Analisis Keamanan Sistem Informasi Akademik Berbasis

Web di Universitas Singaperbangsa Karawang

1
Cahyo Tri Atmojo, 2Dwi Miftahussalamah, 3Hana Suci Aninda Geofani
1,2,3
Program Studi Informatika, Universitas Singaperbangsa Karawang
Email: 211063117005@student.unsika.ac.id , 2110631170010@student.unsika.ac.id ,
2110631170019@student.unsika.ac.id

Abstrak
Universitas Singaperbangsa Karawang (Unsika) telah menerapkan Sistem Informasi Akademik
berbasis web yang dikenal dengan nama ecampus, untuk memudahkan segala pendataan yang
berkaiatan dengan akademik. Dimana seluruh aktivitas akademik direkam dalam media tersebut.
Termasuk kedalamnya catatan akademik mahasiswa.
Mengingat bahwa pentingnya data yang tersimpan pada ecampus, maka diperlukan pengujian
keamanan dari sistem informasi tersebut. Pengujian ini bertujuan untuk mengetahui tingkat kerentanan
peretasan pada sistem informasi, sehingga terhindar dari ancaman pihak-pihak tidak
bertanggungjawab yang ingin menyalahgunakan data-data pribadi mahasiswa.
Metode pengujian yang digunakan adalah dengan OWASP (Open Web Application Security Project)
dengan dua cara dari Top 10 kerentanan yang ditemukan dalam sistem informasi berbasis web. Hasil
dari pengujian ini nantinya akan dijadikan sebagai rujukan untuk perbaikan tingkat lanjut oleh
pengembang Sistem Informasi Akademik berbasis web ecampus Universitas Singaperbangsa
Karawang.

Kata Kunci: keamanan sisten informasi, ecampus, Acunetix, nmap, sitecheck dan brup suite

1. PENDAHULUAN
Seiring dengan berjalannya waktu, teknologi semakin berkembang tiap harinya. Hampir setiap
sektor dalam aktivitas kehidupan manusia tidak terlepas dari pesatnya kemajuan teknologi yang
menghubungkan satu dengan lainnya. Melalui perangkat elektronik yang terhubung ke jaringan internet
seperti komputer dan smartphone, kemudahan dalam mengakses informasi dapat dirasakan.
Berkat kemajuan teknologi, Universitas Singaperbangsa Karawang (Unsika) menggunakan
Sistem Informasi Akademik berbasis web yang dikenal dengan sebutan ecampus. Tujuan dari
penggunaan sistem informasi online ini adalah untuk memberikan kemudahan bagi sivitas akademika
dalam mengakses informasi yang berkaitan dengan kebutuhan akademis. Sistem informasi ini dapat
diakses dengan mudah dari pengkat komputer maupun smartphone manapun yang terhubung dengan
jaringan internet.
Aktivitas akademik sebuah instansi pendidikan terutama pada perguruan tinggi memiliki
urgensitas yang perlu diperhatikan lebih oleh pihak kampus maupun pengembang. Dalam berjalannya
kegiatan akademik yang tercatat pada sistem informasi ecampus, tentunya setiap akun menyimpan

1
informasi penting yang ingin dirahasiakan dari pihak-pihak yang tidak memiliki kepentingan. Tingkat
kemanan dari sistem informasi ecampus perlu diperhatikan secara khusus agar tidak terjadi hal-hal yang
merugikan mahasiswa ataupun sivitas akademika lainnya. Oleh karena itu, perlu dilakukan uji
keamanan sistem informasi ecampus untuk menguji tingkat kerentanan serangan dari pihak yang tidak
bertanggungjawab.
Metode yang paling popular untuk menguji kerentanan serangan adalah dengan metode yang
diterbitkan oleh organisasi OWASP (Open Web Application Security Project). Dengan OWASP Top 10
celah keamanan pada website yang rentan diserang dan harus disiasati. Pada uji keamanan kali ini akan
dilakukan dua pengujian berdasarkan OWASP, yaitu dengan Vulnerability assessment dan website
vulnerability scanning yang digunakan adalah Acunetix, nmap, sitecheck dan brup suite pada sistem
kemanan akademik ecampus.

2. METODE ANALISIS
Metodologi penelitian yang dilakukan menggunakan metode Vulenerability Assessment.
Pada proses metode Vulnerability Assessment ini terdiri dari 4 tahapan yaitu, Footprinting,
Vulnerability Scanning,Vulnerability Analysis, dan Result.

3. HASIL PEMBAHASAN
Proses yang dilakukan untuk menemukan celah keamanan pada website meliputi footprinting,
vulnerability scanning, vulnerability analysis, dan result. Pada proses vulnerability analysis
menggunakan tools Brup Suite menemukan celah keamanan pada website https://ecampus.unsika.ac.id/
Sehingga pada proses vulnerability assessment dilakukan dengan berdasarkan kerentanan yang
ditemukan pada tahap vulnerability scanning. Hasil dari penelitian ini yaitu result atau hasil yang
ditemukan pada saat pengujian vulnerability scanning berdasarkan kerentanan yang dimiliki Ecampus
1. Footprinting
Footprinting adalah kegiatan mengunpulkan informasi sebanyak – banyaknya yang terkait
dengan target, seperti perangkat yang digunakan, merek, tipe, nomor versi OS, topologi fisik
network, perangkat security network address, subnetting, dan lain – lain. Adapun tools
footprinting yang digunakan pada penelitian ini yaitu website sitecheck

2
 Pada di gambar di atas telah di lakukan scanning dengan website sitecheck dan kita
mendapatkan info bahwa website ecampus.unsika.ac.id di jalankan pada os Ubuntu dan
menggunakan apache 2.4.41 dengan alamat ip 103.159.222.10
2. Nmap
Dalam melakukan footprinting¸ menggunakan tool NMAP v.7.9, menggunakan objek domain
perpus.unsika.ac.id. dengan menuliskan perintah nmap -v 103.159.222.10

Informasi yang di dapatkan setelah melakukan pemindaian menggunakan nmap yang telah di
ringkas adalah sebagai berikut :
A. Port yang terbuka dan Service yang berjalan
Adapun ringkasan dari beberapa ports yang terbuka pada website ecampus.unsika.ac.id
sebagai berikut :
No Port Protocol Status Services Keterangan
1 22 Tcp Open SSH komunikasi Internet yang
memungkinkan masuk ke sistem
berbasis Linux atau Unix dan
menjalankan perintah
2 443 Tcp Open Http Port ini digunakan untuk Hypertext
Transfer Protocol dengan tambahan
SSL (HTTPS). Port ini dibuka agar
website dapat diakses
3 80 Tcp Open Http Port ini digunakan untuk Hypertext
Transfer Protocol (HTTP). Port ini
dibuka agar website dapat diakses.
4 8009 Tcp Open Ajp13 AJP adalah protokol kabel. Ini adalah
versi protokol HTTP yang dioptimalkan
untuk memungkinkan server web
mandiri seperti Apache untuk berbicara

3
 dengan Tomcat. Secara historis, Apache
jauh lebih cepat daripada Tomcat dalam
menyajikan konten statis. Idenya adalah
membiarkan Apache menyajikan konten
statis jika memungkinkan, tetapi
memproksi permintaan ke Tomcat
untuk konten terkait Tomcat.
5 7009 Tcp Open afs3- remote cache manager service
rmtsys
6 25 Tcp Filtered smpt SMTP adalah suatu protocol untuk
berkomunikasi dengan server yang
bergunakan untuk mengirimkan
email dari lokal email ke server,
sebelum akhirnya dikirimkan ke
server email penerima.

3. Vulnerability Scanning
Vulnerability scanning merupakan proses memperoleh informasi dengan
memanfaatkan tools vulnerability scanning (Acunetix) pada domain
https://ecampus.unsika.ac.id/ Pada proses ini bertujuan untuk menemukan kelemahan
yang ada dalam sistem. Proses ini menggunakan bantuan tools vulnerability scanner
yang melakukan pemindaian aplikasi secara otomatis mencari celah keamanan yang
mungkin bisa dimanfaatkan untuk pengembangan sistem ataupun kepentingan yang
tidak baik. Pada pencarian celah keamanan, menggunakan aplikasi vulnerability
scanner yaitu Acunetix. Hasil dari pencarian celah keamanan akan dibahas pada sub bab
berikut :

4
4. Hasil pemindaian menggunakan Acunetix
Pencarian celah keamanan dengan menggunakan tools Acunetix menghasilkan
beberapa temuan celah yang terdapat pada alamat website https://ecampus.unsika.ac.id
yang akan dijelaskan pada sub bagian berikut :

No Alert Risk Keterangan

Assessment
1 Cross site scripting High Skrip lintas situs (juga disebut sebagai XSS)
adalah kerentanan yang memungkinkan
penyerang mengirim kode berbahaya
(biasanya dalam bentuk Javascript) ke
pengguna lain. Karena browser tidak dapat
mengetahui apakah skrip harus dipercaya
atau tidak, browser akan mengeksekusi skrip
dalam konteks pengguna yang
memungkinkan penyerang mengakses
cookie atau token sesi apa pun yang disimpan
oleh browser.
2 Cross site scripting High Skrip ini mungkin rentan terhadap serangan
(verified) Cross Site Scripting (XSS).

5
 Skrip lintas situs (juga disebut sebagai XSS)
adalah kerentanan yang memungkinkan
penyerang mengirim kode berbahaya
(biasanya dalam bentuk Javascript) ke
pengguna lain. Karena browser tidak dapat
mengetahui apakah skrip harus dipercaya
atau tidak, browser akan mengeksekusi skrip
dalam konteks pengguna yang
memungkinkan penyerang mengakses
cookie atau token sesi apa pun yang disimpan
oleh browser.
3 Apache JServ protocol Medium Apache JServ Protocol (AJP) adalah protokol
service biner yang dapat mem-proxy permintaan
masuk dari server web melalui ke server
aplikasi yang berada di belakang server web.
Tidak disarankan agar layanan AJP dapat
diakses publik di internet. Jika AJP salah
dikonfigurasi, ini dapat memungkinkan
penyerang mengakses sumber daya internal.
Kerentanan ini mempengaruhi Server.
4 Host header attack Medium Dalam banyak kasus, pengembang
mempercayai nilai header Host HTTP dan
menggunakannya untuk menghasilkan
tautan, mengimpor skrip, dan bahkan
membuat tautan penyetelan ulang kata sandi
dengan nilainya. Ini adalah ide yang sangat
buruk, karena header Host HTTP dapat
dikendalikan oleh penyerang. Ini dapat
dieksploitasi menggunakan keracunan cache
web dan dengan menyalahgunakan saluran
alternatif seperti email pengaturan ulang kata
sandi.

6
5 HTML form without Medium Peringatan ini mungkin positif palsu,
CSRF protection diperlukan konfirmasi manual.
Pemalsuan permintaan lintas situs, juga
dikenal sebagai serangan satu klik atau sesi
naik dan disingkat CSRF atau XSRF, adalah
jenis eksploitasi jahat situs web di mana
perintah tidak sah dikirimkan dari pengguna
yang dipercaya situs web.
Acunetix WVS menemukan formulir HTML
tanpa perlindungan CSRF yang jelas
diterapkan. Lihat detail untuk informasi
selengkapnya tentang formulir HTML yang
terpengaruh.
6 Clickjacking: X- Low Clickjacking (User Interface redress attack,
Frame-Options header UI redress attack, UI redressing) adalah
missing teknik berbahaya untuk menipu pengguna
Web agar mengklik sesuatu yang berbeda
dari apa yang pengguna anggap sedang
mereka klik, sehingga berpotensi
mengungkapkan informasi rahasia atau
mengambil kendali komputer mereka saat
mengklik halaman web yang tampaknya
tidak berbahaya.
Server tidak mengembalikan header X-
Frame-Options yang berarti bahwa situs web
ini dapat berisiko terkena serangan
clickjacking. Header respons HTTP X-
Frame-Options dapat digunakan untuk
menunjukkan apakah browser harus
diizinkan untuk merender halaman di dalam
bingkai atau iframe. Situs dapat
menggunakan ini untuk menghindari

7
 serangan clickjacking, dengan memastikan
bahwa konten mereka tidak disematkan ke
situs lain.
7 OPTIONS method is Low Metode HTTP OPTIONS diaktifkan di server
enabled web ini. Metode OPTIONS menyediakan
daftar metode yang didukung oleh server
web, ini mewakili permintaan informasi
tentang opsi komunikasi yang tersedia pada
rantai permintaan/tanggapan yang
diidentifikasi oleh Request-URI.
8 Possible sensitive Low Direktori sensitif mungkin telah ditemukan.
directories Direktori ini tidak terhubung langsung dari
situs web. Pemeriksaan ini mencari sumber
daya sensitif umum seperti direktori
cadangan, dump basis data, halaman
administrasi, direktori sementara. Masing-
masing direktori ini dapat membantu
penyerang untuk mempelajari lebih lanjut
tentang targetnya.
9 Broken links Informational Tautan rusak mengacu pada tautan apa pun
yang seharusnya membawa Anda ke
dokumen, gambar, atau halaman web, yang
sebenarnya menghasilkan kesalahan.
Halaman ini ditautkan dari situs web tetapi
tidak dapat diakses.
10 Email address found Informational Satu atau lebih alamat email telah ditemukan
di halaman ini. Mayoritas spam berasal dari
alamat email yang diambil dari internet.
Spam-bot (juga dikenal sebagai pemanen
email dan ekstraktor email) adalah program
yang menjelajahi internet untuk mencari
alamat email di situs web mana pun yang

8
 mereka temui. Program Spambot mencari
string seperti myname@mydomain.com dan
kemudian mencatat alamat yang ditemukan.
11 Password type input Informational Ketika nama dan kata sandi baru dimasukkan
with auto-complete dalam formulir dan formulir dikirimkan,
enabled browser menanyakan apakah kata sandi harus
disimpan. Setelah itu ketika formulir
ditampilkan, nama dan kata sandi diisi secara
otomatis atau selesai saat nama dimasukkan .
Penyerang dengan akses lokal dapat
memperoleh kata sandi cleartext dari cache
browser.
12 Possible username or Informational Nama pengguna dan/atau kata sandi
password disclosure ditemukan dalam file ini. Informasi ini
mungkin sensitif.
Peringatan ini mungkin positif palsu,
diperlukan konfirmasi manual.
Item yang terpengaruh.

5. Hasil Pengujian menggunakan Brup Suite

Dalam Pengujian menggunakan brup suite kami menguji Possible username or
password disclosure,mengapa kami menguji itu karena kami ingin tahu apakah
password dan username di enkripsi atau tidak berikut pengujian kami :

9
 Setelah kami uji ternyata benar hasil scan Acunetix bahwa pada saat user di kasih akses
dan di halaman user itu di tampilkan username dan password yang tidak di enkripsi.

6. KESIMPULAN
Pengujian yang dilakukan untuk mencari celah keamanan website dengan melakukan
proses scanning vulnerability analysis menggunakan tools OWASP-ZAP. Ditemukan 2
kerentanan dengan tingkat risiko high, 3 kerentanan dengan tingkat risiko medium, 3
kerentanan dengan tingkat risiko low, dan 4 kerentanan dengan tingkat risiko informational.dan
pada saat pengujian di brup suite di halaman user itu di tampilkan username dan password yang
tidak di enkripsi.

REFERENSI
[1] Nuris Akbar SST, M.Kom, "Tutorial Mengatasi Serangan SQL Injection,"2016.

Kesimpulan
[2] Cristia Janto, "Langkah-Langkah Pengaman Website Agar Tidak Mengalami Serangan
DDoS,"2020.
[3] Ir. Kodrat Iman Santoso, MT, "Analisis Keamanan System Informasi Akademik Berbasis Web di
Fakultas Teknik Universitas Diponegoro,"2009.
[4] CEES, "Journal of Computer Engineering System and Science," vol. 6, No.2, Juli 2021

10
11