STATISTIK DAN RISET PENELITIAN TEKNOLOGI

INFORMASI

EVALUASI KEAMANAN APLIKASI SISTEM INFORMASI

BERBASIS WEBSITE MENGGUNAKAN FRAMEWORK ISSAF
(STUDI KASUS: SIMAK-NG UNIVERSITAS UDAYANA)

Disusun Oleh:

NI KADE MEGA HANDAYANI

NIM: 1605551030

PROGRAM STUDI TEKNOLOGI INFORMASI

FAKULTAS TEKNIK
UNIVERSITAS UDAYANA
2019
 BAB I
PENDAHULUAN

Bab I akan menjelaskan tentang latar belakang permasalahan yang

diangkat dalam tugas akhir, rumusan masalah, batasan masalah, tujuan penelitian
dan manfaat sebagai acuan dalam memahami gambaran umum permasalahan
tugas akhir serta sistematika penulisan tugas akhir yang menjadi acuan dalam
penulisan laporan.
1.1 Latar Belakang
Perkembangan teknologi di bidang informasi yang semakin berkembang
membawa dampak besar bagi manusia. Teknologi informasi yang semakin
berkembang dimanfaatkan oleh berbagai bidang, termasuk militer, pemerintahan,
pendidikan, kesehatan dan lain sebagainya. Organisasi pendidikan telah
menggunakan berbagai teknologi informasi dalam melakukan proses belajar
mengajar dan kegiatan administrasi lainnya. Penggunaan teknologi informasi
dalam bidang pendidikan khususnya adalah dengan memanfaatkan aplikasi sistem
informasi berbasis website. Pemanfaatan sistem informasi untuk aktivitas
organisasi pendidikan seperti perguruan tinggi dapat menjadi faktor penunjang
kesuksesan dan kemajuan dari perguruan tinggi seperti mengatur perkuliahan,
dosen, dan nilai mahasiswa (Aswati. et al. 2015, h. 79-86). Penggunaan website
saat ini tidak hanya memiliki dampak positif tapi juga memiliki dampak negatif.
Banyak kasus-kasus seperti pencurian data secara online, menyebarluaskan data-
data penting dari sebuah perusaahan (leaked data), pemanfaatan sistem untuk
kepentingan pribadi dan kasus-kasus lainnya yang berhubungan dengan
cybercrime (Sakti. et al. 2016, h. A190).
Pemanfaatan suatu sistem informasi berbasis aplikasi web dapat
disebabkan oleh adanya kelemahan pada sistem dalam segi keamanan yang
digunakan oleh pihak yang tidak berwenang untuk melakukan kejahatan dengan
melakukan eksploitasi sistem. Eksploitasi terhadap suatu celah keamanan pada
sistem informasi dapat berakibat fatal termasuk bagi organisasi pendidikan yang
menyebabkan kerugian dan terhentinya kegiatan akademis.
 Symantec Internet Security Threat Report 2019 (ISTR) menyatakan pada
Tahun 2018, 1 dari 10 URL yang dianalisis diidentifikasi sebagai berbahaya, naik
dari 1 dalam 16 dibanding Tahun 2017. Selain itu, meskipun ada penurunan dalam
aktivitas kit eksploitasi, serangan web keseluruhan pada titik akhir meningkat 56
persen Tahun 2018. Formjacking merupakan salah satu tren cyber security
terbesar tahun ini, dengan rata-rata 4.800 situs web dikompromikan dengan kode
formjacking setiap bulan pada Tahun 2018. Selain itu, angka Web Attack Blocked
per Day sebanyak 953.800 (Symantec 2019, h. 47-48). Hal tersebut menunjukan
tingkat ancaman keamanan web meningkat dari tahun sebelumnya yang perlu
menjadi perhatian bagi organisasi pengguna web application seperti perguruan
tinggi.
Universitas Udayana sebagai salah satu Perguruan Tinggi yang
menerapkan sistem informasi berbasis web yaitu SIMAK (Sistem Informasi
Manajamen Akademik Kampus). SIMAK merupakan salah satu aplikasi sistem
informasi berbasis web yang terintegrasi dengan metode single sign on pada
sistem IMISSU IMISSU (Intergrated Management Information System, the
Strategic of UNUD) yang merupakan portal semua sistem informasi yang ada
pada UNUD. SIMAK dibangun dalam rangka menunjang proses bisnis dalam
bidang akademis dari Universitas. Aplikasi SIMAK yang telah berjalan telah
melakukan pembaharuan sistem pada Tahun 2019 dengan berganti menjadi sistem
informasi SIMAK-NG (SIMAK New Generation). SIMAK-NG yang merupakan
sistem informasi versi baru ini belum pernah dilakukan uji keamanannya. Uji
keamanan ini perlu dilakukan karena seperti yang sudah disebutkan sebelumnya
bahwa setiap aplikasi web memiliki celah keamanan yang dapat dieksploitasi oleh
pihak yang tidak berwenang.
Berdasarkan latar belakang tersebut, penelitian yang dilakukan dalam
tugas akhir ini adalah melakukan evaluasi keamanan sistem informasi berbasis
web milik Universitas Udayana. Evaluasi keamanan yang dilakukan dalam
penelitian ini adalah dengan pengujian Penetration Testing. Penetration Testing
sendiri adalah pengujian evaluasi keamanan dengan cara melakukan simulasi
penyerangan terhadap web. Pengujian dalam penelitian ini menggunakan
kerangka kerja ISSAF (Rathore et al. 2006) dalam proses evaluasi yang
disesuaikan dengan kebutuhan penelitian.

1.2 Rumusan Masalah

Rumusan masalah yang dapat diambil berdasarkan latar belakang yang
telah dijabarkan diatas adalah sebagai berikut:
1. Apa saja celah keamanan yang terdapat pada aplikasi sistem informasi
berbasis web SIMAK-NG.
2. Bagaimana dampak yang ditimbulkan dari eksploitasi yang dilakukan
terhadap celah keamanan yang ditemukan.
3. Bagaimana solusi untuk melakukan perbaikan terhadap celah keamanan
yang ditemukan.

1.3 Tujuan
Tujuan dari penelitian yang dilakukan pada tugas akhir yang berjudul
Evaluasi Keamanan Aplikasi Sistem Informasi Berbasis Website Menggunakan
Framework ISSAF (Studi Kasus: SIMAK-NG Universitas Udayana) adalah
sebagai berikut:
1. Melakukan evaluasi keamanan terhadap sistem informasi berbasis web
SIMAK-NG untuk mengetahui adanya celah keamanan yang dapat
dieksploitasi dengan framework ISSAF
2. Mengetahui dampak yang ditimbulkan dari hasil temuan celah keamanan
yang telah dieksploitasi.
3. Turut serta memberikan kontribusi dalam pemberian saran perbaikan pada
sistem informasi SIMAK-NG.

1.4 Manfaat
Penelitian tugas Akhir ini diharapkan dapat membantu Universitas
Udayana dalam mengevaluasi aplikasi web Sistem Informasi dari sisi keamanan
informasi. Selain itu, penelitian ini juga dapat diharapkan sebagai bahan
pertimbangan dalam pengembangan institusi terkait dengan keamanan informasi,
baik secara teknis maupun non-teknis.

1.5 Batasan Masalah

Batasan masalah dalam penelitian ini bertujuan untuk menghindari ruang
lingkup pembahasan yang terlalu luas, memberikan arah yang lebih jelas dan
memudahkan dalam penyelesaian masalah sesuai tujuan yang ingin dicapai.
Batasan masalah dalam penelitian ini yaitu sebagai berikut:
1. Penelitian dilakukan pada aplikasi sistem informasi berbasis website
SIMAK-NG Univeristas Udayana (https://simak-ng.unud.ac.id).
2. Penelitian yang dilakukan mengacu pada kerangka kerja ISSAF
(Information System Security Assessment Framework).
3. Penelitian dilakukan di dalam ataupun di luar jaringan internet milik
Univesitas Udayana.
4. Penelitian dilakukan dengan metode Black Box Testing.
5. Kesimpulan hasil Penetration Testing berupa usulan solusi yang dapat
dijadikan sebagai bahan pertimbangan untuk perbaikan sistem.
6. Hasil penelitian nantinya berupa laporan tertulis.

1.6 Sistematika Penulisan

Sistematika penulisan diterapkan untuk menyajikan gambaran yang jelas
mengenai permasalahan yang dibahas dalam penulisan laporan. Laporan Tugas
Akhir ini terbagi menjadi lima bab yang dapat diuraikan sebagai berikut:
BAB I : PENDAHULUAN
Bab I akan membahas tentang latar belakang dari penelitian yang
dilakukan, rumusan masalah yang akan diselesaikan, tujuan dari
penelitian, manfaat yang didapat, batasan masalah serta
sistematika penulisan dari laporan.
BAB II : TINJAUAN PUSTAKA
 Bab II akan membahas landasan teori atau acuan secara umum
yang berkaitan dengan permasalahan yang dihadapi sebagai
pendukung dalam melakukan penelitian.
BAB III : METODOLOGI PENELITIAN
Bab III berisi metodologi penelitian yang akan digunakan dan
unutk melakukan penulisan laporan yang meliputi tahapan
penelitian.
BAB IV : PEMBAHASAN
Bab IV akan membahas hasil yang didapat dari penelitian
melakukan evaluasi keamanan dengan Penetration Testing
menggunakan framework ISSAF yang dilakukan. Pembahasan
terkait hasil temuan celah keamanan dari proses penyerangan
yang dilakukan. Pemberian saran perbaikan bagi sistem informasi
berbasis web akan dibahas pada bab ini.
BAB V : PENUTUP
Bab V berisi kesimpulan dan saran serta masukan yang diberikan
yang mengacu kepada rumusan masalah yang diambil pada
penelitian.
DAFTAR PUSTAKA
Berisikan semua tempat referensi sumber informasi dari ladasan
teori dan kutipan yang dibuat.
 BAB II
TINJAUAN PUSTAKA

BAB II membahas tentang teori-teori yang digunakan pada penelitian.

Dasar teori berisikan tentang penjelasan mengenai teori penunjang yang akan
digunakan didalam penelitian yaitu mengenai Penetration Testing dengan
Framework ISSAF.
2.1 State of the Art
State of the art ini diambil dari beberapa contoh penelitian terdahulu
sebagai panduan untuk penelitian yang digunakan. Contoh yang diambil berupa
jurnal-jurnal mengenai evaluasi keamanan sistem informasi menggunakan dengan
Penetration Testing dan framework ISSAF. Jurnal yang ditulis oleh Teduh, Yudi
dan Adi dengan judul “Penerapan Metode ISSAF dan OWASP versi 4 Untuk Uji
Kerentanan Web Server”. Penelitian ini membahas implementasi metode
penetration test yang menggunakan ISSAF (Information Systems Security
Assessment Framework) dan OWASP versi 4. Tahapan yang dilakukan dalam
penelitian Teduh, Yudi dan Adi yaitu dimulai dengan studi literatur, pemodelan
web server, identifikasi kerentanan sistem, pengujian penetrasi dengan framework
ISSAF dan OWASP versi 4 dan analisa dan pelaporan. Hasil pengujian dan
analisa dengan metode ISSAF menunjukkan bahwa sistem web server IKIP PGRI
Madiun masih dapat ditembus dan mengambil alih hak akses administrator,
sedangkan dengan metode OWASP versi 4 menunjukkan bahwa manajemen
otentifikasi, otorisasi dan manajemen sesi belum diimplementasikan dengan baik
(Teduh, Yudi dan Adi, 2015).
Penelitian selanjutnya dari Emily Chow (2011) dalam judul “Ethical
Hacking & Penetration Testing”, menyimpulkan bahwa ethical hacking dan
penetration testing dianggap sebagai cara yang efisien dan efektif dalam
mengatasi celah keamanan dan kelemahannya sebelum adanya tindakan
eksploitasi dari hacker jahat (Chow, 2011). Tugas akhir yang ditulis oleh
[ CITATION Ahm17 \l 1033 ]dengan judul Evaluasi Keamanan Aplikasi Sistem
Informasi Mahasiswa Menggunakan Framework VAPT (Studi Kasus: Sister
Universitas Jember). Penelitian membahas Penetration Testing yang dilakukan
pada sistem informasi dengan menggunakan framework VAPT. Metodologi
Penelitian menggunakan tahapan dari VAPT dengan metode Penetrasi Blackbox
Testing. Hasil pengujian yang telah dilakukan, penulis menemukan beberapa
celah yang dapat mengganggu keamanan Sister Universitas Jember. Celah yang
telah ditemukan tersebut tidak didapatkan hak akses yang menunjukkan keamanan
Sister cukup baik[ CITATION Ahm17 \l 1033 ]. Byeong-Ho Kang (2008) dalam
penelitian yang berjudul “About Effective Penetration Testing Methodology”
menyimpulkan dalam melakukan penetration testing dibutuhkan sebuah
metodologi formal untuk mencapai keberhasilan[ CITATION Kan12 \l 1033 ].

2.2 SIMAK
SIMAK (Sistem Informasi Manajemen Mahasiswa) adalah Suatu sistem
Informasi Akademik yang dibangun untuk memberikan kemudahan kepada
pengguna dalam kegiatan administrasi akademik kampus secara online, seperti
proses Penerimaan Mahasiswa Baru (PMB), pembuatan kurrikulum, pembuatan
jadwal kuliah, pengisian Kartu Rencana Studi (KRS), pengisian nilai, pengelolaan
data dosen & mahasiswa. Sistem ini juga dapat berfungsi sebagai pendukung
untuk analisis data dalam menentukan keputusan Kampus.

2.3 Penetration Testing

Penetration Testing merupakan sebuah percobaan yang legal dan
diijinkan untuk melakukan eksploitasi terhadap sebuah sistem dengan tujuan
meningkatkan kualitas keamanan dari sistem tersebut. Dengan kata lain,
Penetration Testing merupakan sebuah aktivitas pengujian keamanan dari sebuah
sistem. Dari hasil pengujian tersebut, didapatkan sejumlah celah keamanan pada
sistem yang kemudian menjadi bahan rekomendasi kepada organisasi yang
memiliki sistem tersebut untuk dibenahi (Mehtre & Goel 2015, h. 710-715).
Adapun istilah Penetration Testing seringkali disalahartikan sebagai
Vulnerability Analysis. Dalam Vulnerability Analysis, dilakukan proses
pemeriksaan terhadap sebuah sistem untuk memastikan keberadaan kemungkinan
celah keamanan. Sedangkan dalam proses Penetration Testing, dilakukan simulasi
berupa penyerangan terhadap sistem layaknya dilakukan oleh seorang hacker
untuk memastikan adanya celah keamanan tersebut. Sehingga dapat disimpulkan
bahwa Penetration Testing merupakan kelanjutan dari Vulnerability Analysis.
Secara umum, terdapat beberapa tujuan utama dari dilakukannya Penetration
Testing sebagaimana dicatat oleh EC – Council (Engrebeston 2011), yaitu:
 Menguji tingkat efisiensi dari proses perlindungan informasi yang
dilakukan oleh organisasi.
 Memberikan pandangan kepada organisasi mengenai celah keamanan
sistem miliknya ketika dieksploitasi secara internal maupun eksternal.
 Menyediakan informasi bagi tim pelaksana audit.
 Meminimalisir biaya pelaksanaan audit keamanan.
 Membantu proses prioritisasi dari organisasi untuk membenahi sistem
yang diuji.
 Mengetahui risiko apa saja yang ada pada sistem milik organisasi.
 Mengevaluasi tingkat efisiensi perangkat yang digunakan, misalnya
firewall, router, dan sebagainya.
 Memberikan gambaran mengenai apa yang harus dilakukan untuk
mencegah terjadinya eksploitasi.
 Mengetahui apakah diperlukan pergantian ataupun pembaharuan dari
infrastruktur sistem, baik hardware maupun software
Metodologi yang digunakan untuk melakukan Penetration Testing ada
beberapa yang popular seperti OWASP. Metodologi lain yang ada sudah banyak
pula digunakan dalam penelitian lainnya. Metodologi yang digunakan dalam
penelitian tugas akhir ini adalah ISSAF (Information System Security Assessment
Framework).

2.4 Vulnerability
Vulnerabilitiy adalah cacat yang memungkinkan penyerang mengurangi
jaminan informasi sistem. Vulnerability Assessment adalah metode yang menguji
keamanan aplikasi interaktif seperti e-banking, siaran berita dan aplikasi web e-
commerce (Sangeeta & Sonal 2017). Adanya vulnerability kemudian
memunculkan upaya-upaya untuk melakuan ekploitasi bagaimana mengetahui
vulnerabilitas sebuah sistem komputer. Untuk itulah ada yang disebut dengan
Exploit. Dalam hal ini Exploit adalah sebuah aktivitas untuk menyerang
keamanan komputer secara spesifik. Exploit banyak digunakan untuk penetrasi
baik secara legal ataupun ilegal untuk mencari kelemahan (Vulnerability) pada
komputer.

2.5 ISSAF (Information Systems Security Assessment Framework)

The Information System Security Assessment Framework (ISSAF) adalah
kerangka kerja terstruktur yang mengkategorikan penilaian keamanan sistem
informasi ke dalam berbagai domain dan merinci evaluasi atau kriteria pengujian
khusus untuk masing-masing domain. Tujuan dari ISSAF untuk memberikan
masukan lapangan pada penilaian keamanan yang mencerminkan scenario
kehidupan nyata. ISSAF digunakan untuk memenuhi kebutuhan penilaian
keamanan organisasi dan juga dapat digunakan sebagai referensi untuk memenuhi
kebutuhan keamanan informasi lainnya. ISSAF mencakup aspek penting dari
proses keamanan dan penilaian untuk mendapatkan gambaran lengkap tentang
kerentanan yang mungkin ada (Rathore et al. 2006). Informasi dalam ISSAF
diatur ke dalam kriteria evaluasi yang terdefinisi dengan baik, yang masing-
masing telah ditinjau oleh para ahli materi dalam domain tersebut. Kriteria
evaluasi ini meliputi:
• Deskripsi kriteria evaluasi.
• Maksud & tujuannya.
• Prasyarat untuk melakukan evaluasi.
• Proses evaluasi.
• Menampilkan hasil yang diharapkan.
• Penanggulangan yang direkomendasikan.
• Referensi ke dokumen eksternal.
 The Information System Security Assessment Framework (ISSAF) adalah
dokumen yang berkembang yang akan diperluas, diubah dan diperbarui di masa
depan.

2.5.1 Tujuan ISSAF

Tujuan ISSAF adalah untuk memberikan satu titik referensi untuk
penilaian keamanan. Ini adalah referensi yang terkait erat dengan masalah
penilaian keamanan dunia nyata dan itu adalah proposisi nilai bagi bisnis. Untuk
tujuan ini, ISSAF memiliki high-level agenda:
1. Evaluasi organizations informasi security policies dan memastikan
bahwa mereka memenuhi persyaratan industri & tidak melanggar hukum
& peraturan yang berlaku.
2. Identifikasi infrastruktur sistem informasi penting yang diperlukan untuk
proses bisnis organisasi dan evaluasi keamanannya.
3. Melakukan kerentanan penilaian & uji penetrasi untuk menyoroti
kerentanan sistem ada dengan mengidentifikasi kelemahan dalam sistem,
jaringan dan aplikasi.
4. Mengevaluasi kontrol yang diterapkan ke berbagai domain keamanan
dengan:
 Menemukan mis-konfigurasi dan meluruskannya.
 Identifikasi risiko yang diketahui dan tidak diketahui terkait dengan
teknologi dan atasi.
 Mengidentifikasi risiko yang dikenal dan tidak dikenal dalam
masyarakat atau proses bisnis dan alamatnya.
 Memperkuat proses dan teknologi yang ada.
5. Prioritaskan kegiatan penilaian sesuai kritik sistem, biaya pengujian, dan
manfaat yang diharapkan.
6. Mendidik masyarakat tentang melakukan penilaian keamanan.
7. Mendidik masyarakat tentang mengamankan sistem, jaringan dan
aplikasi.
8. Berikan informasi tentang Review logging, monitoring & auditing
processes, pembangunan dan peninjauan Disaster Recovery Plan serta
tinjauan masalah keamanan outsourcing.
9. Kepatuhan pada Standar Hukum & Peraturan.
10. Buat Kesadaran Keamanan.
11. Manajemen Proyek Penilaian Keamanan yang Efektif.
12. Menjaga dari eksploitasi rekayasa social.
13. Ulasan kontrol keamanan fisik
Pendekatan ini didasarkan pada menggunakan jalur terpendek yang
diperlukan untuk mencapai tujuan seseorang dengan menemukan kelemahan yang
dapat dimanfaatkan secara efisien, dengan sedikit usaha. Tujuan dari kerangka
kerja ini adalah untuk memberikan kelengkapan dan akurasi, efisiensi untuk
penilaian keamanan.

2.5.2 Penetration Testing ISSAF

Framework ini dikembangkan oleh OISSG (Open Information System
Security Group). Metode ISSAF Penetration Testing dirancang dalam melakukan
evaluasi menggunakan pendekatan tiga fase yaitu (Rathore et al. 2006):
a. Phase – I: Planning and Preparation
Tahap ini merupakan tahap pengenalan dan penyesuaian antara pelaku
penetrasi dan pihak yang akan dijadikan objek dengan saling bertukar informasi.
Kesepakatan kedua pihak sangat dibutuhkan untuk perlindungan hukum bersama.
Tahap ini juga menentukan tim yang terlibat dalam pengujian, rencana waktu
yang tepat dan aturan lainnya.

b. Phase – II: Assessment

Tahap ini merupakan tahap dilakukan Penetration Testing yang terdiri
dari beberapa pendekatan berlapis. Layer-layer disini adalah sebagai berikut:
1) Information Gathering
2) Network Mapping
3) Vulnerability Identification
4) Penetration
5) Gaining Access & Privilege Escalation
6) Enumerating Further
7) Compromise Remote Users/Sites
8) Maintaining Access
9) Covering Tracks

c. Phase – III: Reporting, Clean-up and Destroy Artefacts

Tahap akhir dari pengujian dengan membuat beberapa laporan hasil
penemuan selama melakukan penetration testing. Setelah melakukan tindakan
perlu menghapus log yang bisa membahayakan sistem yang dapat dimanfaatkan
orang lain. Langkah-langkah eksekusi bersifat siklis dan berulang sehingga
diwakili oleh panah melingkar pada fase penilaian pada Gambar 2.1 berikut.
 Gambar 2.1 Pendekatan dan Metodologi ISSAF Penetration
Testing (Rathore et al. 2006. h. 137)
Gambar 2.1 merupakan kerangka dari pendekatan dan metodolofi dari
ISSAF Penetration Testing yang dilakukan dengan tiga fase dimulai dari fase
pertama Planning and Preparation, fase kedua Assessment yang tediri dari
Sembilan tahapan penilaian yang dinilai menggunakan layer-layer dan fase ketiga
Reporting, Clean-up and Destroy Artefacts.

2.6 Phase – II: Assessment

Fase II pada metode penetration testing menggunakan ISSAF dijabarkan
dalam beberapa pendekatan berlapis. Dalam fase penilaian pendekatan berlapis
yang harus dilakukan secara berurutan. Setiap lapis mewakili tingkat akses yang
lebih besar ke aset informasi dari suatu sistem informasi.
2.6.1 Information Gathering
Pengumpulan informasi pada dasarnya menggunakan Internet untuk
menemukan semua informasi yang diperlukan untuk dapat mengatahui tentang
target (perusahaan dan / atau orang) menggunakan teknik (DNS / WHOIS) dan
non-teknis (search enginee, grup berita, mailing list dll). Lapis pertama dari tahap
penilaian dari audit keamanan informasi, yang cenderung diabaikan oleh banyak
orang. Ketika melakukan segala jenis tes pada sistem informasi, pengumpulan
informasi dan pengumpulan data sangat penting dan memberi semua informasi
yang mungkin untuk melanjutkan tes. Proses pengumpulan informasi, penting
untuk dilakukan seimajinatif mungkin. Cobalah untuk menjelajahi setiap jalan
yang mungkin untuk mendapatkan lebih banyak pemahaman tentang target dan
sumber dayanya. Apapun yang dapat peroleh selama tahap pengujian ini berguna
misalnya brosur perusahaan, kartu nama, selebaran, iklan koran, dokumen
internal, dan sebagainya.
Pengumpulan informasi tidak mengharuskan penilai melakukan kontak
dengan sistem target. Informasi dikumpulkan (terutama) dari sumber-sumber
publik di Internet dan organisasi yang menyimpan informasi publik (mis. Agen
pajak, perpustakaan, dll.). Bagian penilaian ini sangat penting bagi penilai.
Penilaian umumnya terbatas dalam waktu dan sumber daya. Oleh karena itu,
penting untuk mengidentifikasi poin-poin yang kemungkinan besar akan rentan,
dan untuk fokus pada mereka. Bahkan alat terbaik pun tidak berguna jika tidak
digunakan secara tepat dan di tempat dan waktu yang tepat. Itulah sebabnya
penilai berpengalaman mengatur sejumlah waktu yang cukup sangat penting
dalam pengumpulan informasi.

2.6.2 Network Mapping

Lapisan kedua network mapping, ketika semua informasi yang mungkin
tentang target telah diperoleh, pendekatan yang lebih teknis diambil untuk 'jejak'
jaringan dan sumber daya yang dimaksud. Informasi spesifik jaringan dari bagian
sebelumnya diambil dan diperluas untuk menghasilkan topologi jaringan yang
mungkin untuk target. Banyak alat dan aplikasi dapat digunakan pada tahap ini
untuk membantu penemuan informasi teknis tentang host dan jaringan yang
terlibat dalam pengujian, diantaranya sebagai berikut.
 Find live hosts.
 Port and service scanning.
 Perimeter network mapping (router, firewalls).
 Identifying critical services.
 Operating System fingerprinting.
 Identifying routes using Management Information Base (MIB).
 Service fingerprinting
Agar efektif, pemetaan jaringan harus dilakukan sesuai dengan rencana.
Rencana ini akan mencakup kemungkinan titik lemah dan / atau titik yang paling
penting bagi organisasi yang dinilai, dan akan mempertimbangkan semua
informasi yang diperoleh pada bagian sebelumnya. Pemetaan jaringan akan
membantu penilai untuk menyempurnakan informasi yang diperoleh sebelumnya
dan untuk mengkonfirmasi atau menolak beberapa hipotesis mengenai sistem
target (mis. Tujuan, merek perangkat lunak / perangkat keras, konfigurasi,
arsitektur, hubungan dengan sumber daya lain dan hubungan dengan proses
bisnis).

2.6.3 Vulnerability Identification

Penilai akan memilih titik-titik tertentu untuk diuji dan cara mengujinya.
Selama identifikasi kerentanan, penilai akan melakukan beberapa kegiatan untuk
mendeteksi titik lemah yang dapat dieksploitasi. Kegiatan-kegiatan ini meliputi:
• Identifikasi layanan yang rentan menggunakan service banners.
• Lakukan pemindaian kerentanan untuk mencari kerentanan yang
diketahui. Informasi tentang kerentanan yang diketahui dapat diperoleh
dari pengumuman keamanan vendor, atau dari basis data publik seperti
SecurityFocus, CVE atau penasihat CERT.
• Melakukan verifikasi positif palsu dan negatif palsu (mis. Dengan
mengkorelasikan kerentanan satu sama lain dan dengan informasi yang
diperoleh sebelumnya)
• Hitung kerentanan yang ditemukan
• Perkirakan kemungkinan dampak (mengklasifikasikan kerentanan yang
ditemukan)
• Identifikasi jalur serangan dan skenario untuk eksploitasi.

2.6.4 Penetration
Penilai mencoba untuk mendapatkan akses tidak sah dengan menghindari
langkah-langkah keamanan yang ada dan mencoba untuk mencapai tingkat akses
seluas mungkin. Proses ini dapat dibagi dalam langkah-langkah berikut:
1. Temukan bukti konsep kode / tool.
Temukan bukti kode konsep yang tersedia di repositori sendiri atau dari
sumber yang tersedia untuk menguji kerentanan. Jika kode berasal dari repositori
tepercaya sendiri dan diuji secara menyeluruh, penguji dapat menggunakannya,
atau mengujinya di lingkungan yang terisolasi.

2. Develop tools/scripts
Dalam beberapa keadaan akan diperlukan (yang dapat menghemat biaya)
bagi penilai untuk membuat alat dan skrip mereka sendiri.

3. Buktikan pengujian konsep kode/tool

 Menyesuaikan bukti konsep kode alat
 Uji bukti konsep kode/alat dalam lingkungan yang terisolasi

4. Gunakan Bukti Konsep Kode Terhadap Target

Bukti kode konsep / alat digunakan terhadap target untuk mendapatkan
poin sebanyak mungkin dari akses tidak sah.

5. Verifikasi Keberadaan Kerentanan

 Hanya dengan menguji kerentanan, penilai dapat mengkonfirmasi atau
menyangkal kerentanan secara definitive.

6. Dokumentasikan Temuan
Dokumentasi ini akan berisi penjelasan rinci tentang jalur eksploitasi,
dampak yang dinilai dan bukti keberadaan kerentanan.

2.6.5 Gaining Access and Privilege Escalation

Dalam situasi apa pun suatu sistem dapat enumerasi lebih lanjut.
Kegiatan di bagian ini akan memungkinkan penilai untuk mengonfirmasi dan
mendokumentasikan kemungkinan intrusi dan / atau penyebaran serangan
otomatis. Ini memungkinkan penilaian dampak yang lebih baik untuk organisasi
sasaran secara keseluruhan. Terdiri dari beberapa tahapan sebagai berikut.
1. Gaining Access, terdiri dari beberapa jenis gaining access, diantaranya
 Gain Least Privilege

 Compromise
Untuk mencapai target penilaian (baik itu sistem atau jaringan tertentu)
mungkin mengharuskan sistem perantara juga dikompromikan, untuk memotong
langkah-langkah keamanan mereka yang mungkin berpotensi melindungi akses ke
target akhir penilai. Kemungkinan hop menengah ini bisa berupa router, firewall,
server anggota domain atau workstation, untuk beberapa nama.

 Final Compromise On Target

Langkah ini adalah kompromi terakhir. Sasaran akhir telah dilanggar dan
berada di bawah kendali penuh penilai. Tujuan akhir adalah untuk memperoleh
hak administratif atas sistem, dalam bentuk akun administratif seperti
Administrator, root, SYSTEM, dll.

2. Privilege Escalation
2.6.6 Enumerating Further
Adapun beberapa proses yang dilakukan untuk eksploitasi lebih lanjut
pada lapisan ini sebagai berikut.
 Dapatkan kata sandi terenkripsi untuk cracking offline (misalnya dengan
membuang SAM pada sistem Windows, atau menyalin / etc / passwd dan
/ etc / shadow dari sistem Linux).
 Dapatkan kata sandi (plaintext atau terenkripsi) dengan menggunakan
sniffing atau teknik lainnya.
 Sniff lalu lintas dan menganalisanya.
 Kumpulkan cookie dan gunakan untuk mengeksploitasi sesi dan untuk
serangan kata sandi.
 Pengumpulan alamat email.
 Mengidentifikasi rute dan jaringan.
 Memetakan jaringan internal.
 Lakukan langkah 1 hingga 6 lagi dengan sistem ini sebagai titik awal

2.6.7 Compromise Remote Users/Sites

Satu lubang cukup untuk mengekspos seluruh jaringan, terlepas dari seberapa
aman jaringan perimeter itu. Sistem apa pun sekuat (dalam hal ini, seaman) seperti
bagian terlemahnya.

Komunikasi antara pengguna / situs jarak jauh dan jaringan perusahaan dapat
dilengkapi dengan otentikasi dan enkripsi dengan menggunakan teknologi seperti
VPN, untuk memastikan bahwa data dalam perjalanan melalui jaringan tidak
dapat dipalsukan atau dikuping. Namun, ini tidak menjamin bahwa titik akhir
komunikasi tidak dilindungi ' tidak dikompromikan.

Dalam skenario seperti itu, penilai harus mencoba untuk berkompromi dengan
pengguna jarak jauh, telecommuter dan / atau situs remote suatu perusahaan.
Mereka dapat memberikan akses istimewa ke jaringan internal.
Jika Anda berhasil mendapatkan akses ke situs jarak jauh, ikuti langkah 1.1
hingga 1.7, jika tidak pindah ke langkah berikutnya.

2.6.8 Maintaining Access

1. Covert Channels
2. Backdoors
3. Root-kits

2.6.9 Cover the Tracks

1. Hide Files
2. Clear Logs
3. Defeat integrity checking
4. Defeat Anti-virus
5. Implement Root-kits

7.
 BAB III
METODOLOGI PENELITIAN

BAB III membahas metodologi penelitian yang digunakan dalam

penelitian yang meliputi waktu penelitian, tool bantuan, dan gambaran umum
penelitian.
3.1 Tempat dan Waktu Penelitian
Tempat dan waktu selama penelitian tugas akhir berjudul Evaluasi
Keamanan Aplikasi Sistem Informasi Berbasis Website Menggunakan
Framework ISSAF. (Studi Kasus: SIMAK-NG Universitas Udayana) adalah
sebagai berikut.
3.1.1 Tempat Penelitian
Penelitian ini dilakukan di mana saja, bukan hanya di area Institusi
Universitas Udayana, penelitian dilakukan bukan hanya pada jaringan internet
Universitas Udayana, bisa menggunakan jaringan internet lain.

3.1.2 Waktu Penelitian

Penelitian untuk tugas akhir ini akan dilakukan selama 2 bulan, yaitu dari
Januari-Februari 2020, dengan penjabaran detail seperti terlihat pada Tabel 3.1
berikut.

Tabel 3.1 Tabel Waktu Penelitian

Event Nopember Desember Januari Februari Maret
Planning and
Prepration
Information
Gathering
Network
Mapping
Vulnerability
Identification
Vulnerability
Identification
cont…
 Vulnerability
Identification
cont…
Target
Exploitation
Target
Exploitation …
Target
Exploitation …
Reporting
Tabel 3.1 merupakan pengaturan jadwal waktu pengerjaan tugas akhir
yang akan dilakukan selama 5 bulan lamanya dimulai dari bulan Nopember
samapai Maret tahun 2020.

3.2 Data
Data adalah informasi awal yang digunakan sebagai tugas akhir yang
berhubungan dengan sistem informasi yang digunakan pada Universitas Udayana
dengan URL https://simak-ng.unud.ac.id. Beberapa hal yang akan dijelaskan
mengenai data antara lain sumber data, jenis data, dan metode pengumpulan data.
3.2.1 Jenis Data
Data merupakan sesuatu yang dikumpulkan oleh peneliti berupa fakta
empiris yang digunakan untuk memecahkan masalah atau menjawab pertanyaan
penelitian. Jenis data yang digunakan dalam penelitian ini meliputi data primer
dan data sekunder.
3.2.1.1 Data Primer
Data primer meliputi data teoritis yang diperoleh dari sumber pustaka
berupa alur kerja SIMAK-NG, dokumen laporan kegiatan, jurnal dan internet
yang relevan dengan analisis yang dirumuskan.

3.2.1.2 Data Sekunder

Data sekunder meliputi data yang didapat dari hasil wawancara ke pihak
terkait dan Information Gathering mengenai aplikasi SIMAK-NG Universitas
Udayana.
3.2.2 Sumber Data
Data dalam penelitian ini diperoleh dari sistem informasi SIMAK-NG
Universitas Udayanan dengan URL https://simak-ng.unud.ac.id. Data tersebut
diperoleh dengan cara melakukan penelitian langsung dengan mengakses sistem
imformasi resmi dengan url tersebut diatas.

3.3 Metodologi Pengumpulan

Data Analisis mengenai sistem website pada Badan Pendapatan Daerah
Kabupaten Badung menggunakan beberapa metode pengumpulan data, antara lain
sebagai berikut:
1. Metode Observasi, yaitu pengumpulan data dengan mengadakan
penelitian secara langsung pada SIMAK-NG dan mengadakan
pengamatan terhadap masalah yang diinginkan diangkat dan menjadi
studi kasus.
2. Metode Studi Literatur, yaitu mengumpulkan data dari buku-buku
referensi modul-modul yang relevan dengan objek permasalahan.
4. Metode Interview, metode ini dilakukan dengan cara mengumpulkan data
dengan melakukan wawancara ke pihak terkait dan Information
Gathering mengenai aplikasi SIMAK-NG Universitas Udayana.

3.4 Alat dan Bahan

Alat dan bahan yang digunakan pada penelitian tugas akhir berjudul
Evaluasi Keamanan Aplikasi Sistem Informasi Berbasis Website Menggunakan
Framework ISSAF (Studi Kasus: SIMAK-NG Universitas Udayana) meliputi
software dan hardware yang digunakan.

3.4.1 Software
Software yang digunakan dalam penelitian tugas akhir berjudul Evaluasi
Keamanan Aplikasi Sistem Informasi Berbasis Website Menggunakan
Framework ISSAF (Studi Kasus: SIMAK-NG Universitas Udayana) dapat dilhat
pada Tabel 3.2 berikut.
Tabel 3.2 Tabel Contoh Software Pengujian

Nama Perangkat Kegunaan Platform

Operating System Kali Penetration Testing Linux
Linux.

W3af Vulnerability Scanner Linux, UNIX, Windows,

Mac OS X
OWASP ZAP Vulnerability Scanner Linux, UNIX, Windows,
Mac OS X
Nmap/Zenmap Deteksi port yang Linux, UNIX, Windows,
dibuka, deteksi web Mac OS X
server
Tabel 3.2 merupakan beberapa perangkat lunak yang digunakan untuk
membantu dalam menyelesaikan tugas akhir, dimana semua perangkat yang
digunakan bersifat open source

3.4.2 Hardware
Hardware yang digunakan dalam penelitian penelitian tugas akhir
berjudul Evaluasi Keamanan Aplikasi Sistem Informasi Berbasis Website
Menggunakan Framework ISSAF (Studi Kasus: SIMAK-NG Universitas
Udayana) menggunakan seperangkat PC yang dapat terkoneksi ke internet dengan
spesifikasi merek HP, RAM 8 GB, HDD 500 GB, Intel Inside, Core i3.

3.5 Gambaran Umum

Metodologi yang akan diimplementasikan dalam mengerjakan tugas
akhir berjudul Evaluasi Keamanan Aplikasi Sistem Informasi Berbasis Website
Menggunakan Framework ISSAF (Studi Kasus: SIMAK-NG Universitas
Udayana) adalah. Adapun metodologi tersebut dibutuhkan sebagai panduan
sistematis dalam proses pengerjaan Tugas Akhir. Gambaran metodologi
pengerjaan Tugas Akhir dapat dilihat pada Gambar 3.1.
 METODOLOGI PENELITIAN

INPUT PROSES OUTPUT

START

Kesepakatan Kedua
Belah Pihak

Perencanaan dan Ruang lingkup, pendekatan

Persiapan dan metodologi pengujian
Menentukan ruang
lingkup, pendekatan
dan metodologi

Persetujuan terkait uji

spesifik dan jalur
eskalasi

Assesment

Ruang lingkup,
pendekatan dan Information Gathering Hasil Information Gathering
metodologi pengujian

Hasil Information Gathering Network Mapping Hasil Network Mapping

Hasil Information Gathering

Vulnerability Hasil Identifikasi Celah &
&
Identification Rencana Eksploitasi
Network Mapping

Hasil Identifikasi Celah &

Penetration Hasil Penetration Testing
Rencana Eksploitasi

A
 METODOLOGI PENELITIAN

INPUT PROSES OUTPUT

Gaining Access &

Hasil Penetration Testing Hasil Eksploitasi Celah
Privilege Escalation

Enumerating Further Hasil Analisis

Compromise Remote
Hasil Analisis
Users/Sites
Hasil Eksploitasi Celah

Maintaining Access Hasil Analisis

Sistem Kembali Seperti

Covering Tracks
Semula

Reporting, Clean-up dan

Laporan Pengujian dan
Hasil Analisis Destroy
Penhancuran barang bukti
Artefacts

END

Gambar 3.1 Tahapan Metodologi Penelitian

Gambar 3.1 merupakan gambaran umum tahapan metode penelitian yang
dilakukan. Proses awal dimulai dengan melakukan Planning and Preparation
yang dilakukan dengan melakukan kesepakatan dari kedua belah pihak,
Menentukan ruang lingkup, pendekatan dan metodologi bersama-sama, dan
memberi persetujuan terkait uji spesifik dan jalur eskalasi dengan keluaran yang
dihasilkan berupa ruang lingkup, pendekatan dan metodologi pengujian yang telah
disepakati bersama. Setelah menghasilkan ruang lingkup, pendekatan dan
metodologi pengujian yang telah disepakati bersama dilanjutkan dnegan tahapan
Assesment dimulai dengan proses information gathering. Data akan digunakan
untuk mencari lebih dalam mengenai spesifikasi sitem pada tahap proses
information gathering. Proses dilanjutkan dengan Network Mapping untuk
mendapatkan keluaran hasil pengintaian target. Hasil pengintaian target
dilanjutkan dengan proses Vulnerability Identification. Hasil dari proses ini
berupa hasil pencarian celah & rencana pengujian.

Proses dilanjutkan dengan Penetration Testing yang dilakukan dari hasil

pengintaian target, hasil pencarian celah & rencana pengujian. Proses Penetration
ini nantinya menghasilkan output berupa hasil penetrasi yang digunakan untuk
eksploitasi. Hasil Penetrasi akan dilakukan evaluasi lebih dalam dengan proses
Gaining Access & Privilege Escalation untuk mendapatkan hasil eksploitasi
celah. Hasil eksploitas melalui proses Enumerating Further, Compromise Remote
Users/Sites, Maintaining Access. Proses dari hasil input eksploitasi akan
menghasilkan hasil analisis. Hasil Analisis eksploitasi akan dilanjutkan dengan
proses Covering Tracks menghasilkan output perbaikan sistem. Hasil analisis juga
akan dilakukan proses pelaporan dan penghancuran barang bukti serta
pembersihan.
 DAFTAR PUSTAKA

Chow, E. (2011). Ethical Hacking & Penetration Testing. University of

Waterloo : Canada: IT Research Paper.
D., D. R., P., Y., & F., &. A. (2015). Penerapan Metode ISSAF dan OWASP versi
4 Untuk Uji Kerentanan Web Server. Ilmiah NERO, Vol.I No.3.
Engrebeston, P. (2011). The Basics of Hacking and Penetration Testing.
Waltham: Massachusetts: Elsevier Inc.
Kang, B. (2012). About Effective Penetration Testing Methodology. JSE, Vol. 5
No.5. Retrieved from http://www.sersc.org/journals/JSE/vol5_no5_2008/8
Mehtre, J. N. (2015). Vulnerability Assessment & Penetration Testing as a Cyber
Defence Technology. Procedia Computer Science 57.
Rathore, B., Herrera, O., Raman, S., & Brunner, M. (2006). Information Systems
Security Assessment Framework (ISSAF) draft 0.2.1. OISSG (Open
Information System Security Group).
S. Aswati, N. M. (2015). Peranan Sistem Informasi dalam Perguruan Tinggi.
Jurnal Teknologi dan Sistem Informasi, I, 79-86.
Sonal, S. &. (2017). Vulnerability Assessment and Penetration Testing of Web
Application. IEEE.
doi:http://dx.doi.org/10.1109/ICCUBEA.2017.8463920
Symantec. (2019). Symantec Internet Security Threat Report. Retrieved from
https://img03.en25.com/Web/Symantec/%7B984e78e2-c9e5-43b8-a6ee-
417a08608b60%7D_ISTR_24_2019_April_en.pdf?
elqTrackId=3b60a2f23b38434c9ca9afa7ce30e0a8&elqaid=6820&elqat=2
Zulfi, A. F. (2017). EVALUASI KEAMANAN APLIKASI SISTEM INFORMASI
MAHASISWA MENGGUNAKAN FRAMEWORK VAPT (STUDI KASUS :
SISTER UNIVERSITAS JEMBER). Suarabaya: Institut Teknologi Sepuluh
Nopember.

S. Aswati, N. Mulyani, Y. Siagian & A. Z. Syah. (2015). Peranan Sistem

Informasi dalam Perguruan Tinggi. Jurnal Teknologi dan Sistem
Informasi, vol. 1, pp. 79-86.
E. Sakti. P, K. Amron & Abdullah. (2016). Sistem Deteksi Celah Keamanan Pada
Aplikasi Berbasis Website Di Lingkungan Universitas. Prosiding SNRT
(Seminar Nasional Riset Terapan), Politeknik Negeri Banjarmasin, p.
A190
J. N. Goel, BM. Mehtre. (2015). Vulnerability Assessment & Penetration Testing
as a Cyber Defence Technology. Procedia Computer Science, vol. 57, pp.
710-715.