PENGUJIAN CELAH KEAMANAN APLIKASI BERBASIS WEB

MENGGUNAKAN TEKNIK PENETRATION TESTING

DAN DAST (DYNAMIC APPLICATION
SECURITY TESTING)

MUHAMAD RIZA
Program Studi Teknik Infromatika
Perbanas Institute jakarta

ABSTRAK

Globalisasi ditandai dengan kemajuan di bidang teknologi, informasi dan komunikasi.

Sistem pengelolaan informasi yang transparan dan memiliki fitur keamanan tinggi menjadi
suatu kebutuhan bagi perusahaan dan organisasi. Kejahatan siber semakin berkembang
seiring dengan arus globalisasi di bidang teknologi yang juga kian meningkat. Kejahatan
siber banyak ditemukan pada kasus penyerangan situs web untuk mendapatkan data penting
pada situs web. Ancaman kejahatan siber berasal dari malware, supply chain attact, hingga
ransomware. Penelitian ini bertujuan untuk mengetahui celah keamanan pada situs web,
dengan metode Penetration Test dan Dynamic Application Security Testing (DAST). Celah
keamanan yang diuji khususnya Broken Access Control, Cross Site Scripting (XSS), dan Sql
Injection, dan kemudian dilakukan upaya perbaikan pada situs web. Hasil pegujian
menunjukkan celah keamanan Broken Access Control dapat dicegah dengan membuat kode
(id) yang sulit untuk ditebak, XSS dapat dicegah ketika user memasukkan inputan syntax
javascript dengan mengkonversi data ke entitas karakter, dan Sql Injection dapat dicegah
dengan menggunakan enscape() pada saat pencarian basisdata
….……………………………………………..
Kata kunci ; Dast, Broken Access Control, Xss

PENDAHULUAN

Latar Belakang

Dalam perkembangan Teknologi Informasi (TI), banyak menyebabkan perubahan dan

cara pandang manusia dalam kehidupan sehari - hari. Perkembangan TI hingga sekarang ini
terus mengalami perubahan, sehingga zaman sekarang sudah memasuki zamannya teknologi
yang lebih cepat dari yang pernah dibanyangkan sebelumnya. Terlebih untuk komputer tidak
hanya berfungsi sebagai pengolah data, namun telah menjadi senjata utama dalam persaingan
perusahaan dalam berkompetisi untuk menjadi yang terbaik (Stiawan, 2005). [1]
Dengan adanya kemudahan yang didapatkan di zaman sekarang ini, jarang
ditemukannya satu sisi kehidupan yang tidak menggunakan TI sebagai sarana untuk
membantu dalam menyelesaikan pekerjaannya baik bersifat sederhana sampai dengan yang
kompleks. Saat ini timbul suatu kebutuhan security atau keamanan untuk sebuah sistem
komputer. Dan kebutuhan keamanan komputer dalam setiap sistem komputer mempunyai
keamanan yang berbeda - beda sesuai dengan aplikasi-aplikasi yang dikandungnya,
contohnya dalam sebuah sistem akademik tentunya keamanan sistemnya berbeda dengan
sistem yang ada diperbankan [2]
Tentunya banyak melihat dan mendengar kasus pada dunia komputer,
khususnya jaringan internet dalam menghadapi serangan virus, worm, trojan, Dos,
Web Deface, pembajakan software, sampai dengan masalah pencurian kartu kredit.
Seperti yang telah dikutip tribunnews pada Jum’at 21 September 2018 mengatakan
bahwa data yang didapatkannya dari International Data Corporation (IDC) [3]
Rumusan Masalah

Berdasarkan latar belakang masalah yang sudah dijelaskan maka didapatkan

beberapa rumusan masalah, atara lain :
 Bagaimana melakukan pengujian celah keamanan pada website ratsmkpj.com
dengan metode penetration testing dan DAST.
 Bagaimanan cara memperbaiki celah keamanan yang ditemukan pada website
ratsmkpj.com

Tujuan Penelitian

Tujuan di lakukan penelitian ini adalah :

 Melakukan pengujian celah keamanan berbasis website dengan metode penetration
testing dan DAST.
 Melakukan perbaikan sistem jika ditemukan celah keamanan pada website
ratsmkpj.com

Manfaat Penelitian
Manfaat yang dapat diperoleh dari penelitian ini
 Diharapkan dengan adanya penelitian ini, ketika akan membuat website kita
akan mengetahui salah satu celah keamanan yang memungkinkan seorang
hacker akan melakukan aksinya, dan kita tahu cara untuk menutup celah
tersebut

LANDASAN TEORI

Tinjauan Literatur

Menurut (Bayu et al. 2017) dengan judul “Analisa Keamanan Jaringan WLAN
Dengan Metode Penetration Testing (Studi Kasus: Laboratorium Sistem Informasi dan
Programming Teknik Informatika UHO)” yang menggunakan metode pentesting sebagai
bentuk simulasi serangan yang kemungkinan akan terjadi didalam jaringan wireless.
Tujuannya untuk melindungi keamanan jaringan sebiah organisasi maupun perusahaan.
Dengan menggunakan hasil pengujian sebagai acuan untuk meningkatkan keamanan jaringan
dan mengurangi kerentanan. Ada empat tahapan yang digunakan dalam penelitian ini, yaitu
planning, discovery, attack dan reporting [1]
Menurut (Ismail and Pramudita 2020) dengan judul “Metode Penetration Testing
pada Keamanan Jaringan Wireless Wardriving PT . Puma Makmur Aneka Engineering
Bekasi” menjelaskan bahwa tujuan dari penilaian kerentanan adalah untuk mengidentikasi
dan memastikan keamanan dalam kondisi terkontrol, sehingga dapat dihapus sebelum
pengguna yang tidak sah dapat menggunakannya. Pengujian penetrasi adalah alat penilaian
jaminan nilai yang dapat bermanfaat bagi bisnis dan operasionalnya.[2]
Menurut I Gede Ary Suta Sanjaya, Gusti Made Arya Sasmita, Dewa Made Sri
Arsa(2020) dengan judul “Evaluasi Keamanan Website Lembaga X Melalui Penetration
Testing Menggunakan Framework ISSAF”pengujian penetration testing menggunakan
Framework ISSAF. Pemberian rekomendasi dilakukan untuk meningkatkan keamanan
website Lembaga X Hasil port TCP yang terbuka sehingga berisiko terhadap adanya serangan
dari pihak luar, serta adanya bug pada sistem yang dapat digunakan sebagai celah keamanan.
Rekomendasi yang dapat diberikan adalah validasi pada level php yang bertujuan untuk
mencegah serangan SQL Injection dan XSS yang merupakan sumber celah keamanan
terbanyak, penutupan port TCP yang terbuka, serta perbaikan bug pada sistem yang dapat
dimanfaatkan penyerang sebagai celah keamanan. [3]
METODE PENELITIAN
Metode pengumpulan data yang digunakan dalam penelitian ini antara lain:

 Metode observasi, yaitu dengan melakukan pengamatan cara kerja perangkat lunak
dan jaringan yang digunakan. Ini dilakukan setelah sebuah website sudah dapat
jalankan dan mencoba fitur – fitur yang ada kemungkinan celah keamanan.

 Metode studi kepustakaan, yaitu dengan melakukan pengumpulan data dan referensi
dari berbagai jenis buku serta jurnal acuan yang berkaitan dengan penelitian dan
perangkat yang digunakan. Dengan metode ini, setelah ditemukan celah keamanan,
maka harus merujuk dengan penemuan tentang langkah – langkah dalam mengatasi
masalah yang didapatkan dari referensi jurnal atau jenis buku yang berkaitan dengan
masalah yang dihadapi.

LANGKAH PENELITIAN
Langkah-langkah yang dilakukan dalam penelitian ini megambil dari penelitian (Widyantoro,
2018) dengan menambahkan satu pembenahan sistem, sebagai berikut

 Scope
Scope adalah tahapan peneliti dalam menentukan ruang lingkup penelitian. Dan pada
penelitian ini berfokus untuk menemukan kerentanan web aplikasi serta jika dapat
memperbaiki kerentanan yang ditemukan untuk segera diperbaiki.

 Reconnaissance
Reconnaissance adalah proses mengumpulkan informasi tentang web aplikasi yang akan
dilakukan penetration test. Informasi itu dapat berupa sistem operasi yang dipakai, web server,
alamat IP, dan port yang terbuka pada target yang akan diuji.

 Vulnerability Detection
Vulnerability detaction adalah pencarian celah keamanan target. Hasil dari celah keamanan
ini terbatas pada tools yang digunakan. Untuk penelitian ini akan menggunakan tools
Acunetic.

 Information Analysis & Planning

Pada tahap ini akan melakukan perencanaan pengujian yang didasarkan pada celah dan
melakukan perencanaan pengujian yang didasarkan pada celah yang didapatkan. Hasil
analisis kemudian akan dilanjutkan dengan perencanaan simulasi penyerangan.24

 Penetration testing
Pada tahap ini akan melakukan serangan terhadap target berdasarkan analisis dan perencanaan
yang dirancang pada fase sebelumnya.

 Pembenahan sistem
Pada tahap ini akan dilakukan pembenahan sistem, jika celah yang ditemukan sudah dapat
dieksploitasi.

 Laporan
Akan dilakukan penulisan laporan celah yang sudah dapat ditangani dengan baik
DIAGRAM PENELITIAN

DAFTAR PUSAKA

BootUP,apa itu andoriud pengertian dan kelebihan, https://bootup.ai/blog/apa-

ituandroid-pengertian-kelebihan/
Badoystdio, metode waterfall, https://badoystudio.com/metode-waterfall/