INFORMASI
Disusun Oleh:
1.3 Tujuan
Tujuan dari penelitian yang dilakukan pada tugas akhir yang berjudul
Evaluasi Keamanan Aplikasi Sistem Informasi Berbasis Website Menggunakan
Framework ISSAF (Studi Kasus: SIMAK-NG Universitas Udayana) adalah
sebagai berikut:
1. Melakukan evaluasi keamanan terhadap sistem informasi berbasis web
SIMAK-NG untuk mengetahui adanya celah keamanan yang dapat
dieksploitasi dengan framework ISSAF
2. Mengetahui dampak yang ditimbulkan dari hasil temuan celah keamanan
yang telah dieksploitasi.
3. Turut serta memberikan kontribusi dalam pemberian saran perbaikan pada
sistem informasi SIMAK-NG.
1.4 Manfaat
Penelitian tugas Akhir ini diharapkan dapat membantu Universitas
Udayana dalam mengevaluasi aplikasi web Sistem Informasi dari sisi keamanan
informasi. Selain itu, penelitian ini juga dapat diharapkan sebagai bahan
pertimbangan dalam pengembangan institusi terkait dengan keamanan informasi,
baik secara teknis maupun non-teknis.
2.2 SIMAK
SIMAK (Sistem Informasi Manajemen Mahasiswa) adalah Suatu sistem
Informasi Akademik yang dibangun untuk memberikan kemudahan kepada
pengguna dalam kegiatan administrasi akademik kampus secara online, seperti
proses Penerimaan Mahasiswa Baru (PMB), pembuatan kurrikulum, pembuatan
jadwal kuliah, pengisian Kartu Rencana Studi (KRS), pengisian nilai, pengelolaan
data dosen & mahasiswa. Sistem ini juga dapat berfungsi sebagai pendukung
untuk analisis data dalam menentukan keputusan Kampus.
2.4 Vulnerability
Vulnerabilitiy adalah cacat yang memungkinkan penyerang mengurangi
jaminan informasi sistem. Vulnerability Assessment adalah metode yang menguji
keamanan aplikasi interaktif seperti e-banking, siaran berita dan aplikasi web e-
commerce (Sangeeta & Sonal 2017). Adanya vulnerability kemudian
memunculkan upaya-upaya untuk melakuan ekploitasi bagaimana mengetahui
vulnerabilitas sebuah sistem komputer. Untuk itulah ada yang disebut dengan
Exploit. Dalam hal ini Exploit adalah sebuah aktivitas untuk menyerang
keamanan komputer secara spesifik. Exploit banyak digunakan untuk penetrasi
baik secara legal ataupun ilegal untuk mencari kelemahan (Vulnerability) pada
komputer.
2.6.4 Penetration
Penilai mencoba untuk mendapatkan akses tidak sah dengan menghindari
langkah-langkah keamanan yang ada dan mencoba untuk mencapai tingkat akses
seluas mungkin. Proses ini dapat dibagi dalam langkah-langkah berikut:
1. Temukan bukti konsep kode / tool.
Temukan bukti kode konsep yang tersedia di repositori sendiri atau dari
sumber yang tersedia untuk menguji kerentanan. Jika kode berasal dari repositori
tepercaya sendiri dan diuji secara menyeluruh, penguji dapat menggunakannya,
atau mengujinya di lingkungan yang terisolasi.
2. Develop tools/scripts
Dalam beberapa keadaan akan diperlukan (yang dapat menghemat biaya)
bagi penilai untuk membuat alat dan skrip mereka sendiri.
6. Dokumentasikan Temuan
Dokumentasi ini akan berisi penjelasan rinci tentang jalur eksploitasi,
dampak yang dinilai dan bukti keberadaan kerentanan.
Compromise
Untuk mencapai target penilaian (baik itu sistem atau jaringan tertentu)
mungkin mengharuskan sistem perantara juga dikompromikan, untuk memotong
langkah-langkah keamanan mereka yang mungkin berpotensi melindungi akses ke
target akhir penilai. Kemungkinan hop menengah ini bisa berupa router, firewall,
server anggota domain atau workstation, untuk beberapa nama.
2. Privilege Escalation
2.6.6 Enumerating Further
Adapun beberapa proses yang dilakukan untuk eksploitasi lebih lanjut
pada lapisan ini sebagai berikut.
Dapatkan kata sandi terenkripsi untuk cracking offline (misalnya dengan
membuang SAM pada sistem Windows, atau menyalin / etc / passwd dan
/ etc / shadow dari sistem Linux).
Dapatkan kata sandi (plaintext atau terenkripsi) dengan menggunakan
sniffing atau teknik lainnya.
Sniff lalu lintas dan menganalisanya.
Kumpulkan cookie dan gunakan untuk mengeksploitasi sesi dan untuk
serangan kata sandi.
Pengumpulan alamat email.
Mengidentifikasi rute dan jaringan.
Memetakan jaringan internal.
Lakukan langkah 1 hingga 6 lagi dengan sistem ini sebagai titik awal
Komunikasi antara pengguna / situs jarak jauh dan jaringan perusahaan dapat
dilengkapi dengan otentikasi dan enkripsi dengan menggunakan teknologi seperti
VPN, untuk memastikan bahwa data dalam perjalanan melalui jaringan tidak
dapat dipalsukan atau dikuping. Namun, ini tidak menjamin bahwa titik akhir
komunikasi tidak dilindungi ' tidak dikompromikan.
Dalam skenario seperti itu, penilai harus mencoba untuk berkompromi dengan
pengguna jarak jauh, telecommuter dan / atau situs remote suatu perusahaan.
Mereka dapat memberikan akses istimewa ke jaringan internal.
Jika Anda berhasil mendapatkan akses ke situs jarak jauh, ikuti langkah 1.1
hingga 1.7, jika tidak pindah ke langkah berikutnya.
7.
BAB III
METODOLOGI PENELITIAN
3.2 Data
Data adalah informasi awal yang digunakan sebagai tugas akhir yang
berhubungan dengan sistem informasi yang digunakan pada Universitas Udayana
dengan URL https://simak-ng.unud.ac.id. Beberapa hal yang akan dijelaskan
mengenai data antara lain sumber data, jenis data, dan metode pengumpulan data.
3.2.1 Jenis Data
Data merupakan sesuatu yang dikumpulkan oleh peneliti berupa fakta
empiris yang digunakan untuk memecahkan masalah atau menjawab pertanyaan
penelitian. Jenis data yang digunakan dalam penelitian ini meliputi data primer
dan data sekunder.
3.2.1.1 Data Primer
Data primer meliputi data teoritis yang diperoleh dari sumber pustaka
berupa alur kerja SIMAK-NG, dokumen laporan kegiatan, jurnal dan internet
yang relevan dengan analisis yang dirumuskan.
3.4.1 Software
Software yang digunakan dalam penelitian tugas akhir berjudul Evaluasi
Keamanan Aplikasi Sistem Informasi Berbasis Website Menggunakan
Framework ISSAF (Studi Kasus: SIMAK-NG Universitas Udayana) dapat dilhat
pada Tabel 3.2 berikut.
Tabel 3.2 Tabel Contoh Software Pengujian
3.4.2 Hardware
Hardware yang digunakan dalam penelitian penelitian tugas akhir
berjudul Evaluasi Keamanan Aplikasi Sistem Informasi Berbasis Website
Menggunakan Framework ISSAF (Studi Kasus: SIMAK-NG Universitas
Udayana) menggunakan seperangkat PC yang dapat terkoneksi ke internet dengan
spesifikasi merek HP, RAM 8 GB, HDD 500 GB, Intel Inside, Core i3.
START
Kesepakatan Kedua
Belah Pihak
Assesment
Ruang lingkup,
pendekatan dan Information Gathering Hasil Information Gathering
metodologi pengujian
A
METODOLOGI PENELITIAN
Compromise Remote
Hasil Analisis
Users/Sites
Hasil Eksploitasi Celah
END