Jurnal Informatika Vol. 1 No.

1 November 2022

ANALISIS KEAMANAN APLIKASI DATA POKOK PENDIDIKAN (DAPODIK)

MENGGUNAKAN ACUNETIX WEB VULNERABILITY SCANNER

Chaerur Rozikin1, Deri Gilang Sumudra2, Muhammad Erlangga Prasetya3, Nur Halizah Alfajr4
1
Dosen Program Studi Informatika
2,3,4
Mahasiswa Program Studi Informatika

1,2,3,4
Informatika, Universitas Singaperbangsa Karawang,
Jl. HS. Ronggo Waluyo, Telukjambe Timur, Karawang, Jawa Barat

Email :4 2110631170088@student.unsika.ac.id

ABSTRAK

Seringkali setelah semua peralatan dan infrastruktur keamanan diimplementasikan, kerentanan keamanan
aplikasi terkadang diabaikan. Bahkan pentingnya keamanan hanya dihargai ketika bencana melanda. Kerugian
pada institusi atau organisasi yang disebabkan oleh serangan pada sistem aplikasi adalah signifikan, tetapi
sulit untuk diidentifikasi karena tidak akan dikenali karena berbagai alasan. Penerapan teknologi yang
signifikan akan sangat berisiko bagi institusi/organisasi tanpa keamanan sistem aplikasi yang kuat. Karena
informasi memiliki nilai strategis dan penting, ia rentan terhadap serangan dan ancaman, dan arus informasi
berkembang. Kebutuhan untuk melindungi data mendorong permintaan akan keamanan sistem aplikasi.
Pertama, ada risiko kehilangan data dan korupsi. Kedua, beberapa pihak tidak diizinkan untuk melihat atau
mengubah data. Perancangan arsitektur Aplikasi Dapodik yang dikembangkan terbatas, karena hanya
mencakup aplikasi Dapodik berbasis web, yang dapat digunakan baik secara offline maupun online saat
terhubung dengan internet. Acunetix Web Vulnerability Scanner digunakan oleh pendeteksi keamanan aplikasi
Dapodik. Berdasarkan hasil pendeteksian keamanan, dapat dinyatakan bahwa dari hasil scan yang dilakukan
terdapat 334 kerentanan antara lain, 3 kerentanan dengan tingkat risiko medium, 6 kerentanan dengan risiko
low, dan 325 kerentanan dengan tingkat risiko informational.

Kata kunci: Aplikasi Dapodik, Scanner, Keamanan Aplikasi

1. PENDAHULUAN Data yang cepat, lengkap, valid, akuntabel, dan

Data Pendidikan Dasar disebut juga DAPODIK
adalah suatu sistem pengumpulan dan pengolahan
data pendidikan dasar pada semua jenjang, mulai
dari Sekolah Dasar (SD), Sekolah Menengah
Pertama (SMP), dan Sekolah Menengah Atas
(SMA), dan mencakup segala sesuatu yang relevan
dengan pendidikan. pendidikan di Indonesia, serta
keseluruhan entitas data utama pendidikan Sekolah
atau perguruan tinggi memasukkan data tersebut,
yang kemudian ditransfer secara real time ke
Kementerian Pendidikan dan Kebudayaan.
Sistem pendataan dapodik dirancang untuk
menjawab kebutuhan data yang semakin kompleks,
kurangnya data yang komprehensif, dan data yang
sebelumnya dibuat sebagian oleh masing-masing
unit dengan versi data yang berbeda, sehingga tidak
memiliki referensi yang sama.
terpelihara up to date diperlukan untuk
melaksanakan perencanaan pendidikan dan
pelaksanaan program pendidikan tepat waktu.
Proses perencanaan, pelaksanaan, pelaporan, dan
evaluasi efektivitas program pendidikan nasional
dapat dilakukan secara lebih kuantitatif, tepat
sasaran, efektif, efisien, dan berkelanjutan dengan
tersedianya data yang cepat, lengkap, valid,
akuntabel, dan up to date. .
Acunetix Vulnerability Scanner dapat dengan
cepat menilai kelemahan server web dan aplikasi
webnya; selain itu, program ini memberikan ide
tentang apa yang harus dilakukan jika kerentanan
ditemukan dan mengontrol ketertelusuran setiap
kelemahan ini. Selanjutnya, acunetix menyediakan
fitur tambahan yang dapat dimanfaatkan untuk
melakukan pengujian tambahan pada situs web
yang diperiksa.
1
 Sumudra, Prasetya & Alfajr : Analisis Keamanan Aplikasi Data …. Vulnerability Scanner
2. LANDASAN TEORI
Penelitian ini didukung oleh teori-teori yang
relevan guna memberikan gambaran tentang proses
pendeteksian aplikasi Dapodik online.
a. Scanner
Scanner adalah perangkat listrik yang
berfungsi sebagai pengganda file pengguna sebelum
dikonversi dan disimpan dalam bentuk digital. Alat
ini bekerja dengan memindai setiap bagian lembar
yang menjadi inputnya hingga tidak ada bagian
yang tersisa, seperti yang disarankan oleh kata kerja
aslinya.
'Bahan mentah' yang diproses oleh Scanner
adalah jalur sempit cahaya tampak. Setelah
memindai lembar, output berupa file visual digital,
yang ukuran dan kualitasnya dapat disesuaikan
untuk mencapai kualitas yang diinginkan pengguna.
b. Dapodik
Data Pokok Pendidikan (Dapodik) adalah sistem
pendataan yang diselenggarakan oleh Kementerian
Pendidikan dan Kebudayaan yang meliputi
informasi satuan pendidikan, peserta didik,
pengajar, dan tenaga kependidikan, serta muatan
pendidikan. Informasi berasal dari modul
pendidikan, yang terus diperbarui secara online.
Dapodik digunakan untuk mengumpulkan semua
data yang berkaitan dengan data kelembagaan dan
3. METODOLOGI PENELITIAN
kurikulum sekolah, data siswa, data guru dan
pegawai, serta data sarana dan prasarana setiap
sekolah di Indonesia, termasuk sekolah Indonesia di
luar negeri.
Lebih lanjut, Dapodik menyimpan tiga titik data
sah yang penting bagi calon mahasiswa penerima
KIP Kuliah: Nomor Induk Siswa Nasional (NISN),
Nomor Induk Sekolah Nasional (NPSN), dan
Nomor Induk Kependudukan (PIN) (NIK).
c. Website
Banyak hal yang lebih mudah dilakukan
manusia di era modern ini. Internet, sebuah
inovasi inovatif, dapat menghubungkan banyak
industri secara online. Saat ini banyak sekali jenis
informasi yang tersedia dan dapat diakses melalui
internet melalui website atau website.
Website adalah kumpulan halaman web
yang disimpan dalam domain atau subdomain di
Internet World Wide Web (WWW). Materi yang
diberikan pada sebuah website adalah alasan
mengapa seseorang mengunjungi website
tersebut.
d. Acunetix Vulnerability Scanner
Acunetix Vulnerability Scanner adalah alat
pengujian keamanan aplikasi online otomatis
yang memeriksa kerentanan seperti SQL
Injection, Cross Site Scripting, dan kerentanan
serangan lainnya.
Solusi situs web Acunetix menyediakan
spesialis keamanan jaringan dan penguji penetrasi
dengan laporan audit situs yang cepat dan
menyeluruh yang mencakup kerentanan
keamanan semua aplikasi web yang dibuat sendiri
dan dibuat khusus.
Audit situs web reguler memungkinkan
pengembang untuk menghindari kerentanan
aplikasi web yang memungkinkan peretas
mengakses basis data perusahaan back-end. Audit
situs dengan pemindai audit situs modern, seperti
Acunetix, membantu Anda melindungi situs web
Anda dari peretas yang mungkin
menggunakannya sebagai landasan awal untuk
operasi ilegal seperti pencurian data kartu kredit,
hosting situs phishing, atau transfer konten tanpa
izin.
1. Formulir HTML tanpa perlindungan
CSRF
Deskripsi Vulnerability
Peringatan ini mungkin positif palsu,
diperlukan konfirmasi manual. Pemalsuan
permintaan lintas situs (CSRF) adalah
semacam eksploitasi online berbahaya di
mana perintah yang tidak sah dikirimkan dari
pengguna yang dipercaya oleh situs web. Ini
juga dikenal sebagai serangan satu sesi dan
disingkat CSRF atau XS RF.
Acunetix WVS menemukan formulir HTML
yang tidak memiliki perlindungan CSRF
yang jelas. Informasi lebih lanjut tentang
formulir HTML yang terpengaruh dapat
ditemukan di bagian detail.
2
 Item yang terpengaruh
● /login
● /pencarian
Dampak vulnerability
Penyerang dapat memaksa pengguna aplikasi
web untuk melakukan tindakan yang dipilih
penyerang. Eksploitasi CSRF yang berhasil
dapat membahayakan data dan operasi
pengguna akhir dalam kasus pengguna
normal. Jika pengguna akhir yang ditargetkan
adalah akun administrator, ini dapat
membahayakan seluruh aplikasi web.
Cara memperbaiki vulnerability
Periksa apakah formulir ini memerlukan
perlindungan CSRF dan terapkan tindakan
penanggulangan CSRF jika perlu.
2. Penolakan HTTP Lambat dari Serangan
Layanan
Deskripsi Vulnerability
Serangan HTTP DoS (Denial of Service)
lambat mungkin terjadi di server web Anda.
Serangan Slowloris DoS dan Slow HTTP
POST bergantung pada persyaratan protokol
HTTP agar permintaan sepenuhnya diakui
oleh server sebelum diproses. Jika permintaan
HTTP sebagian atau kecepatan transfer terlalu
lambat, server membuat sumber dayanya
sibuk sementara menunggu data yang tersisa.
Penolakan layanan terjadi ketika server
menggunakan terlalu banyak sumber
daya.Item yang terpengaruh
● Web Server
Dampak vulnerability
Satu mesin dapat menghapus server web
mesin lain dengan bandwidth minimal dan
efek samping pada layanan dan pelabuhan
yang tidak terkait.
Cara memperbaiki kerentanan ini Lihat
referensi Web untuk informasi tentang
melindungi server web Anda dari jenis
serangan ini.
3. Header Clickjacking X-Frame-Options
hilang
Deskripsi Vulnerability
Clickjacking (User Interface redress attack,
Ul redress attack UI redressing) adalah
teknik berbahaya menipu pengguna Web
agar mengklik sesuatu yang berbeda dari
apa yang pengguna anggap mereka klik,
sehingga berpotensi mengungkapkan
informasi rahasia atau mengambil kendali
komputer mereka saat mengklik pada
halaman web yang tampaknya tidak
berbahaya.
Server tidak mengembalikan header X-
Frame-Options yang berarti bahwa situs
web ini berisiko terkena serangan
dickjacking. Header respons HTTP X-
Frame-Options dapat digunakan untuk
menunjukkan apakah browser harus
diizinkan untuk merender halaman di dalam
bingkai atau iframe. Situs dapat
menggunakan ini untuk menghindari
serangan clickjacking, dengan memastikan
bahwa konten mereka tidak disematkan ke
situs lain.
Item yang terpengaruh
● Web Server
Dampak vulnerability
Dampaknya tergantung pada aplikasi web
yang terpengaruh. Bagaimana cara
memperbaiki kerentanan ini
Cara memperbaiki vulnerability
Konfigurasikan server web Anda untuk
menyertakan header X-Frame-Options.
Konsultasikan referensi Web untuk lebih
banyak informasi tentang kemungkinan
nilai untuk header ini.
4. Cookie tanpa set flag HttpOnly
Deskripsi Vulnerability
Cookie ini tidak memiliki set flag
HTTPOnly. Saat cookie disetel dengan flag
HTTP Only, cookie akan menginstruksikan
browser bahwa cookie hanya dapat diakses
oleh server dan bukan oleh skrip sisi klien.
3
 Sumudra, Prasetya & Alfajr : Analisis Keamanan Aplikasi Data …. Vulnerability Scanner
Ini adalah perlindungan keamanan yang
penting untuk cookie sesi.
Item yang terpengaruh.
● /
Dampak vulnerability
Vulnerability tidak memiliki dampak
Cara memperbaiki vulnerability
Jika memungkinkan, Anda harus menyetel
flag HTTP Only untuk cookie ini
5. Cookie tanpa set flag Aman
Deskripsi Vulnerability
Cookie ini tidak memiliki flagset Aman,
Ketika cookie disetel dengan flag Aman,
cookie akan menginstruksikan browser
bahwa cookie hanya dapat diakses melalui
saluran SSL yang aman. Ini adalah
keamanan yang penting perlindungan untuk
cookie sesi.
Item yang terpengaruh.
● /
Dampak vulnerability
Vulnerability tidak memiliki dampak
Cara memperbaiki vulnerability
Jika memungkinkan, Anda harus menyetel
bendera Aman untuk cookie ini.
6. Serangan menebak kata sandi halaman
login
Deskripsi vulnerability
Ancaman umum yang dihadapi
pengembang web adalah serangan menebak
kata sandi yang dikenal sebagai serangan
brute force A
serangan brute-force adalah upaya untuk
menemukan kata sandi dengan secara
sistematis mencoba setiap kombinasi yang
mungkin.
Deskripsi Vulnerability
huruf, angka, dan simbol sampai Anda
menemukan satu kombinasi yang benar
yang berfungsi. Halaman login ini tidak
memiliki perlindungan terhadap serangan
tebak kata sandi serangan brute force).
Disarankan untuk menerapkan beberapa
jenis penguncian akun setelah sejumlah kata
sandi salah yang ditentukan upaya,
Konsultasikan referensi Web untuk
informasi lebih lanjut tentang memperbaiki
masalah ini.
Item yang terpengaruh
● /n-admin/login_check
Dampak vulnerability
Penyerang dapat mencoba menemukan kata
sandi yang lemah dengan mencoba setiap
kombinasi yang mungkin secara sistematis
huruf, angka, dan simbol sampai
menemukan satu kombinasi yang benar
yang bekerja.
Cara memperbaiki vulnerability
Disarankan untuk menerapkan beberapa
jenis penguncian akun setelah jumlah
kesalahan yang ditentukan.
7. Kemungkinan penimpaan jalur relatif
Deskripsi vulnerability
Konfirmasi manual diperlukan untuk
peringatan ini.
Gareth Heyes memperkenalkan teknik
untuk memanfaatkan impor CSS dengan
URL relatif dengan menimpa file target
mereka. Teknik ini dapat digunakan oleh
penyerang untuk mengelabui browser agar
mengimpor halaman HTML sebagai
stylesheet CSS. Jika penyerang dapat
mengontrol bagian dari halaman HTML
yang diimpor, dia dapat menyalahgunakan
masalah ini untuk menyuntikkan aturan
CSS sewenang-wenang.
Item yang terpengaruh
● /index.php
Dampak vulnerability
Pada versi Internet Explorer yang lebih
lama, dimungkinkan untuk mengeksekusi
kode JavaScript arbitrer menggunakan
fungsi ekspresi() Internet Explorer.
Penyerang juga dapat mengekstrak sumber
halaman dan berpotensi mencuri token
CSRF menggunakan pemilih CSS.
Cara memperbaiki vulnerability
Jika memungkinkan, disarankan untuk
menggunakan tautan absolut untuk impor
4
 CSS. Masalahnya dapat dikurangi sebagian
dengan mencegah pembingkaian. Untuk
mencegah pembingkaian, konfigurasikan
server web Anda untuk menyertakan X-
Frame-Options: header tolak di semua
halaman.
10. Alamat email ditemukan
8. Waktu respons yang lambat
Deskripsi Vulnerability
Waktu respons untuk situs web ini lambat.
Jenis file ini rentan terhadap serangan
penolakan layanan. Penyerang dapat terus
meminta halaman ini dari beberapa mesin
hingga server kelebihan beban.
Item yang terpengaruh
● /pegawai
Dampak vulnerability
Kemungkinan penolakan layanan.
● /n-admin/SD_SMP_PD_GANDA_2019_Prov
.%20Sumatera%20Utara.xlsx
● /unduhan;
Deskripsi vulnerability
Satu atau lebih alamat email telah
ditemukan di halaman ini. Mayoritas spam
berasal dari alamat email yang diambil dari
internet. Spambot (juga dikenal sebagai
pemanen email dan ekstraktor email) adalah
program yang menjelajahi internet untuk
mencari alamat email di situs web mana pun
yang mereka temui. Program Spambot
mencari string seperti
myname@mydomain.com dan kemudian
mencatat alamat yang ditemukan.
Item yang terpengaruh

Cara memperbaiki vulnerability ● /

Selidiki apakah mungkin untuk mengurangi ● /api
waktu respons untuk halaman ini. ● /api/
● /assets
9. Tautan rusak ● /assets/
Deskripsi Vulnerability ● /assets/css
Tautan rusak adalah tautan apa pun yang ● /assets/css/
seharusnya mengarahkan Anda ke ● /assets/css/icomoon
dokumen, gambar, atau halaman web, tetapi
● /assets/css/icomoon/
malah mengembalikan kesalahan. Halaman
● /assets/css/icomoon/fonts
ini ditautkan di situs web tetapi tidak dapat
diakses. ● /assets/css/icomoon/fonts/
Item yang terpengaruh
…………

● /assets/js/jquery.min.js
● /progres-slb
● /files/forbiden ● /progres-sma
● /n-admin/dapo.kemdikbud.go.id ● /progres-smk
● /n-admin/pmp.dikdasmen.kemdikbud.go.id:1 ● /progres-smp
745%20 ● /rombel
● /n-admin/pmp.dikdasmen.kemdikbud.go.id:2 ● /sarpras
019%20 ● /sp
● /troubleshoot
● /n-admin/pmp.dikdasmen.kemdikbud.go.id:8
● /troubleshoot/
881
● /troubleshoot/langkah-perbaikan-data-sekol
● /n-admin/SD_SMP_PD_GANDA_2019_Prov
ah-terdeteksi-peserta-didik-ganda
.%20Kepulauan%20Bangka%20Belitung.xls ● /troubleshoot/Respond.js
x ● /unduhan;
● /n-admin/SD_SMP_PD_GANDA_2019_Prov
.%20Kepulauan%20Riau.xlsx

5
 Sumudra, Prasetya & Alfajr : Analisis Keamanan Aplikasi Data …. Vulnerability Scanner

Dampak vulnerability
Alamat email yang diposting di situs Web
dapat menarik spam.

Cara memperbaiki vulnerability

Periksa referensi untuk detail tentang cara
mengatasi masalah ini.

11. Masukan jenis kata sandi dengan

pelengkapan otomatis diaktifkan Gambar 2. Hasil dari proses scanning
Deskripsi Vulnerability
Ketika nama dan kata sandi baru
dimasukkan dalam formulir dan formulir
dikirimkan, browser menanyakan apakah
kata sandi harus disimpan. Setelah formulir
ditampilkan, nama dan kata sandi diisi
otomatis atau selesai saat nama
dimasukkan. Penyerang dengan akses lokal
dapat memperoleh teks-jelas
Item yang terpengaruh

● /login

Dampak vulnerability
Kemungkinan pengungkapan informasi
sensitif.

Cara memperbaiki vulnerability

Pelengkapan otomatis kata sandi harus
dinonaktifkan di aplikasi sensitif Untuk
menonaktifkan pelengkapan otomatis, Anda
dapat menggunakan kode yang mirip
dengan.

<INPUT TYPE="password"
AUTOCOMPLETE="off">
Gambar 3. Salah satu hasil scan dengan
risiko kerentanan medium
12. Hasil Pendeteksian

Gambar 1. Website dapodik yang

digunakan untuk penelitian

6
 4. KESIMPULAN

Pengujian ini dilakukan untuk mencari

celah keamanan sistem dari website dapodik dengan
melakukan proses scanning vulnerability analisis
menggunakan software acunetix wvs. Dari hasil
scan yang dilakukan terdapat 334 kerentanan antara
lain, 3 kerentanan dengan tingkat risiko medium, 6
kerentanan dengan risiko low, dan 325 kerentanan
dengan tingkat risiko informational.

DAFTAR PUSTAKA
[1] Bastian, A., Sujadi, H., & Abror, L. (2020).
Analisis Keamanan Aplikasi Data Pokok
Pendidikan (DAPODIK) Menggunakan
Penetration Testing Dan SQL Injection.
INFOTECH journal, 6(2), 65-70.
[2] Sholihah, J. A. (2020). Menumbuhkan
Pengetahuan Operator Sekolah Dalam
Mengembangkan Data Pokok Pendidikan
(Dapodik) di SMK Al-Imron Kecamatan Pragaan
Kabupaten Sumenep (Doctoral dissertation,
Institut Agama Islam Negeri Madura).
[3] Prihatini, D., Emilia, E., & Yuhanis, Y. (2019,
Gambar 4. Salah satu hasil scan dengan risiko
July). Tingkat Pemahaman Operator Sekolah
kerentanan low Dasar Negeri pada Aplikasi Dapodik di
Kecamatan Gelumbang. In PROSIDING
SEMINAR NASIONAL PROGRAM
PASCASARJANA UNIVERSITAS PGRI
PALEMBANG.
[4] Setiyani, L., Wagiar, J., & Tjandra, E. (2020).
Analisis Kualitas Sistem Aplikasi Dapodik Pada
Koordinator Wilayah Bidang Pendidikan
Kecamatan Kutawaluya Menggunakan Model
Webqual 4.0. Jurnal Interkom: Jurnal Publikasi
Ilmiah Bidang Teknologi Informasi dan
Komunikasi, 15(2), 55-62.
[5] FATONI, M. (2016). PENGARUH
PENGGUNAAN APLIKASI DAN INFORMASI
DAPODIK TERHADAP KUALITAS LAYANAN
AKADEMIK DI SMA NEGERI MOJOAGUNG
(Doctoral dissertation, Universitas Pesantren
Tinggi Darul'Ulum).
[6] SOSIALISASI APLIKASI KATALOG PRODUK
BERBASIS WEBSITE PADA PT. IDE
PRATAMA MANDIRI. Jurnal GENIEMAS:
Generasi Teknologi Melayani Masyarakat, 16-21.
[7] Implementation of the Acunetix for Testing the
Gambar 5. Salah satu hasil scan dengan risiko Banking Website (Owned by the government and
kerentanan informational non-government in Indonesia). International
Information Institute (Tokyo). Information,
19(6A), 1785.

7
 Sumudra, Prasetya & Alfajr : Analisis Keamanan Aplikasi Data …. Vulnerability Scanner

[8] Gaga, L., & Cooper, B. (2022, January 17). [13] Gaga, L., & Cooper, B. (2022, January 17).
Retrieved November 3, 2022, from Retrieved November 3, 2022, from
https://ha.ckers.org/slowloris/ https://www.owasp.org/index.php/Clickjaking/
[9] Gaga, L., & Cooper, B. (2022, January 17). [14] Gaga, L., & Cooper, B. (2022, January 17).
Retrieved November 3, 2022, from Retrieved November 3, 2022, from
https://www.funtoo.org/wiki/ https://www.websitedefender.com/web-security/e
[10] Gaga, L., & Cooper, B. (2022, January 17). mail-address-disclosure/
Retrieved November 3, 2022, from [15] Gaga, L., & Cooper, B. (2022, January 17).
http://blog.secaserver.com/2011/08/ Retrieved November 3, 2022, from
[11] Gaga, L., & Cooper, B. (2022, January 17). https://www.thespanner.co.uk/2014/03/21/rpo/
Retrieved November 3, 2022, from [16] Gaga, L., & Cooper, B. (2022, January 17).
https://developer.mozilla.org/en-US/docs/ Retrieved November 3, 2022, from
[12] Gaga, L., & Cooper, B. (2022, January 17). https://www.owasp/index.php/Blocking_Brute_Fo
Retrieved November 3, 2022, from rce_Attacks
https://en.wikipedia.org/wiki/clickjaking