TUGAS AKHIR

EVALUASI CELAH KEAMANAN MENGGUNAKAN METODOLOGI

OPEN WEB APPLICATION SECURITY PROJECT ( OWASP ) PADA AP-
LIKASI WEB POSBINDU DARMAKRADENAN

EVALUATION OF SECURITY GAP USING OPEN WEB APPLICATION

SECURITY PROJECT ( OWASP ) METHODOLOGY IN POSBINDU DAR-
MAKRADENAN WEB APPLICATION

Disusun oleh

TIAN PRESTI HERLINA

19201008

PROGRAM STUDI D3 TEKNIK TELEKOMUNIKASI

FAKULTAS TEKNIK TELEKOMUNIKASI DAN ELEKTRO

INSTITUT TEKNOLOGI TELKOM PURWOKERTO

2022
 TUGAS AKHIR

EVALUASI CELAH KEAMANAN MENGGUNAKAN METODOLOGI

OPEN WEB APPLICATION SECURITY PROJECT ( OWASP ) PADA AP-
LIKASI WEB POSBINDU DARMAKRADENAN

EVALUATION OF SECURITY GAP USING OPEN WEB APPLICATION

SECURITY PROJECT ( OWASP ) METHODOLOGY IN POSBINDU DAR-
MAKRADENAN WEB APPLICATION

Disusun oleh

TIAN PRESTI HERLINA

19201008

PROGRAM STUDI D3 TEKNIK TELEKOMUNIKASI

FAKULTAS TEKNIK TELEKOMUNIKASI DAN ELEKTRO

INSTITUT TEKNOLOGI TELKOM PURWOKERTO

2022

iv
 EVALUASI CELAH KEAMANAN MENGGUNAKAN METODOLOGI
OPEN WEB APPLICATION SECURITY PROJECT ( OWASP ) PADA AP-
LIKASI WEB POSBINDU DARMAKRADENAN

EVALUATION OF SECURITY GAP USING OPEN WEB APPLICATION

SECURITY PROJECT ( OWASP ) METHODOLOGY IN POSBINDU DAR-
MAKRADENAN WEB APPLICATION
HALAMAN JUDUL

Skripsi ini digunakan sebagai salah satu syarat untuk memperoleh

Gelar Ahli Madya (A.Md)
Di Institut Teknologi Telkom Purwokerto
2022

Disusun oleh

TIAN PRESTI HERLINA

19201008

DOSEN PEMBIMBING

Bongga Arifwidodo, S.ST., M.T.

Muntaqo Alfin Amanaf, S.ST., MT

PROGRAM STUDI D3 TEKNIK TELEKOMUNIKASI

FAKULTAS TEKNIK TELEKOMUNIKASI DAN ELEKTRO

INSTITUT TEKNOLOGI TELKOM PURWOKERTO

i
 2022
HALAMAN PENGESAHAN

EVALUASI CELAH KEAMANAN MENGGUNAKAN METODOLOGI

OPEN WEB APPLICATION SECURITY PROJECT
( OWASP ) PADA APLIKASI WEB POSBINDU DARMAKRADENAN

EVALUATION OF SECURITY GAP USING OPEN WEB APPLICATION

SECURITY PROJECT ( OWASP ) METHODOLOGY IN POSBINDU DAR-
MAKRADENAN WEB APPLICATION

Disusun oleh
TIAN PRESTI HERLINA
19201008

Telah dipertanggungjawabkan di hadapan Tim Penguji pada tanggal ……..

Susunan Tim Penguji

Pembimbing Utama : Bongga Arifwidodo, S.ST.,M.T. ( )

NIDN. 603118901

Pembimbing Pendamping : Muntaqo Alfin Amanaf, S.ST., MT ( )

NIDN. 607129002

Penguji 1 :. ( )
NIDN.

Penguji 2 : ( )
NIDN.

Penguji 3 : ( )
NIDN.

Mengetahui,

Ketua Program Studi D3 Teknik Telekomunikasi

Institut Teknologi Telkom Purwokerto

Muntaqo Alfin Amanaf, S.ST.,M.T.

ii
 NIDN. 607129002
HALAMAN PERNYATAAN ORISINALITAS

Dengan ini saya, TIAN PRESTI HERLINA, menyatakan bahwa skripsi dengan
judul “ EVALUASI CELAH KEAMANAN MENGGUNAKAN
METODOLOGI OPEN WEB APPLICATION SECURITY PROJECT
( OWASP ) PADA APLIKASI WEB POSBINDU DARMAKRADENAN ”
adalah benar-benar karya saya sendiri. Saya tidak melakukan penjiplakan kecuali
melalui pengutipan sesuai dengan etika keilmuan yang berlaku. Saya bersedia
menanggung risiko ataupun sanksi yang dijatuhkan kepada saya apabila
ditemukan pelanggaran terhadap etika keilmuan dalam skripsi saya ini.

Purwokerto, 25 Januari 2022

Yang menyatakan,

Ttd bermaterai 6000

(Tian Presti Herlina)

III
 PRAKATA

Puji dan syukur penulis panjatkan kehadirat Allah SWT yang telah
melimpahkan kasih dan sayang-Nya sehingga penulis dapat menyelesaikan skripsi
yang berjudul “EVALUASI CELAH KEAMANAN MENGGUNAKAN
METODOLOGI OPEN WEB APPLICATION SECURITY PROJECT
( OWASP ) PADA APLIKASI WEB POSBINDU DARMAKRADENAN”.
Maksud dari penyusunan skripsi ini adalah untuk memenuhi salah satu
syarat dalam menempuh ujian sarjana Teknik Telekomunikasi pada Fakultas
Teknik Telekomunikasi dan Elektro Institut Teknologi Telkom Purwokerto.
Dalam penyusunan skripsi ini, banyak pihak yang sangat membantu
penulis dalam berbagai hal. Oleh karena itu, penulis sampaikan rasa terima kasih
yang sedalam-dalamnya kepada:
1. Bapak Bongga Arifwidodo, S.ST., M.T.selaku pembimbing I.
2. Bapak Muntaqo Alfin Amanaf, S.ST., M.T. selaku ketua Program Studi D3
Teknik Telekomunikasi dan juga selaku pembimbing 2.
3. Bapak dan Ibu penulis selaku Orang Tua yang sangat disayangi dan menjadi
salah satu alasan untuk menyelesaikan Tugas Akhir ini.
4. Diri sendiri yang telah melawan rasa takut,overthinking setiap malam, jatuh
dan bangun dan tetap berjalan untuk menjalankan kehidupan.
5. Dan orang-orang yang mendukung penulis yang tidak bisa disebut satu per
satu.

Purwokerto, 25 Januari 2022

(Tian Presti Herlina)

iv
 ABSTRAK

Pos Binaan Terpadu (POSBINDU) Lansia Darmakradenan

mengembangkan sebuah aplikasi web untuk melakukan pendataan para Lansia
oleh Kader dan Bidan. Menurut Badan Siber Sandi Negara tahun 2019, banyak
terjadi serangan terhadap situs web seperti: Web Defacement 34% , Phising 9%,
Malware 13%, Kerentanan lain 37% , berdasarkan fakta yang terjadi perlu di-
lakukan evaluasi celah keamanan menggunakan metode Web Application Pene-
tration Testing milik OWASP. Metode Web Applicaton Penetration Testing versi
4 milik OWASP memiiki beberapa subkategori pengujian untuk menguji kea-
manan aplikasi web, secara garis besar metode yang digunakan OWASP adalah
menginjeksi menggunakan request dan response method dengan memanfaatkan
HTTP verb yang kemudian dilihat apakah ditemukan kerentanan yang dapat men-
gakibatkan dampak terhadap aplikasi web. Dalam penelitian kali ini, penulis akan
menggunakan 4 kategori pengujian untuk menguji keamanan aplikasi web. Ada-
pun website milik Pos Binaan Terpadu (POSBINDU) Lansia Darmakradenan
belum pernah diuji tingkat keamanannya, sehingga dapat menimbulkan kemungk-
inan terjadinya tindak eksploitasi yang merugikan Pos Binaan Terpadu (POS-
BINDU) Lansia Darmakradenan. Dengan ini, dapat diketahui lebih detail dampak
dari celah keamanan yang ada, sehingga dapat dilakukan tindakan pencegahan.

Kata Kunci: Penetration Testing, POSBINDU, Eksploitasi, Penilaian

Kerentanan, OWASP.

v
 ABSTRACT

Pos Bina Terpadu (POSBINDU) Darmakradenan Elderly developed a web

application for data collection of Elderly by Cadres and Midwives. According to
the National Cyber Security Agency in 2019, there were many attacks against
websites such as: Web Defacement 34%, Phishing 9%, Malware 13%, Other vul-
nerabilities 37%. Based on these facts, it is necessary to evaluate security vulner-
abilities using the OWASP Web Application Penetration Testing and Risk Assess-
ment methodology. The OWASP Web Application Penetration Testing Methodol-
ogy version 4 has 11 test subcategories to test the security of web applications in
general, the method used by OWASP is to inject it using the request and response
method by utilizing HTTP verbs which is then seen if vulnerabilities are found.
which may affect the application. web. . In this study, the author will use 4 cate-
gories of testing to test the security of web applications. The security level of the
Darmakradenan Elderly Integrated Development Post (POSBINDU) has never
been tested for security, so it could lead to the possibility of harmful exploitation
for the Darmakradenan Elderly Development Post (POSBINDU). With this, it can
be seen in more detail the impact of existing security holes, so that preventive ac-
tions can be taken.

Keywords: Penetration Testing, POSBINDU, Exploitation, Vulnerability Assess-

ment, OWASP.

vi
 DAFTAR ISI

HALAMAN JUDUL...............................................................................................I
HALAMAN PENGESAHAN.............................................................................IV
HALAMAN PERNYATAAN ORISINALITAS...............................................IV
PRAKATA...........................................................................................................IV
ABSTRAK............................................................................................................IV
ABSTRACT.........................................................................................................IV
DAFTAR ISI........................................................................................................IV
DAFTAR GAMBAR........................................................................................VIII
DAFTAR TABEL..............................................................................................IIV
BAB 1 PENDAHULUAN.....................................................................................4
1.1 LATAR BELAKANG...............................................................................4
1.2 RUMUSAN MASALAH..........................................................................4
1.3 BATASAN MASALAH...........................................................................4
1.4 TUJUAN...................................................................................................4
1.5 MANFAAT...............................................................................................4
1.6 SISTEMATIKA PENULISAN.................................................................4
BAB 2 DASAR TEORI.........................................................................................4
2.1 KAJIAN PUSTAKA.................................................................................4
2.2 DASAR TEORI.........................................................................................4
2.2.1 KANAL LINTASAN JAMAK................ERROR! BOOKMARK NOT DEFINED.
2.2.2 OFDM..............................................ERROR! BOOKMARK NOT DEFINED.
2.2.2.1 KONSEP DASAR OFDM................ERROR! BOOKMARK NOT DEFINED.
2.3 KONFIGURASI OFDM.......................ERROR! BOOKMARK NOT DEFINED.
BAB 3 METODE PENELITIAN.........................................................................4
3.1 ALAT YANG DIGUNAKAN.........ERROR! BOOKMARK NOT DEFINED.
3.2 ALUR PENELITIAN.......................ERROR! BOOKMARK NOT DEFINED.
BAB 4 HASIL DAN PEMBAHASANERROR! BOOKMARK NOT DEFINED.
4.1 PARAMETER EKSPERIMEN........ERROR! BOOKMARK NOT DEFINED.
4.2 ANALISA HASIL EKSPERIMEN..ERROR! BOOKMARK NOT DEFINED.
4.2.1 ANALISIS WATAK KANAL................ERROR! BOOKMARK NOT DEFINED.
4.2.2 ANALISIS ESTIMASI KANAL..............ERROR! BOOKMARK NOT DEFINED.
BAB 5 PENUTUP................................ERROR! BOOKMARK NOT DEFINED.
5.1 KESIMPULAN................................ERROR! BOOKMARK NOT DEFINED.
5.2 SARAN............................................ERROR! BOOKMARK NOT DEFINED.
DAFTAR PUSTAKA.............................................................................................4

vii
viii
 DAFTAR GAMBAR

Gambar 2.1 Metodologi OWASP Web Application Penestration Testing......6

Gambar 2.2 Spektrum ..............................................................................Error!
Bookmark not defined.
Gambar 4.1 Perbandingan Kanal │H21(f)│pada SNR 3 dB..................Error!
Bookmark not defined.
Gambar 4.2 Perbandingan Kanal │H22(f)│pada SNR 3 dB..................Error!
Bookmark not defined.

ix
 DAFTAR TABEL

Tabel 2.1 Profil tunda daya (PDP): Model ITU-R [2]............................Error!

Bookmark not defined.
Tabel 4.1 Parameter simulasi....................................................................Error!
Bookmark not defined.

x
 BAB 1
PENDAHULUAN

1.1 LATAR BELAKANG

Pos Binaan Terpadu (POSBINDU) Lansia Darmakradenan

mengembangkan sebuah aplikasi web untuk pendataan para Lansia oleh kader
dan bidan pada saat pelaksanaan pelayanan kesehatan lansia khususnya di wilayah
Desa Darmakradenan, Ajibarang, Banyumas. Manfaat aplikasi web tersebut
diharapkan para kader maupun bidan dapat mengurangi pemakaian kertas dan
dalam menginputkan data sudah tidak manual, meningkatkan keefektifan kerja,
memudahkan dalam pelaporan data dan pengambilan keputusan.
Menurut Badan Siber Dan Sandi Negara Tahun 2019, situs website yang
dimiliki pemerintah sering terjadi serangan seperti: Web Defacement 34% ,
Phising 9%, Malware 13%, Kerentanan lain 37% [1].
Berdasarkan dari fakta yang terjadi, perlu dilakukan penelitian berupa
evaluasi celah keamanan yang disebut Penetration Testing. Penetration Testing
merupakan metode yang digunakan untuk mengevaluasi keamanan sistem atau
jaringan komputer dengan melakukan uji coba serangan. Dan metodologi yang di-
gunakan adalah milik OWASP. Pada metodologi ( Open Web Application
Security Project ) OWASP, Web Application Security Testing hanya
memfokuskan pada keamanan aplikasi web, dimana prosesnya melibatkan evalu-
asi secara aktif pada aplikasi web, untuk menemukan kelemahan, kecacatan
teknis, dan kelemahan.
Masalah-masalah keamanan kemudian akan dilaporkan kepada pemilik
sistem yang berisikan tentang informasi perkiraan dampak apa yang akan
ditimbulkan dan solusi-solusi teknik yang digunakan untuk masalah-masalah
tersebut. Penetration testing juga dikenal sebagai Black box testing atau ethical
hacking. Penetration testing merupakan pengujian sistem aplikasi web atau
jaringan komputer tanpa mengetahui data apa saja di dalam aplikasi web itu
sendiri. Cara kerjanya sendiri, seorang penulis berperan sebagai penyerang

1
(attacker) dan berusaha untuk menemukan dan mengeksploitasi bagian dari
aplikasi web yang memiliki sifat mudah diserang (vulnerabilities) [2].
1.2 RUMUSAN MASALAH

Rumusan masalah dari penelitian ini adalah:

1) Apa saja celah keamanan yang ada pada aplikasi web Pos Binaan
Terpadu ( POSBINDU ) Lansia Darmakradenan?
2) Bagaimana identifikasi celah keamanan yang dilakukan?
3) Apa tindakan yang dapat dilakukan untuk mengelola dampak yang
ditimbulkan dari eksploitasi celah keamanan tersebut?

1.3 BATASAN MASALAH

Batasan masalah dari penelitian ini adalah:

1) Penelitian dilakukan pada aplikasi web Pos Binaan Terpadu
(POSBINDU) Lansia Darmakradenan.
2) Penelitian dilakukan dengan metodologi milik Open Web Application
Security Project (OWASP ) dengan pengujian berjenis blackbox.
3) Tindakan pengelolaan berupa usulan solusi yang dapat dijadikan seba-
gai bahan pertimbangan mengatasi celah keamanan.
4) Hasil penelitian berupa laporan tertulis.

1.4 TUJUAN

Tujuan dari penelitian ini adalah:

1) Mencari celah keamanan pada aplikasi web Pos Binaan Terpadu

( POSBINDU ) Lansia Darmakradenan.
2) Mengidentifikasi celah keamanan yang ditimbulkan oleh eksploitasi
celah yang ada.
3) Melakukan tindakan untuk mengelola dampak yang ditimbulkan oleh
celah keamanan.

1.5 MANFAAT

2
 Penelitian ini diharapkan dapat membantu Pos Binaan Terpadu
(POSBINDU) Lansia Darmakradenan dalam mengevaluasi aplikasi web dari
perspektif keamanan informasi. Selain itu, penelitian ini juga dapat diharapkan
sebagai bahan pertimbangan dalam pengembangan institusi terkait dengan
keamanan informasi, baik secara teknis maupun non teknis.

1.6 SISTEMATIKA PENULISAN

Sistematika penulisan penelitian ini terbagi menjadi beberapa bab

berdasarkan pengelompokkan pokok-pokok pikiran yang tercantum dengan bab-
bab sebagai berikut :
BAB I PENDAHULUAN
Bab ini berisikan tentang latar belakang, rumusan masalah, batasan
masalah, tujuan, manfaat, dan sistematika penulisan.
BAB II DASAR TEORI
Bab ini berisikan tentang kajian pustaka yang dijadikan sebagai
rujukkan dalam tugas akhir ini dan berisikan tentang landasan-
landasan teori pendukung yang digunakan pada tugas akhir ini.
BAB III METODOLOGI PENELITAN
Bab ini berisikan tentang metode penelitian yang menjelaskan
bagaimana perancangan sistem, pengujian sistem, alat yang akan
digunakan, dan alur penelitian.
BAB IV HASIL DAN PEMBAHASAN
Bab ini berisikan tentang pembahasan dan analisa berdasarkan hasil
penelitian yang telah didapatkan melalui sistem yang telah dibuat.
BAB V PENUTUP
Bab ini berisikan tentang kesimpulan berdasarkan analisis yang telah
dijelaskan pada bab sebelumnya dan saran yang ditunjukkan untuk
penelitian selanjutnya.

3
 BAB 2
DASAR TEORI

2.
2.1 KAJIAN PUSTAKA

Penelitian Aldino Dika Pratama., Amiruddin pada tahun 2021 yang

berjudul ”Uji Keamanan Aplikasi ABC Milik Instansi XYZ Menggunakan OWASP
Mobile Security Testing Guide” meneliti tentang uji keamanan pada Aplikasi
ABC menggunakan OWASP dimana area yang diuji pada penelitian tersebut
adalah Data Storage On Android dan Local Authentication On Android di level
dan ada 8 pengujian, yaitu Testing Local Storage for Sensitive Data, Testing
Local Storage for Input Validation, Testing Logs for Sensitive Data, Determining
Wheter Sensitive Data is Sent to Third Parties, Determining the Keyboard
Cache is Disable for Text Input Fields, Determining Whether Sensitive Stored
Data Has Been Exposed via IPC Mechanisms, Checking for Sensitive Data
Disclosure Through the User Interface, dan Testing Confirm Credentials.
Hasilnya menunjukkan pada Testing Local Storage For Sensitive Data memiliki
kerentanan data sensitif dan dapat bocor, pada Testing Local Storage for Input
Validation data sensitif pada aplikasi dapat terekspos, dan pada Determining
Whether the Keyboard Cache Is Disabled for Text Input Fields ketika aplikasi
dapat menampilkan keyboard cache, infromasi sensitif tersebut dapat
disalahgunakan [11].
Sedangkan Syarif Hidayatulloh., Desky Saptadiaji pada tahun 2020 dengan
penelitiannya yang berjudul ”Penetration Testing pada Website Universitas ARS
Menggunakan Open Web Application Security Project(OWASP)” membahas
tentang resiko yang akan terjadi apabila web server yang digunakan oleh
Universitas ARS tidak memiliki keamanan yang baik yang bisa mengakibatkan
ancaman dari pihak yang tidak bertanggung jawab memanfaatkan celah
keamananan yang merugikan Universitas ARS. Metode yang digunakan adalah
Penetration Testing dengan Metodologi OWASP menggunakan OWASP versi 4
dengan kolaborasi beberapa tools seperti nmap, Uniscan, nikto, dll. Hasilnya

5
keamanan website Universitas ARS sudah baik karena berdasarkan aspek prinsip
keamanan informasi yaitu confidentiality, integrity dan availability terpenuhi,
tetapi hanya pada aspek keamanan integration sedikit kurang terpenuhi karena
Header X-Frame-Options tidak diatur pada kelima subdomain sehingga frame
dapat mudah dimuat di dalam website lain yang mengganggu kebutuhan informasi
[12].
Yum Thurfah Afifa Rosaliah, Jayanta, Bayu Hananto melakukan peneli-
tian pada tahun 2021 tentang “Pengujian Celah Keamanan Website Menggunakan
Teknik Penetration Testing dan Metode OWASP TOP 10 pada Website SIM xxx”
yang membahas tentang menguji celah keamanan website menggunakan Penetra-
tion Testing dan metode OWASP top 10, penelitian ini menggambarkan imple-
mentasi dari penetration testing dan metode OWASP top 10 untuk melakukan
pengujian terhadap website SIM xxx yang ditemukan 4 celah keamanan yaitu
Broken Authentication, Sensitive data Exposure, Security misconfiguration, dan
Clickjacking from vulnerabillity scanning [13].
Penelitian yang dilakukan tidak terlepas dari hasil penelitian yang telah
disebutkan diatas dan selanjutnya dipaparkan dalam bentuk tabel 2.1
Tabel 2.1 Tinjauan Pustaka Penelitian Terdahulu
No Jurnal Tahun Keterangan
1 Pratama, A.D., Amiruddin 2021 Meneliti tentang uji keamanan
yang berjudul ”Uji pada Aplikasi ABC
Keamanan Aplikasi ABC menggunakan OWASP dimana
Milik Instansi XYZ area yang diuji pada penelitian
Menggunakan OWASP tersebut adalah Data Storage On
Mobile Security Testing Android dan Local
Guide” Authentication On Android di
level dan ada 8 pengujian.
2 Hidayatulloh, Syarif., 2020 Tentang resiko yang akan terjadi
Saptadiaji, Desky dengan apabila web server yang
penelitiannya yang digunakan oleh Universitas ARS
berjudul ”Penetration tidak memiliki keamanan yang
Testing pada Website baik yang bisa mengakibatkan

5
 Universitas ARS ancaman dari pihak yang tidak
Menggunakan Open Web bertanggung jawab
Application Security memanfaatkan celah
Project(OWASP)” keamananan yang merugikan
Universitas ARS.
3 Yum Thurfah Afifa 2021 Tentang menguji celah
Rosaliah, Jayanta, Bayu keamanan website menggunakan
Hananto tentang Penetration Testing dan metode
“Pengujian Celah OWASP top 10, penelitian ini
Keamanan Website menggambarkan implementasi
Menggunakan Teknik dari penetration testing dan
Penetration Testing dan metode OWASP top 10 untuk
Metode OWASP TOP 10 melakukan pengujian terhadap
pada Website SIM xxx” website SIM xxx yang
ditemukan 4 celah keamanan

2.2 DASAR TEORI

2.2.1 Penetration Testing

Penetration testing adalah serangkaian proses yang berisi teknik dan

prosedur untuk mengevaluasi keamanan sebuah sistem komputer atau jaringan
dengan melakukan simulasi untuk mengetahui celah-celah keamanan yang
nantinya merupakan hasil dari pengujian dan selanjutnya menjadi bahan
rekomendasi kepada organisasi maupun instansi yang memiliki sistem tersebut
untuk diperbaiki [3].
Adapun istilah Penetration testing sering disalah artikan sebagai
Vulnerability Analysis. Sedangkan Vulnerability Analysis sendiri merupakan
proses pemeriksaan sebuah sistem untuk mengidentifikasi keberadaan celah
keamanan. Sedangkan Penetration testing sendiri merupakan simulasi berupa
penyerangan terhadap sistem untuk menguji adanya celah keamanan pada sistem

6
tersebut. Sehingga bisa disimpulkan bahwa Penetration testing adalah kelanjutan
dari Vulnerability Analysis [4].
Adapun terdapat banyak metodologi untuk melakukan Penetration Testing
salah satunya adalah milik Open Web Application Security Project (OWASP).
Yang akan digunakan pada penelitian kali ini.

2.2.2 Black Box Testing

Black Box Testing merupakan teknik yang membutuhkan keahlian dalam
pengujian sistem, karena saat pengujian nanti si penguji tidak mengetahui sama
sekali informasi infrastruktur sistem yang dimiliki oleh target. Skenario
penyerangan yang dilakukan, penulis nantinya akan berperan sebagai hacker yang
akan menyerang sistem tersebut dan dalam pelaksanaannya penulis tidak akan
diberikan informasi apapun terkait dengan sistem tersebut [5].
Karena menggunakan black box testing maka prosedur pengujian penetrasi
pada aplikasi web Posbindu Lansia akan menjadi seperti berikut :
1. Penguji melapor kepada admin Posbindu Lansia untuk melakukan uji
penetrasi.
2. Admin menyiapkan space waktu untuk melakukan uji penetrasi.
3. Penguji melakukan uji penetrasi pada space waktu yang telah
diberikan oleh admin.
4. Penguji melakukan dokumentasi terhadap penemuan celah keamanan.
5. Penguji melapor kepada admin pada setiap interval waktu tertentu

2.2.3 Vulnerability ( Celah Keamanan)

Vulnerability merupakan kelemahan sebuah software, hardware atau
prosedur yang menyebabkan penyusup dapat mendapatkan celah untuk mereka
eksploitasi sehingga memiliki kewenangan akses terhadap lingkungan dan sumber
daya yang terdapat didalamnya. Vulnerability mempunyai karakteristik yaitu
kelemahan dari penjagaan sehingga sistem dapat dieksploitasi.
Sebuah layanan yang berjalan di sebuah server, atau sistem operasi
dikatakan memiliki Vulnerability jika aplikasi di dalamya tidak atau belum
dilakukan update versi secara berkala. Terbukanya port pada firewall sebuah

7
server, dan tidak adanya sistem yang mencegah virus masuk pada sebuah
komputer dapat dikategorikan sebagai Vulnerability [6].
2.2.4 Posbindu ( Pos Binaan Terpadu )
Posbindu merupakan pos pembinaan terpadu lanjut usia tingkat kelurahan
didalam wilayah kerja puskesmas. Posbindu juga merupakan wujud partisipasi
masyarakat yang menekankan pada upaya deteksi dini resiko terkena penyakit
tidak menular secara terpadu [7].
Posyandu Lansia merupakan wahana pelayanan bagi kaum lansia,yang
dilakukan dari, oleh dan untuk kaum usia lanjut yang menitik beratkan pada
pelayanan promotif dan preventif, tanpa mengabaikan upaya kuratif dan
rehabilitatif [8].

2.2.5 OWASP
OWASP ( Open Web Application Security Project ) merupakan organisasi
nirlaba internasional yang didedikasikan untuk keamanan aplikasi web. Salah satu
prinsip inti OWASP adalah bahwa semua materi mereka tersedia secara bebas dan
mudah diakses di situs web mereka, memungkinkan siapa saja untuk
meningkatkan keamanan aplikasi web mereka sendiri.
OWASP sendiri melakukan penelitian dan hasilnya di sosialkan untuk
meningkatkan kesadaran akan keamanan aplikasi web. Beberapa project yang
dimiliki OWASP diantaranya WebGoat, WebScarab, OWASB Web Application
Penetration Testing, dan OWASP 10 dan pada tugas akhir ini penulis akan
menggunakan metode dari OWASP yaitu OWASP Web Application Penetration
Testing.

2.2.5.1 OWASP Web Application Penetration Testing

Pada OWASP (Open Web Application Security Project) versi 4 terdapat
beberapa subkategori untuk menguji keamanan dari sebuah website yang disebut
dengan web application penetration testing methodology. Secara umum metode
yang digunakan OWASP adalah injeksi dengan menggunakan request dan
response method yaitu memanfaatkan HTTP Verb (POST, GET, PUT, PATCH,
dan DELETE) kemudian dilihat apakah terdapat kerentanan yang dapat

8
mengakibatkan dampak terhadap aplikasi web tersebut . Berikut adalah Flow
Chart penetration testing dengan OWASP dari penelitian sebelumnya :

Gambar 2.1 Metodologi OWASP Web Application Penetration Testing

1. Aplikasi melakukan sebuah request berupa url ke server

2. Server merespon dengan tampilan berupa html
3. Melakukan scanning terhadap respon dari server berupa html
4. Melakukan injeksi script penyerangan
5. Melakukan scanning terhadap respon html untuk memeriksa hasil dari
proses injeksi
6. Memberikan laporan hasil proses scanning

Berikut adalah Testing Guide yang ada pada OWASP :

1. Introduction and Objectives
Membuat tabel checklist mengenai testing yang akan dilakukan dan
Mencari informasi mengenai informasi aplikasi web seperti bahasa
pemrograman yang digunakan, dimana aplikasi web di simpan,

9
 database apa yang digunakan, serta metafiles yang berisi informasi
mengenai aplikasi web..
2. Authentication Testing
Pengujian terhadap autentikasi aplikasi web dengan mencari celah
untuk bisa masuk sebagai user yang memiliki hak akses seperti
mencari celah mekanisme pada akun default, skema bypass akun,
fungsi pengingat akun, kebijakan akun yang lemah, fungsi reset akun,
alternatif kanal otentifikasi lain.
3. Authorization Testing
Pengujian terhadap otorisasi aplikasi dengan tidak menggunakan jalan
masuk yang seharusnya dan tidak melakukan login untuk masuk
sebagai pemilik akses, dengan memanfaatkan get dan post method http.
4. Session Management Testing
Pengujian terhadap Session yang ditinggalkan oleh aplikasi web yaitu
cookies yang bisa dimanfaatkan untuk bisa masuk sebagai pemilik
akses tanpa harus login dengan merubah rolenya.
5. Input Validation Testing
Pengujian terhadap validasi terhadap script yang dapat di eksekusi
sehingga menyebabkan risiko seperti form pendaftaran, upload, yang
berbahaya terhadap aplikasi web seperti SQL Injection, XML
Injection, CSS, dan lain-lain.
Pada pengerjaan Tugas Akhir , penulis akan menggunakan testing guide
framework yang dikembangan oleh OWASP. Adapun permasalahan pada biaya
dapat diatasi dengan menggunakan aplikasi yang bersifat open source, sehingga
tidak membutuhkan biaya. Sedangkan pada tahap Penetration Testing, penulis
akan menggunakan Black Box Testing. Cara ini digunakan dengan pertimbangan
akan kebutuhan akan adanya simulasi penyerangan sebagai seorang hacker.

2.2.6 Common Weakness Enumeration (CWE)

CWE merupakan sebuah daftar seperti kamus yang berisi tentang celah
keamanan untuk mengidentifikasi kategori umum dari kekurangan , bug dan

10
kesalahan lain yang ditemukan dalam software architecture, code, atau design
yang rentan terhadap serangan.
CWE nantinya akan digunakan oleh penulis sebagai acuan untuk
menentukan rekomendasi pada celah keamanan yang ditentukan. Pada penentuan
mitigasi nanti 1 celah keamanan akan di mapping dengan 1 kode CWE atau
Common Attack Pattern Enumeration Classification (CAPEC) , CWE mewakili
dari tipe dari celah keamanan yang ditemukan sedangkan CAPEC mewakili dari
tipe serangan yang bisa dilakukan dalam memanfaatkan celah keamanan [10].

2.2.7 CIA Triad

CIA Triad dibagi ke dalam 3 kategori yaitu Confidentiality, Integrity, dan
Availability. Kategori tersebut dilihat dari areanya sebagai berikut :
1. Confidentiality
Memastikan bahwa informasi bisa diakses oleh orang-orang tertentu
atau hanya kepada orang yag berwenang.
2. Integrity
Memastikan informasi dapat dipertanggung jawabkan dan akurat dan
tidak diubah tanpa izin.
3. Availability
Memastikan informasi dapat diakses oleh pihak berwenang saat dibu-
tuhkan [14].

11
 BAB 3
METODE PENELITIAN
3.

3.1 ALUR PENELITIAN

Pada suatu penelitian diperlukan adanya alur penelitian agar proses

penelitian yang dilakukan lebih terstruktur dan sistematis . Berikut merupakan
alur penelitian yang ada pada penelitian ini sama seperti penelitian sebelumnya :

Gambar 2.6 Diagram Alur Penelitian

Pada gambar alur diatas dijelaskan secara singkat bahwa penelitian ini
dimulai dengan studi literatur dengan mencari dan membandingkan beberapa jur-

12
nal yang diambil sebagai referensi. Sehingga dapat digunakan sebagai acuan pada
penelitian kali ini. Kemudian dilanjutkan dengan menentukan ruang lingkup
(Scope) yanag nantinya digunakan menentukan ruang lingkup terhadap sistem ap-
likasi web yang akan diuji dengan penetration attack. Lalu selanjutnya melakukan
perancangan pengujian didalamnya yang nantinya akan dilakukan testing cheklist,
tools maping dan information gathering.
Pada blok eksekusi pengujian merupakan tahap yang dilakukan sebagai in-
put untuk evaluasi celah keamanan yang akan dilakukan, tiap pengujian yang
menghasilkan temuan celah keamanan atau findings akan diidentifikasi, dianalisis,
dan ditentukan rekomendasi celah keamananya. Pada blok identifikasi celah kea-
manan merupakan proses mengidentifikasi baik dari deskripsi celah keamanan,
metode penyerangan yang dilakukan , dan dampaknya terhadap aplikasi web dari
setiap celah keamanan yang ditemukan.
Pada blok analisis celah keamanan merupakan proses melakukan review
atau ringkasan pada celah keamanan yang ditimbulkan berdasarkan Risk Metod-
hology OWASP , akan terdiri dari 3 analisis yaitu likelihood, impact dan severity.
Setelah melakukan analisis celah kemanan, pada blok evaluasi celah keamanan
menentukan rekomendasi celah kemaanan yang harus dilakukan seperti rekomen-
dasi per celah keamanan bedasarkan Common Weakness Enumeration (CWE).
Lalu selanjutnya adalah tahap penulisan laporan yaitu melaporkan hasil penelitian
dalam bentuk dokumen hasil akhir.

3.2 ALAT DAN BAHAN

3.2.1 Perangkat Keras (Hardware)

Pada penelitian kali ini menggunakan 1 device atau perangkat untuk

menjalankan software pada penelitian Evaluasi Risiko Celah Keamanan
menggunakan Metodologi Open Web Application Security Project (OWASP)
pada Aplikasi Web Posbindu Darmakradenan dengan keterangan spesifikasi pada
tabel 3.1

Tabel 3.1 Spesifikasi Laptop

Spesifikasi

13
 Processo Intel Core I5-2430M (2.40 GHz (4 CPUs) – 2.4 Ghz)
r
RAM 2 GB DDR3
SSD 240 GB

3.2.2 Perangkat Lunak (Software)

Pada penelitian ini menggunakan perangkat lunak sistem operasi Windows

dengan tools dan software untuk menjalankan simulasi penelitian Evaluasi Risiko
Celah Keamanan menggunakan Metodologi Open Web Application Security
Project (OWASP) pada Aplikasi Web Posbindu Darmakradenan dengan
spesifikasi pada tabel 3.2

Tabel 3.2 Perangkat Lunak (Software)

No. Nama Software Fungsi

1 Windows 10 Sistem Operasi
2 OWASP Zap Software Pengujian
Attack Proxy
3 Google Chrome Menjelajah Situs Web
4 Havij Aplikasi Pengujian
5 Netsparker Aplikasi Pengujian
6 Nikto Aplikas Pengujian
7 Sql Map Aplikasi Pengujian

3.3 LANGKAH PENELITIAN

3.3.1 Penentuan Ruang Lingkup Pekerjaan (Scope)

Scope adalah tahapan peneliti dalam menentukan ruang lingkup penelitian.
Dan pada penelitian ini berfokus untuk menemukan kerentanan web aplikasi serta
jika dapat memperbaiki kerentanan yang ditemukan untuk segera diperbaiki

3.3.2 Perencanaan Pengujian

1. Testing Checklist

14
 Membuat daftar cheklist untuk pelaksanaan proses eksekusi pengujian
yang nantinya akan dilakukan.

2. Tools Mapping
Melakukan pemetaan pada tools yang akan digunakan dalam
penelitian.
3. Information Gathering
Memulai pemeriksaan terhadap struktur web aplikasi seperti port,
operating system, framework, network routing, web crawling.

3.3.3 Eksekusi Proses Pengujian

Pengujian yang dilakukan pada proses ini adalah sebagai input evaluasi
celah keamanan yang nantinya akan dilakukan, nantinya setiap pengujian
yang mendapatkan celah keamanan akan diidentifikasi , di analisis, dan
akan ditentukan rekomendasi celah keamananya. Berikut penjelasannya
antara lain :
1. Authentication Testing
Melakukan pengujian terhadapa sistem otentikasi yang ada dalam web
aplikasi, seperti apa cara kerja otentikasi dalam mengidentifikasi
identitas digital adalah benar atau tidak, contohnya proses login.
2. Authorization Testing
Melakukan pengujian terhadap sistem otorasi yang ada pada web
aplikasi, untuk mengetahui seperti apa otorisasi yang diterapkan dalam
memberi user hak atau akses untuk melakukan tindakan-tindakan
tertentu sesuai dengan level akses yang dimliki.
3. Session Management Testing
Melakukan pengujian pada manajemen session yanag ada pada
aplikasi web saat interaksi antara user dan web-based application
berlangsung.
4. Input Validation Testing

15
 Melakukan pengujian validasi dari aplikasi web yang diberikan kepada
user, biasanya hal ini menjadi celah ketika user diperbolehkan untuk
melakukan input scripting yang berbahaya, seperti form upload.

3.3.4 Identifikasi Celah Keamanan

Dari semua celah kemanan nanti yang ditemukan akan dilakukan
identifikasi baik dari deskripsi celah keamanan, metode penyerangan, dan
dampak yang ditimbulkan. Pendeskripsian-nya antara lain :
1. Deskripsi Celah Keamanan
Deskripsi celah keamanan akan berisi tentang informasi mengenai
celah keamanan yang ditemukan dan akan mengacu pada daftar celah
keamanan pada Common Weakness Enumeration (CWE) serta
keterangan pada tools yang digunakan.
2. Metode Penyerangan
Merupakan metode penyerangan yang dilakukan untuk menemukan
celah keamanan yang didapat yang kemudian dijelaskan pada bagian
untuk memperjelas alur dari timbulnya celah keamanan.
3. Dampak Celah Keamanan
Dampak yang ditimbulkan oleh celah keamanan yan ditemukan perlu
dijelaskan sebagai bahan pertimbangan saat analisis celah keamanan

3.3.5 Analisis Celah Keamanan

Melakukan ringkasan yang berdasarkan pada analisis dan fakta terhadap
celah keamanan yang ditimbulkan berdasarkan Risk Methodology OWASP
berdasarkan 3 analisis yaitu likelihood, impact, dan severity.
1. Analisis Likelihood
Analisis terhadap terjadinya tingkat kemungkinan celah keamanan
berdasarkan 2 faktor yaitu threat agents dan vulnerability factors.
2. Analisis Impact

16
 Analisis terhadapa tingkat dari dampak yang ditimbulkan oleh celah
keamanan berdasarkan 2 aspek yaitu technical dan business.
3. Analisis Severity
Menentukan severity dari semua celah keamanan yang ditemukan
dengan mencari rata-rata dari faktor setiap celah keamanan.
Selanjutnya ditentukan levelnya dengan likelihood dan impact levels.
Setiap celah keamanan mempunyai bobot likelihood dan impact levels
yang berbeda-beda, diimulai dari low, medium dan high.

3.3.6 Evaluasi Celah Keamanan

Setelah melakukan analisis celah keamanan selanjutnya adalah tahap
dalam menentukan rekomendasi keamanan yang harus dilakukan.
1. Rekomendasi Celah Berdasarkan Common Weakness Enumeration
(CWE)
Setiap celah keamanan yang ditemukan akan di jelaskan rekomendasi
tindakan yang harus dilakukan untuk meminimalkan dampak dari
celah keamanan. Rekomendai mengacu pada Common Weakness
Enumeration (CWE).
2. Prioritas Penyelesaian Celah Keamanan
Mengacu pada nilai severity yang dihasilkan setiap celah keamanan
lalu diurutkan sehingga ditemukan prioritas yang harus diselesaikan
terlebih dahulu.

3.3.7 Penyusunan Laporan Akhir

Melaporkan hasil penelitian dalam bentuk laporan akhir

3.4 SKENARIO PENGUJIAN

Pengujian pada penelitian ini difokuskan untuk menguji evaluasi celah
kemanan dengan menggunaan Web Application Penetration Testing dan
Risk Rating milik OWASP, nantinya akan dilakukan simulasi penyerangan
terhadap aplikasi web, dalam simulasi penyerangan nanti digunakan 5
kategori pengujian yang akan dilakukan dengan tools ataupun off-script

17
 dan hasil dari celah keamanan yang ditemukan nanti akan dilakukan
identifikasi baik dari deskripsi, metode penyerangan dan dampak dari
celah keamanan yang ditemukan, setelah itu dilanjutkan dengan analisis
celah keamanan dengan Risk Rating Methodology OWASP yang terdiri
dari 3 analisis yaitu likelihood, impact , dan severity. Setelah dilakukan
analisis celah keamanan kemudian menentukan rekomendasi yang harus
dilakukan pada celah keamanan, rekomendasi bisa berdasarkan dari
Common Weakness Enumeration (CWE) dan prioritas penyelesaian celah
keamanan kemudian melaporkan hasil dalam bentuk dokumen hasil akhir.
3.5 PARAMETER PENGUJIAN
Pengujian parameter dilakukan untuk mengetahui risiko dan dampak yang
ditimbulkan oleh celah keamanan. Parameter yang diuji yaitu Risiko, CIA,
dan Dampak yang akan diuji oleh penyerang. Berikut Tabel dari skenario
pengujian parameter
Tabel 3.3 Pengujian Risiko, CIA, dan Dampak

Vulnerabilit Nama
No Risiko Celah Dampak
y ID Celah
1
2
3
4

18
 DAFTAR PUSTAKA

[1] B. Klaus and P. Horn, Robot Vision. Cambridge, MA: MIT Press, 1986.
[2] L. Stein, “Random patterns,” in Computers and You, J. S. Brake, Ed. New
York: Wiley, 1994, pp. 55-70.
[3] S.Zhang, C. Zhu, J.K O. Sin, and P.K.T. Mok, “A novel ultrathin elevated
channel low-temperature poly-Si TFT,” IEEEElectron Device Lett., vol.20, pp.
569-571, Nov. 1999.
[4] Transmission Systems for Communications, 3rd ed., Western Electric Co.,
Winston-Salem, NC, 1985, pp. 44–60.
[5] Motorola Semiconductor Data Manual, Motorola Semiconductor Products
Inc., Phoenix, AZ, 1989.
[6] RCA Receiving Tube Manual, Radio Corp. of America, Electronic Compo-
nents and Devices, Harrison, NJ, Tech. Ser. RC-23, 1992.

19