banyak celah kelemahan yang terdapat dalam aplikasi tersebut.
Aplikasi yang keamanannya tidak baik akan berakibat hilangnya informasi dan dimanfaatkan oleh
pihak lain yang tidak bertangung jawab. Para pengembang sebaiknya tidak hanya mampu membangun aplikasi,
tetapi juga menguji apakah aplikasi yang dibuat sudah cukup aman dari segala ancaman pencurian data.

Kata kunci : Security testing

1. Pendahuluan 2. Jenis-jenis security testing

Menjaga informasi pribadi pelanggan Ada tujuh jenis utama security testing
adalah prioritas utama bagi banyak perusahaan . sesuai metodologi testing, ialah sebagai berikut :
Sayangnya, ada banyak keamanan aplikasi yang
masih bisa gagal. Itulah mengapa security testing
penting untuk menguji keamanan aplikasi dengan
berpengalaman. Security testing akan menggali
lebih dalam untuk mengungkap masalah dan
kerentanan yang dapat dikenakan biaya waktu , uang
dan reputasi. Security ini set untuk melindungi
aplikasi terhadap tindakan tak terduga yang
menyebabkannya aplikasi berhenti berfungsi atau
dieksploitasi. Tindakan tak terduga ini dapat berupa
disengaja atau tidak disengaja.

Security testing memastikan, bahwa sistem

dan aplikasi dalam suatu organisasi, bebas dari
segala celah yang dapat menyebabkan kerugian
besar. Security testing bertujuan menemukan semua
celah dan kelemahan sistem yang mungkin timbul
mengakibatkan hilangnya informasi. Tujuan dari Gambar 2.1 - jenis security testing
security testing adalah untuk mengidentifikasi
ancaman dalam sistem dan mengukur kerentanan  Vulnerability Scanning: Hal ini dilakukan
potensinya. Hal ini juga membantu dalam menggunakan perangkat lunak otomatis
mendeteksi semua risiko keamanan yang mungkin untuk memindai sistem terhadap secara
terjadi dalam sistem dan membantu pengembang otomatis tanpa diketahui.
untuk diperbaiki melalui coding. Security testing
harus memverifikasi bahwa keamanan bisnis  Security Scanning: Mengidentifikasi jaringan
dipertahankan melalui kondisi pengujian yang dan kelemahan sistem, kemudian
memverifikasi integritas dan kerahasiaan sistem memberikan solusi untuk mengurangi risiko.
selama serangan aktif.
 Scanning ini dapat dilakukan baik Manual SDLC Phases Security Processes
dan Otomatis scanning. Requirements Analisis keamanan untuk
persyaratan dan kasus
 Penetration testing: Jenis testing ini penyalahgunaan cek /
mensimulasikan serangan dari hacker jahat. penyalahgunaan
Testing ini melibatkan analisis dari sistem Design Analisis risiko keamanan
tertentu untuk memeriksa kerentanan potensi untuk merancang.
untuk upaya hacking eksternal. Pengembangan rencana uji
termasuk tes keamanan
 Risk Assessment: Tes ini melibatkan analisis Coding and Unit Statis dan Dinamis
risiko keamanan yang diamati dalam Pengujian dan Keamanan
Testing
organisasi. Resiko diklasifikasikan sebagai white box testing
Low , Medium dan High. Pengujian ini
Integration Testing Black Box Testing
merekomendasikan kontrol dan langkah-
langkah untuk mengurangi risiko. System Testing Black Box Testing and
Vulnerability scanning
 Security Auditing: Test ini adalah Implementation Penetration Testing,
pemeriksaan internal Aplikasi dan sistem Vulnerability Scanning
operasi untuk kelemahan keamanan. Audit Support Impact analysis of Patches
dapat dilakukan melalui baris demi baris Table 3.1 - Penjelasan SDLC
kode inspeksi.
Rencana uji harus mencakup :
 Posture Assessment: Menggabungkan
pemindaian Security, Ethical Hacking dan  Uji kasus terkait keamanan atau skenario
Penilaian Resiko untuk menunjukkan postur  Data uji yang berkaitan dengan pengujian
keamanan secara keseluruhan dari suatu keamanan
organisasi.  Alat Pengujian yang diperlukan untuk
pengujian keamanan
 Ethical hacking: Test ini akan meng hack  Analisis berbagai output tes dari alat
sebuah sistem Software Organization. Tidak keamanan yang berbeda
seperti hacker jahat, yang mencuri untuk
keuntungan mereka sendiri, tetapi tujuannya
adalah untuk mengekspos kelemahan 4. Skenario Contoh Uji untuk Pengujian
keamanan dalam sistem. Keamanan:

 Sandi harus dalam format terenkripsi

3. Integrasi proses keamanan dengan SDLC
Biaya akan jauh lebih murah, jika kita
menunda pengujian keamanan setelah tahap
implementasi perangkat lunak atau setelah
penyebaran. Oleh karena itu diperlukan untuk
melibatkan pengujian keamanan dalam siklus hidup
SDLC dalam tahap awal.
 Aplikasi atau Sistem tidak harus
memungkinkan pengguna yang tidak valid
 Cek cookies dan waktu sesi untuk aplikasi
 Untuk situs keuangan, tombol Browser
kembali tidak harus bekerja.

5. Metodologi

Dalam security testing, metodologi yang

berbeda yang diikuti, adalah sebagai berikut:

 Tiger Box: Hacking ini biasanya dilakukan

pada laptop yang memiliki koleksi OS dan
Gambar 3.1 - SDLC
hacking tools. Tes ini membantu penguji
penetrasi dan penguji keamanan untuk
melakukan penilaian kerentanan dan
serangan.
  Black Box: Tester berwenang untuk
melakukan pengujian pada segala sesuatu
tentang topologi jaringan dan teknologi.

 Grey Box: Informasi Partial diberikan

kepada tester tentang sistem, itu merupakan
campuran dari white and black box models.

6. Manajemen risiko dan pengujian keamanan

Praktisi keamanan Software banyak tugas yang

berbeda untuk mengelola risiko keamanan perangkat
lunak, termasuk

 Menciptakan kasus penyalahgunaan

keamanan.

 Daftar normatif keamanan sesuai

kebutuhan.

 Melakukan analisis risiko arsitektur

 Rencana uji keamanan berbasis risiko

pembangunan.

 Memegang alat analisis statis .

 Melakukan security tests.

 Melakukan pengujian penetrasi di yang

environmenta akhir

 Membersihkan bugs yang telah ditemukan

7. Kesimpulan:

Security testing adalah pengujian yang

paling penting untuk sebuah aplikasi dan memeriksa
apakah data rahasia tetap rahasia. Dalam hal ini jenis
pengujian, tester memainkan peran penyerang dan
bermain-main didalam sistem untuk menemukan
bug keamanan terkait. Security testing ini sangat
penting dalam industri IT untuk melindungi data
dengan segala cara.

Daftar Pustaka:
[1] Guru 99 2014., What is security testing.
http://www.guru99.com/what-is-security-
testing.html. Diakses pada tanggal 10 Maret
2014.

[2] GARY MCGRAW 2014., Software Security

Testing.
http://www.cigital.com/papers/download/bsi4-
testing.pdf. Diakses pada tanggal 10 Maret
2014.

[3} Wikipedia 2014., Sofware testing.

http://en.wikipedia.org/wiki/Software_testing.
Diakses pada tanggal 10 Maret 2014.