Disusun oleh
2022
TUGAS AKHIR
Disusun oleh
2022
iv
EVALUASI CELAH KEAMANAN MENGGUNAKAN METODOLOGI
OPEN WEB APPLICATION SECURITY PROJECT ( OWASP ) PADA AP-
LIKASI WEB POSBINDU DARMAKRADENAN
Disusun oleh
DOSEN PEMBIMBING
i
2022
HALAMAN PENGESAHAN
Disusun oleh
TIAN PRESTI HERLINA
19201008
Penguji 1 :. ( )
NIDN.
Penguji 2 : ( )
NIDN.
Penguji 3 : ( )
NIDN.
Mengetahui,
ii
NIDN. 607129002
HALAMAN PERNYATAAN ORISINALITAS
Dengan ini saya, TIAN PRESTI HERLINA, menyatakan bahwa skripsi dengan
judul “ EVALUASI CELAH KEAMANAN MENGGUNAKAN
METODOLOGI OPEN WEB APPLICATION SECURITY PROJECT
( OWASP ) PADA APLIKASI WEB POSBINDU DARMAKRADENAN ”
adalah benar-benar karya saya sendiri. Saya tidak melakukan penjiplakan kecuali
melalui pengutipan sesuai dengan etika keilmuan yang berlaku. Saya bersedia
menanggung risiko ataupun sanksi yang dijatuhkan kepada saya apabila
ditemukan pelanggaran terhadap etika keilmuan dalam skripsi saya ini.
Yang menyatakan,
III
PRAKATA
Puji dan syukur penulis panjatkan kehadirat Allah SWT yang telah
melimpahkan kasih dan sayang-Nya sehingga penulis dapat menyelesaikan skripsi
yang berjudul “EVALUASI CELAH KEAMANAN MENGGUNAKAN
METODOLOGI OPEN WEB APPLICATION SECURITY PROJECT
( OWASP ) PADA APLIKASI WEB POSBINDU DARMAKRADENAN”.
Maksud dari penyusunan skripsi ini adalah untuk memenuhi salah satu
syarat dalam menempuh ujian sarjana Teknik Telekomunikasi pada Fakultas
Teknik Telekomunikasi dan Elektro Institut Teknologi Telkom Purwokerto.
Dalam penyusunan skripsi ini, banyak pihak yang sangat membantu
penulis dalam berbagai hal. Oleh karena itu, penulis sampaikan rasa terima kasih
yang sedalam-dalamnya kepada:
1. Bapak Bongga Arifwidodo, S.ST., M.T.selaku pembimbing I.
2. Bapak Muntaqo Alfin Amanaf, S.ST., M.T. selaku ketua Program Studi D3
Teknik Telekomunikasi dan juga selaku pembimbing 2.
3. Bapak dan Ibu penulis selaku Orang Tua yang sangat disayangi dan menjadi
salah satu alasan untuk menyelesaikan Tugas Akhir ini.
4. Diri sendiri yang telah melawan rasa takut,overthinking setiap malam, jatuh
dan bangun dan tetap berjalan untuk menjalankan kehidupan.
5. Dan orang-orang yang mendukung penulis yang tidak bisa disebut satu per
satu.
iv
ABSTRAK
v
ABSTRACT
vi
DAFTAR ISI
HALAMAN JUDUL...............................................................................................I
HALAMAN PENGESAHAN.............................................................................IV
HALAMAN PERNYATAAN ORISINALITAS...............................................IV
PRAKATA...........................................................................................................IV
ABSTRAK............................................................................................................IV
ABSTRACT.........................................................................................................IV
DAFTAR ISI........................................................................................................IV
DAFTAR GAMBAR........................................................................................VIII
DAFTAR TABEL..............................................................................................IIV
BAB 1 PENDAHULUAN.....................................................................................4
1.1 LATAR BELAKANG...............................................................................4
1.2 RUMUSAN MASALAH..........................................................................4
1.3 BATASAN MASALAH...........................................................................4
1.4 TUJUAN...................................................................................................4
1.5 MANFAAT...............................................................................................4
1.6 SISTEMATIKA PENULISAN.................................................................4
BAB 2 DASAR TEORI.........................................................................................4
2.1 KAJIAN PUSTAKA.................................................................................4
2.2 DASAR TEORI.........................................................................................4
2.2.1 KANAL LINTASAN JAMAK................ERROR! BOOKMARK NOT DEFINED.
2.2.2 OFDM..............................................ERROR! BOOKMARK NOT DEFINED.
2.2.2.1 KONSEP DASAR OFDM................ERROR! BOOKMARK NOT DEFINED.
2.3 KONFIGURASI OFDM.......................ERROR! BOOKMARK NOT DEFINED.
BAB 3 METODE PENELITIAN.........................................................................4
3.1 ALAT YANG DIGUNAKAN.........ERROR! BOOKMARK NOT DEFINED.
3.2 ALUR PENELITIAN.......................ERROR! BOOKMARK NOT DEFINED.
BAB 4 HASIL DAN PEMBAHASANERROR! BOOKMARK NOT DEFINED.
4.1 PARAMETER EKSPERIMEN........ERROR! BOOKMARK NOT DEFINED.
4.2 ANALISA HASIL EKSPERIMEN..ERROR! BOOKMARK NOT DEFINED.
4.2.1 ANALISIS WATAK KANAL................ERROR! BOOKMARK NOT DEFINED.
4.2.2 ANALISIS ESTIMASI KANAL..............ERROR! BOOKMARK NOT DEFINED.
BAB 5 PENUTUP................................ERROR! BOOKMARK NOT DEFINED.
5.1 KESIMPULAN................................ERROR! BOOKMARK NOT DEFINED.
5.2 SARAN............................................ERROR! BOOKMARK NOT DEFINED.
DAFTAR PUSTAKA.............................................................................................4
vii
viii
DAFTAR GAMBAR
ix
DAFTAR TABEL
x
BAB 1
PENDAHULUAN
1
(attacker) dan berusaha untuk menemukan dan mengeksploitasi bagian dari
aplikasi web yang memiliki sifat mudah diserang (vulnerabilities) [2].
1.2 RUMUSAN MASALAH
1.4 TUJUAN
1.5 MANFAAT
2
Penelitian ini diharapkan dapat membantu Pos Binaan Terpadu
(POSBINDU) Lansia Darmakradenan dalam mengevaluasi aplikasi web dari
perspektif keamanan informasi. Selain itu, penelitian ini juga dapat diharapkan
sebagai bahan pertimbangan dalam pengembangan institusi terkait dengan
keamanan informasi, baik secara teknis maupun non teknis.
3
BAB 2
DASAR TEORI
2.
2.1 KAJIAN PUSTAKA
5
keamanan website Universitas ARS sudah baik karena berdasarkan aspek prinsip
keamanan informasi yaitu confidentiality, integrity dan availability terpenuhi,
tetapi hanya pada aspek keamanan integration sedikit kurang terpenuhi karena
Header X-Frame-Options tidak diatur pada kelima subdomain sehingga frame
dapat mudah dimuat di dalam website lain yang mengganggu kebutuhan informasi
[12].
Yum Thurfah Afifa Rosaliah, Jayanta, Bayu Hananto melakukan peneli-
tian pada tahun 2021 tentang “Pengujian Celah Keamanan Website Menggunakan
Teknik Penetration Testing dan Metode OWASP TOP 10 pada Website SIM xxx”
yang membahas tentang menguji celah keamanan website menggunakan Penetra-
tion Testing dan metode OWASP top 10, penelitian ini menggambarkan imple-
mentasi dari penetration testing dan metode OWASP top 10 untuk melakukan
pengujian terhadap website SIM xxx yang ditemukan 4 celah keamanan yaitu
Broken Authentication, Sensitive data Exposure, Security misconfiguration, dan
Clickjacking from vulnerabillity scanning [13].
Penelitian yang dilakukan tidak terlepas dari hasil penelitian yang telah
disebutkan diatas dan selanjutnya dipaparkan dalam bentuk tabel 2.1
Tabel 2.1 Tinjauan Pustaka Penelitian Terdahulu
No Jurnal Tahun Keterangan
1 Pratama, A.D., Amiruddin 2021 Meneliti tentang uji keamanan
yang berjudul ”Uji pada Aplikasi ABC
Keamanan Aplikasi ABC menggunakan OWASP dimana
Milik Instansi XYZ area yang diuji pada penelitian
Menggunakan OWASP tersebut adalah Data Storage On
Mobile Security Testing Android dan Local
Guide” Authentication On Android di
level dan ada 8 pengujian.
2 Hidayatulloh, Syarif., 2020 Tentang resiko yang akan terjadi
Saptadiaji, Desky dengan apabila web server yang
penelitiannya yang digunakan oleh Universitas ARS
berjudul ”Penetration tidak memiliki keamanan yang
Testing pada Website baik yang bisa mengakibatkan
5
Universitas ARS ancaman dari pihak yang tidak
Menggunakan Open Web bertanggung jawab
Application Security memanfaatkan celah
Project(OWASP)” keamananan yang merugikan
Universitas ARS.
3 Yum Thurfah Afifa 2021 Tentang menguji celah
Rosaliah, Jayanta, Bayu keamanan website menggunakan
Hananto tentang Penetration Testing dan metode
“Pengujian Celah OWASP top 10, penelitian ini
Keamanan Website menggambarkan implementasi
Menggunakan Teknik dari penetration testing dan
Penetration Testing dan metode OWASP top 10 untuk
Metode OWASP TOP 10 melakukan pengujian terhadap
pada Website SIM xxx” website SIM xxx yang
ditemukan 4 celah keamanan
6
tersebut. Sehingga bisa disimpulkan bahwa Penetration testing adalah kelanjutan
dari Vulnerability Analysis [4].
Adapun terdapat banyak metodologi untuk melakukan Penetration Testing
salah satunya adalah milik Open Web Application Security Project (OWASP).
Yang akan digunakan pada penelitian kali ini.
7
server, dan tidak adanya sistem yang mencegah virus masuk pada sebuah
komputer dapat dikategorikan sebagai Vulnerability [6].
2.2.4 Posbindu ( Pos Binaan Terpadu )
Posbindu merupakan pos pembinaan terpadu lanjut usia tingkat kelurahan
didalam wilayah kerja puskesmas. Posbindu juga merupakan wujud partisipasi
masyarakat yang menekankan pada upaya deteksi dini resiko terkena penyakit
tidak menular secara terpadu [7].
Posyandu Lansia merupakan wahana pelayanan bagi kaum lansia,yang
dilakukan dari, oleh dan untuk kaum usia lanjut yang menitik beratkan pada
pelayanan promotif dan preventif, tanpa mengabaikan upaya kuratif dan
rehabilitatif [8].
2.2.5 OWASP
OWASP ( Open Web Application Security Project ) merupakan organisasi
nirlaba internasional yang didedikasikan untuk keamanan aplikasi web. Salah satu
prinsip inti OWASP adalah bahwa semua materi mereka tersedia secara bebas dan
mudah diakses di situs web mereka, memungkinkan siapa saja untuk
meningkatkan keamanan aplikasi web mereka sendiri.
OWASP sendiri melakukan penelitian dan hasilnya di sosialkan untuk
meningkatkan kesadaran akan keamanan aplikasi web. Beberapa project yang
dimiliki OWASP diantaranya WebGoat, WebScarab, OWASB Web Application
Penetration Testing, dan OWASP 10 dan pada tugas akhir ini penulis akan
menggunakan metode dari OWASP yaitu OWASP Web Application Penetration
Testing.
8
mengakibatkan dampak terhadap aplikasi web tersebut . Berikut adalah Flow
Chart penetration testing dengan OWASP dari penelitian sebelumnya :
9
database apa yang digunakan, serta metafiles yang berisi informasi
mengenai aplikasi web..
2. Authentication Testing
Pengujian terhadap autentikasi aplikasi web dengan mencari celah
untuk bisa masuk sebagai user yang memiliki hak akses seperti
mencari celah mekanisme pada akun default, skema bypass akun,
fungsi pengingat akun, kebijakan akun yang lemah, fungsi reset akun,
alternatif kanal otentifikasi lain.
3. Authorization Testing
Pengujian terhadap otorisasi aplikasi dengan tidak menggunakan jalan
masuk yang seharusnya dan tidak melakukan login untuk masuk
sebagai pemilik akses, dengan memanfaatkan get dan post method http.
4. Session Management Testing
Pengujian terhadap Session yang ditinggalkan oleh aplikasi web yaitu
cookies yang bisa dimanfaatkan untuk bisa masuk sebagai pemilik
akses tanpa harus login dengan merubah rolenya.
5. Input Validation Testing
Pengujian terhadap validasi terhadap script yang dapat di eksekusi
sehingga menyebabkan risiko seperti form pendaftaran, upload, yang
berbahaya terhadap aplikasi web seperti SQL Injection, XML
Injection, CSS, dan lain-lain.
Pada pengerjaan Tugas Akhir , penulis akan menggunakan testing guide
framework yang dikembangan oleh OWASP. Adapun permasalahan pada biaya
dapat diatasi dengan menggunakan aplikasi yang bersifat open source, sehingga
tidak membutuhkan biaya. Sedangkan pada tahap Penetration Testing, penulis
akan menggunakan Black Box Testing. Cara ini digunakan dengan pertimbangan
akan kebutuhan akan adanya simulasi penyerangan sebagai seorang hacker.
10
kesalahan lain yang ditemukan dalam software architecture, code, atau design
yang rentan terhadap serangan.
CWE nantinya akan digunakan oleh penulis sebagai acuan untuk
menentukan rekomendasi pada celah keamanan yang ditentukan. Pada penentuan
mitigasi nanti 1 celah keamanan akan di mapping dengan 1 kode CWE atau
Common Attack Pattern Enumeration Classification (CAPEC) , CWE mewakili
dari tipe dari celah keamanan yang ditemukan sedangkan CAPEC mewakili dari
tipe serangan yang bisa dilakukan dalam memanfaatkan celah keamanan [10].
11
BAB 3
METODE PENELITIAN
3.
12
nal yang diambil sebagai referensi. Sehingga dapat digunakan sebagai acuan pada
penelitian kali ini. Kemudian dilanjutkan dengan menentukan ruang lingkup
(Scope) yanag nantinya digunakan menentukan ruang lingkup terhadap sistem ap-
likasi web yang akan diuji dengan penetration attack. Lalu selanjutnya melakukan
perancangan pengujian didalamnya yang nantinya akan dilakukan testing cheklist,
tools maping dan information gathering.
Pada blok eksekusi pengujian merupakan tahap yang dilakukan sebagai in-
put untuk evaluasi celah keamanan yang akan dilakukan, tiap pengujian yang
menghasilkan temuan celah keamanan atau findings akan diidentifikasi, dianalisis,
dan ditentukan rekomendasi celah keamananya. Pada blok identifikasi celah kea-
manan merupakan proses mengidentifikasi baik dari deskripsi celah keamanan,
metode penyerangan yang dilakukan , dan dampaknya terhadap aplikasi web dari
setiap celah keamanan yang ditemukan.
Pada blok analisis celah keamanan merupakan proses melakukan review
atau ringkasan pada celah keamanan yang ditimbulkan berdasarkan Risk Metod-
hology OWASP , akan terdiri dari 3 analisis yaitu likelihood, impact dan severity.
Setelah melakukan analisis celah kemanan, pada blok evaluasi celah keamanan
menentukan rekomendasi celah kemaanan yang harus dilakukan seperti rekomen-
dasi per celah keamanan bedasarkan Common Weakness Enumeration (CWE).
Lalu selanjutnya adalah tahap penulisan laporan yaitu melaporkan hasil penelitian
dalam bentuk dokumen hasil akhir.
Spesifikasi
13
Processo Intel Core I5-2430M (2.40 GHz (4 CPUs) – 2.4 Ghz)
r
RAM 2 GB DDR3
SSD 240 GB
14
Membuat daftar cheklist untuk pelaksanaan proses eksekusi pengujian
yang nantinya akan dilakukan.
2. Tools Mapping
Melakukan pemetaan pada tools yang akan digunakan dalam
penelitian.
3. Information Gathering
Memulai pemeriksaan terhadap struktur web aplikasi seperti port,
operating system, framework, network routing, web crawling.
15
Melakukan pengujian validasi dari aplikasi web yang diberikan kepada
user, biasanya hal ini menjadi celah ketika user diperbolehkan untuk
melakukan input scripting yang berbahaya, seperti form upload.
16
Analisis terhadapa tingkat dari dampak yang ditimbulkan oleh celah
keamanan berdasarkan 2 aspek yaitu technical dan business.
3. Analisis Severity
Menentukan severity dari semua celah keamanan yang ditemukan
dengan mencari rata-rata dari faktor setiap celah keamanan.
Selanjutnya ditentukan levelnya dengan likelihood dan impact levels.
Setiap celah keamanan mempunyai bobot likelihood dan impact levels
yang berbeda-beda, diimulai dari low, medium dan high.
17
dan hasil dari celah keamanan yang ditemukan nanti akan dilakukan
identifikasi baik dari deskripsi, metode penyerangan dan dampak dari
celah keamanan yang ditemukan, setelah itu dilanjutkan dengan analisis
celah keamanan dengan Risk Rating Methodology OWASP yang terdiri
dari 3 analisis yaitu likelihood, impact , dan severity. Setelah dilakukan
analisis celah keamanan kemudian menentukan rekomendasi yang harus
dilakukan pada celah keamanan, rekomendasi bisa berdasarkan dari
Common Weakness Enumeration (CWE) dan prioritas penyelesaian celah
keamanan kemudian melaporkan hasil dalam bentuk dokumen hasil akhir.
3.5 PARAMETER PENGUJIAN
Pengujian parameter dilakukan untuk mengetahui risiko dan dampak yang
ditimbulkan oleh celah keamanan. Parameter yang diuji yaitu Risiko, CIA,
dan Dampak yang akan diuji oleh penyerang. Berikut Tabel dari skenario
pengujian parameter
Tabel 3.3 Pengujian Risiko, CIA, dan Dampak
Vulnerabilit Nama
No Risiko Celah Dampak
y ID Celah
1
2
3
4
18
DAFTAR PUSTAKA
[1] B. Klaus and P. Horn, Robot Vision. Cambridge, MA: MIT Press, 1986.
[2] L. Stein, “Random patterns,” in Computers and You, J. S. Brake, Ed. New
York: Wiley, 1994, pp. 55-70.
[3] S.Zhang, C. Zhu, J.K O. Sin, and P.K.T. Mok, “A novel ultrathin elevated
channel low-temperature poly-Si TFT,” IEEEElectron Device Lett., vol.20, pp.
569-571, Nov. 1999.
[4] Transmission Systems for Communications, 3rd ed., Western Electric Co.,
Winston-Salem, NC, 1985, pp. 44–60.
[5] Motorola Semiconductor Data Manual, Motorola Semiconductor Products
Inc., Phoenix, AZ, 1989.
[6] RCA Receiving Tube Manual, Radio Corp. of America, Electronic Compo-
nents and Devices, Harrison, NJ, Tech. Ser. RC-23, 1992.
19