0

MODUL PRAKTIKUM
“KEAMANAN DIGITAL”

OLEH:
HARIANI, S.KOM., M.KOM

LABORATORIUM KOMPUTER
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI ALAUDDIN MAKASSAR
2022

1
 DAFTAR ISI

DAFTAR ISI ................................................................................................... 1

KARTU KONTROL.................................................................................................................................. 2

PENGANTAR ............................................................................................................................................ 3

Praktikum 1. Algoritma Kriptografi ...................................................................................................... 4

Praktikum 2. Enkripsi dan Dekripsi ...................................................................................................... 6

Praktikum 3. Manajemen Password ...................................................................................................... 7

Praktikum 4. Manajemen Akses .......................................................................................................... 13

Praktikum 5. Privilege dan Database Manager ................................................................................. 15

Praktikum 6. Steganography ................................................................................................................ 19

Praktikum 7. SQL Injection Menggunakan Sqlmap.......................................................................... 21

2
 KARTU KONTROL PRAKTIKUM

NIM :

Nama :

Kelas :

Prak Hari/Tanggal Materi Tanda Tangan Keterangan

Dosen/Asisten

10

Samata, ................................... , 2022

3
 PENGANTAR PRAKTIKUM KEAMANAN DIGITAL

Keamanan digital dapat dimaknai sebagai sebuah proses untuk memastikan penggunaan
layanan digital, baik secara daring maupun luring dapat dilakukan secara aman dan nyaman
(Sammons & Cross, 2017). Tidak hanya untuk mengamankan data yang kita miliki melainkan juga
melindungi data pribadi yang bersifat rahasia.

Persoalan keamanan digital ini mencuat sejak pertama kali internet lahir. Sifatnya yang
menghubungkan antara pengguna secara langsung dan bersifat global membuat keamanan data
menjadi salah satu perhatian serius karena kontrol keamanan data pengguna otomatis berada di
tangan masing-masing pengguna internet. Penyedia layanan internet maupun platform digital
hanya bisa menyediakan fasilitas untuk membantu mengamankan data, tetapi kontrol utama tetap
ada pada masing-masing pengguna. Bagi pihak yang berniat buruk, celah ini lah yang seringkali
diincar. Alih-alih berusaha melakukan peretasan pada sistem penyedia layanan, melakukan
penipuan dengan strategi penipuan yang memanfaatkan kelengahan pengguna jauh lebih mudah
dilakukan dan seperti data yang sudah diungkapkan di atas, menjadi salah satu metode kejahatan
digital yang cukup sering terjadi.

Persoalan lain yang muncul dalam bermedia digital adalah sifat internet juga
menghubungkan antarpengguna secara luas dan anonim. Kita bisa melihat nama pengguna yang
berinteraksi melalui media digital, namun kita tidak pernah bisa benar-benar yakin apakah di balik
nama pengguna itu adalah orang yang bisa kita percaya. Hal ini dikarenakan identitas digital
pengguna internet dan platform digital bisa sama dengan identitas di dunia nyata, bisa juga tidak.
Siapa saja bisa menjadi sosok yang berbeda di internet. Kita pun rentan berinteraksi dengan orang
yang tidak kita kenal yang kita tidak benar-benar pahami apa maksud dan tujuan interaksi tersebut.

Pada praktikum ini mahasiswa akan melakukan beberapa percobaan dasar mengenai
beberapa teknik keamanan komputer seperti enkripsi, manajemen akses, manajemen password
dan teknik steganography.

4
 PRAKTIKUM 1
ALGORITMA KRIPTOGRAFI
1. Tujuan
a. Mahasiswa dapat menggunakan salah satu algoritma kriptografi untuk diterapkan
kedalam bahasa pemrograman tertentu.
b. Mahasiswa dapat menggunakan salah satu tools Enkripsi.

2. Tools
a. Bahasa Pemrograman (bebas)
3. Dasar Teori
Kriptografi adalah salah satu pengamanan data untuk menjaga integritas dan kerahasiaan
terhadap data tersebut. Kriptografi membuat data atau pesan menjadi kode-kode terlebih
dahulu oleh pengirim. Proses ini dikenal dengan enkripsi. Enkripsi diartikan sebagai proses
diubahnya data atau pesan yang hendak dikirim menjadi bentuk yang hampir tidak dikenali
oleh pihak ketiga. Setelah data atau pesan itu sampai kepada penerima, maka penerima
melakukan dekripsi yang merupakan kebalikan dari enkripsi. Dekripsi diartikan sebagai
proses mengubah data atau pesan kembali kebentuk semula sehingga data atau pesan dapat
tersampaikan dan dimengerti oleh penerima. Data atau pesan asli dinamakan plaintext
sedangkan sesudah dikodekan dinamakan chipertext. Proses enkripsi dan dekripsi
memerlukan kunci dalam mekanismenya dan biasanya berupa string atau deretan bilangan.

Algoritma Kriptografi Klasik

Algoritma kriptografi klasik digunakan sejak sebelum era komputerisasi dan kebanyakan
menggunakan teknik kunci simetris. Metode menyembunyikan pesannya adalah dengan
teknik substitusi atau transposisi atau keduanya. Teknik substitusi adalah menggantikan
karakter dalam plaintext menjadi karakter lain yang hasilnya adalah ciphertext. Sedangkan
transposisi adalah teknik mengubah plaintext menjadi ciphertext dengan cara permutasi
karakter. Kombinasi keduanya secara kompleks adalah yang melatarbelakangi
terbentuknya berbagai macam algoritma kriptografi modern. Contoh algoritma kriptografi
klasik yaitu: Caesar Cipher, Vigenere Cipher, dan Hill Cipher

5
 Algoritma Kriptografi Modern
Algoritma kriptografi modern merupakan suatu perbaikan yang mengacu pada kriptografi
klasik. Algoritma ini menggunakan pengolahan simbol biner yang dibentuk dari kode
ASCII (American Standard Code for Information Interchange) karena berjalan mengikuti
operasi komputer digital, sehingga membutuhkan pengetahuan dasar matematika untuk
menguasainya. Algoritma ini memiliki tingkat kesulitan yang kompleks yang
menyebabkan kriptanalis sangat sulit memecahkan ciphertext tanpa mengetahui kuncinya.
Adapun jenis kunci dalam kriptografi modern terdiri dari 3 yaitu: simetri, asimetri, dan
hibrida. Pada kriptogarfi modern terdapat berbagai macam algoritma yang dimaksudkan
untuk mengamankan informasi yang dikirim melalui jaringan komputer. Contoh
kriptografi modern yaitu MD5, RC4, AES dan lain-lain.

Dalam praktikum ini mahasiswa akan melakukan percobaan untuk mengaplikasikan

algoritma kriptografi kedalam bahasa pemrograman dan di praktikum ini juga mahasiswa
akan menggunakan algoritma yang sudah ada (include) dalam bahasa pemrograman.

4. Langkah Praktikum & Kegiatan

a. Buatlah Aplikasi Enkripsi dengan menggunakan salah satu algoritma enkripsi klasik
(contoh: vigenere) dan modern (contoh: base64_encode).

b. Lakukan percobaan enkripsi dengan menggunakan aplikasi tersebut.

c. Lakukan percobaan enkripsi dengan menggunakan method algoritma yang sudah ada
dalam bahasa pemrograman.

d. Jelaskan hasil percobaan diatas dalam laporan praktikum.

6
 PRAKTIKUM 2
APLIKASI ENKRIPSI DAN DEKRIPSI
MENGGUNAKAN ALGORITMA NON-SIMETRIS

1. Tujuan
a. Mahasiswa dapat memahami enkripsi dengan metode Algoritma non-simetris.
b. Mahasiswa dapat menggunakan aplikasi enkripsi dengan metode algoritma non-
simetris.
2. Tools
a. Tools Enkripsi (bebas)
b. Flashdisk
3. Dasar Teori
Algoritma kriptografi tidak simetris atau asimetris adalah metode enkripsi yang
melibatkan dua kunci yaitu kunci private dan kunci public. Kunci public digunakan untuk
melakukan enkripsi sedangkan kunci private digunakan untuk dekripsi. Dalam
implementasinya kunci public didistribusikan kepada penerima. Jadi sipenerima
memberikan kunci public ke sipengirim dilakukan enkripsi.

Dalam praktikum ini mahasiswa akan melakukan percobaan dengan menggunakan salah
satu aplikasi enkripsi dengan metode Algoritma non-simetris.

4. Langkah Praktikum dan Kegiatan

a. Install salah satu Aplikasi Enkripsi (contoh: veracrypt)
b. Gunakan Flashdisk untuk simulasi enkripsi dan dekripsi data
c. Lakukan simulasi enkripsi dan dekripsi dengan temannya. (bertukar FD yang isi
filenya telah di enkripsi lalu masing-masing melakukan dekripsi)
d. Lakukan distribusi kunci public kepada penerima.
e. Lakukan proses enkripsi dan dekripsi dengan menggunakan aplikasi tersebut.
f. Jelaskan hasil percobaan diatas dalam laporan praktikum.

7
 PRAKTIKUM 3
MANAJEMEN PASSWORD

1. Tujuan
Setelah mempelajari materi dalam bab ini, mahasiswa diharapkan mampu:
1. Mengenalkan pada mahasiswa tentang konsep dasar autentikasi password di linux
2. Memahami konsep shadow password
3. Mampu menganalisa kelemahan password dengan program password cracker yang ada
2. Tools
1. Sistem Operasi Linux (BackTrack, Kali Linux)

3. Dasar Teori
Untuk dapat mengakses sistem operasi Linux digunakan mekanisme password. Pada
distribusi-distribusi Linux yang lama, password tersebut disimpan dalam suatu file teks yang
terletak di /etc/passwd. File ini harus dapat dibaca oleh setiap orang (world readable) agar
dapat digunakan oleh program-program lain yang menggunakan mekanisme password
tersebut.

Contoh isi file /etc/passwd:

root:..CETo68esYsA:0:0:root:/root:/bin/bash
bin:jvXHHBGCK7nkg:1:1:bin:/bin:
daemon:i1YD6CckS:2:2:daemon:/sbin:
adm:bj2NcvrnubUqU:3:4:adm:/var/adm:

rms:x9kxv932ckadsf:100:100:Richard M Stallman:/home/rms:/bin/bash
dmr:ZeoW7CaIcQmjhl:101:101:Dennis M Ritchie:/home/dmr:/bin/bash

linus:IK40Bb5NnkAHk:102:102:Linus Torvalds:/home/linus:/bin/bash

Keterangan:
Field pertama : nama login
Field kedua : password yang terenkripsi
Field ketiga : User ID
Field keempat : Group ID
Field kelima : Nama sebenarnya
Field keenam : Home directory user
Field ketujuh : User Shell

8
 Password login yang terdapat pada file /etc/passwd dienkripsi dengan menggunakan
algoritma DES yang telah dimodifikasi. Meskipun demikian hal tersebut tidak mengurangi
kemungkinan password tersebut dibongkar (crack). Karena penyerang (attacker) dapat
melakukan dictionary-based attack dengan cara: menyalin file /etc/passwd tersebut
menjalankan program-program yang berguna untuk membongkar password, contohnya
adalah John the Ripper (www.openwall.com/john/).

Untuk mengatasi permasalahan ini pada distribusi-distribusi Linux yang baru

digunakan program utility shadow password yang menjadikan file /etc/passwd tidak lagi
berisikan informasi password yang telah dienkripsi, informasi tersebut kini disimpan pada
file /etc/shadow yang hanya dapat dibaca oleh root.

Berikut ini adalah contoh file /etc/passwd yang telah di-shadow:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
rms:x:100:100:Richard M Stallman:/home/rms:/bin/bash
dmr:x:101:101:Dennis M Ritchie:/home/dmr:/bin/bash
linus:x:102:102:Linus Torvalds:/home/linus:/bin/bash

Dengan demikian, penggunaan shadow password akan mempersulit attacker untuk

melakukan dictionary-based attack terhadap file password. Selain menggunakan shadow
password beberapa distribusi Linux juga menyertakan program hashing MD5 yang
menjadikan password yang dimasukkan pemakai dapat berukuran panjang dan relatif
mudah diingat karena berupa suatu passphrase. Mekanisme yang telah disediakan sistem
operasi tersebut di atas tidaklah bermanfaat bila pemakai tidak menggunakan password
yang "baik". Berikut ini adalah beberapa kriteria yang dapat digunakan untuk membuat
password yang "baik":

1. Jangan menggunakan nama login anda dengan segala variasinya.

2. Jangan menggunakan nama pertama atau akhir anda dengan segala variasinya.
3. Jangan menggunakan nama pasangan atau anak anda.

9
 4. Jangan menggunakan informasi lain yang mudah didapat tentang anda, seperti
nomor telpon, tanggal lahir.
5. Jangan menggunakan password yang terdiri dari seluruhnya angka ataupun huruf
yang sama.
6. Jangan menggunakan kata-kata yang ada di dalam kamus, atau daftar kata lainnya.
7. Jangan menggunakan password yang berukuran kurang dari enam karakter.
8. Gunakan password yang merupakan campuran antara huruf kapital dan huruf kecil.
9. Gunakan password dengan karakter-karakter non-alfabet.
10. Gunakan password yang mudah diingat, sehingga tidak perlu ditulis.
11. Gunakan password yang mudah diketikkan, tanpa perlu melihat pada keyboard.

Beberapa tool yang bisa dipakai untuk melihat kuat tidaknya password adalah john the
ripper. Kita bisa memakai utility ini untuk melihat strong tidaknya suatu pasword yang ada
pada komputer.
4. Langkah Praktikum
1. Masuk ke sistem operasi linux (backtrack atau kali linux)
2. Masuk ke dalam konsole
3. Buatlah 5 user baru (username dan password bebas). 2 user gunakan username dan
password yang mudah dan 3 user lainnya gunakan gabungan huruf dan beberapa angka.
Sebagai contoh saya membuat user seperti berikut.

User 1:
Username: bitcoinmycat
Password: bitcoin

10
 User2:

Username: bitcoinmycat1
Password: bitcoin1

Selanjutnya buat 3 username dan password yang agak rumit dengan kombinasi huruf dan
angka. disini saya menggunakan seperti contoh dibawah:
User 3:
username: bitcoinmycat2
Password: bit1234

User 4:
Username: bitcoinmycat3
Password: bitcoin12345

11
 User 5:
Username: bitcoinmycat4
Password: 1q2w3e4r5t
4. Setelah membuat semua user ketik “clear” pada konsole dan enter.
5. Ketik “john” pada console lalu enter untuk memastikan apakah john the ripper sudah
terinstall.
6. Selanjutnya lakukan crack password dengan mengikuti langkah-langkah berikut:
a. kita akan melakukan crack pada username dan password yang sudah dibuat
sebelumnya. Lakukan dump password ke file berformat txt.dengan perintah
dibawah. Pada percobaan ini saya memberi nama bitcoin.txt.

#sudo /pentest/passwords/john/unshadow /etc/passwd /etc/shadow

>/pentest/passwords/john/bitcoin.txt

b. Selanjutnya pindah ke direktori dimana john berada dengan ketik perintah berikut:

#cd /pentest/passwords/john

c. Setelah pindah direktori, jalankan John untuk mendeskripsikan password dan

username pada file bitcoin.txt dengan perintah berikut:

#john bitcoin.txt

Perhatikan gambar diatas. Diantara 5 username dan password yang telah dibuat
ada 2 username yang ter-crack dengan cepat, sisanya butuh waktu untuk proses
crack. Semakin sulit password semakin lama john the ripper melakukan proses
cracking.

d. Untuk melihat hasil isi file yang sudah di deskripsi oleh john ketik perintah berikut:

#john -show bitcoin.txt

12
 Terlihat pada hasil deskripsi john diatas, dari 5 password hashes yang telah dibuat,
ada 3 yang belum terproses karena level password lebih kuat daripada user 1 dan 2
dan membutuhkan waktu lama untuk proses crack.

e. selanjutnya ketik kembali “clear” untuk membersihkan laman console.

f. Selanjutnya kita akan mencoba beberapa perintah john. Amati isi file pada
perintah dibawah:
# cat /etc/passwd

# cat /etc/shadow

g. ketik perintah berikut:

# umask 077
# ls –al

Apa guna perintah umask 077 dan amati hasilnya setelah melakukan perintah # ls
–al.
h. Jika ingin mengetahui variasi perintah untuk john, lihat dokumentasi tambahan
tentang john the ripper atau carilah di internet.

Kegiatan:
1. Lakukan semua percobaan diatas
2. Dari hasil pengamatanmu, Kriptografi jenis apa yang digunakan john the ripper untuk
crack password.
3. Jelaskan apa yang dimaksud shadow dan unshadow pada password.
4. Catat semua aktivitas anda pada laporan

13
 PRAKTIKUM 4
MANAJEMEN AKSES

1. Tujuan

a. Mahasiswa dapat melakukan pengamanan terhadap sistem operasi.

b. Mahasiswa dapat mengamankan data dalam Komputer dengan melakukan
konfigurasi dalam sistem operasi.
2. Tools

Sistem Operasi windows dan Linux

3. Dasar Teori

Manajemen akses pada dasarnya merupakan proses untuk mengontrol akses ke data
dan informasi untuk memastikan bahwa pengguna yang berwenanglah yang mempunyai
akses sekaligus mencegah akses oleh pengguna tak dikenali.

Kunci dari akses manajemen adalah manajemen hak orang untuk mengakses
layanan dan informasi. Orang yang berhak, dalam hal kebijakan bisnis dan kebutuhan,
untuk mengakses informasi harus mempunyai hak yang diimplementasikan melalui akses
kontrol. Hak-hak ini harus konsisten dengan legislasi yang relevan sepertu legislasi
proteksi data, dan harus di simpan dibawah pengawasan dan diubah atau dicabut ketika
status orang itu berubag dalam organisasi atau resiko material terdeteksi.

Pada praktikum ini kita akan melakukan manajemen akses untuk bisa
mengamankan data dari sisi Sistem Operasi. Sistem operasi merupakan bagian utama
dalam melakukan pengaksesan terhadap data dalam sebuah Komputer. Pengamanan sistem
operasi diharapkan mencapai beberapa aspek dalam Sistem Keamanan yaitu
Authentication, Authority, Availability, Integrity, Privacy, Access Control.

4. Langkah Praktikum

I. Sistem Operasi Windows

a. Buatlah beberapa User Account pada sistem operasi windows dengan akses yang
berbeda dan berikan password pada masing-masing user
b. Buat otoritas sebuah file hanya untuk user tertentu dan tentukan hak akses yang
berbeda terhadap file tersebut untuk setiap user.
c. Lakukan Enkripsi terhadap file menggunakan fitur enkripsi pada Windows.

14
 II. Sistem Operasi Linux
a. Buatlah beberapa User Account pada sistem operasi linux dan berikan password
pada masing-masing user
b. Buatlah Beberapa Group dan Masukkan beberapa User-user kedalam group yang
berbeda
c. Buat otoritas sebuah file hanya untuk user tertentu dan tentukan hak akses yang
berbeda terhadap file tersebut untuk setiap user.

Kegiatan:
1. Lakukan semua percobaan diatas dan catat dalam laporan

15
 PRAKTIKUM 5
PRIVILEGE DAN DATABASE MANAGER

1. Tujuan Praktikum
a. Mahasiswa dapat mengatur priviladge user dalam sebuah database.
b. Mahasiswa dapat menggunakan tools database manager.
2. Tools
a. Tools database manager (misal. phpMyAdmin include mysql) bisa menggunakan
web server seperti XAMPP, WAMP dll.
3. Pendahuluan
Keamanan dalam database adalah bagian yang tidak boleh terlupakan dalam
DBMS. Keamanan database merupakan suatu cara untuk melindungi database dari
ancaman, baik dalam bentuk kesengajaan atau pun bukan. Ancaman adalah segala situasi
atau kejadian baik secara sengaja maupun tidak yang bersifat merugikan dan
mempengaruhi sistem. Agar memiliki suatu keamanan yang efektif dibutuhkan kontrol
yang tepat. Salah satu bentuk pengamanan database yaitu penggunaan control akses tabel
dalam pemberian ijin terhadap user dalam mengakses informasi.
Dalam praktikum ini mahasiswa akan akan melakukan percobaan mengatur otoritas
user terhadap database dan hak akses terhadap database tersebut.

4. Langkah Praktikum

1. Masuk ke database manager. Misal phpMyAdmin.

2. Buatlah 1 database yang berisi 5 tabel dalam localhost. Sebagai contoh terdapat DB
bit_petshop dengan tabel terdiri dari tabel kandang, makanan kucing, pelanggan dst.

16
3. Buatlah beberapa user dengan aturan sebagai berikut:
• Pastikan melakukan akses dalam 1 jaringan
• Buat akses dengan host yang berbeda tiap user. Misalnya, user1 masih
menggunakan localhost, user2 menggunakan 192.168.1.10, user3 menggunakan
host 192.168.1.11 dst.
• Buat user dengan privilege tertentu. Misalnya user1 diberi izin untuk melakukan
akses secara keseluruhan, user2 hanya bisa melakukan select, user3 hanya
melakukan insert, usert4 hanya melakukan update dst.
• Selanjutnya lakukan pengaturan agar remote access phpMyadmin jadi enable
dengan cara stop-kan Apache dan Mysql yang sedang running, klik config Apache,
perhatikan gambar:

Ubah “require local” menjadi “Require all granted” dan save.

Untuk mengetahui IP pada phpMyAdmin cek pada cmd dengan perintah Ipconfig
dan lakukan cek koneksi menggunakan perintah “ping”

17
 • Perhatikan username “root” dengan status password “No” yang berwarna merah,
dan privileges “All Privileges” jika user itu diketahui orang lain maka akan
mempunyai kendali penuh terhadap database kita, solusinya username itu bisa
diberi password dengan melakukan “edit privileges” lalu “change password”.

4. Lakukan pengaturan pada config apache, perhatikan gambar dibawah.

5. Selanjutnya, pada bagian Authentication type and info ubah “config” menjadi “cookie”
dan “true” menjadi “false” kemudian restart xampp.

18
Kegiatan:

1. Lakukan uji coba dengan akses database local kita menggunakan komputer yang sesuai host/ip
yang sudah didaftarkan sebelumnya.

2. Catat semua aktifitasnya dalam laporan.

19
 PRAKTIKUM 6
STEGANOGRAPHY

1. Tujuan Praktikum
a. Mahasiswa mampu memahami proses kerja steganography
b. Mahasiswa mampu menggunakan tools steganography
2. Tools
Aplikasi steganography (bebas)
3. Dasar Teori
Steganography atau Steganografi merupakan seni dan ilmu menulis yang
menyembunyikan pesan tersembunyi dengan suatu cara tertentu sehingga selain si pengirim
dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa ada pesan
rahasia yang disampaikan. Pada umumnya, pesan steganografi muncul dengan rupa lain seperti
gambar, artikel, daftar belanjaan, atau pesan-pesan lainnya. Pesan yang tertulis ini merupakan
tulisan yang menyelubungi atau menutupi. Contohnya, suatu pesan bisa disembunyikan
dengan menggunakan tinta yang tidak terlihat diantara garis-garis yang kelihatan.

Sedangkan pengertian mengenai steganografi dalam buku Keamanan Sistem Informasi

berbasis Internet yang ditulis oleh Budi Rahardjo, adalah sebagai berikut “pengamanan dengan
menggunakan steganografi membuat seolah-oleh pesan rahasia tidak ada atau tidak nampak.
Padahal pesan tersebut ada. Hanya saja kita tidak sadar bahwa ada pesan tersebut di sana”.

Teknik Steganografi merupakan seni untuk menyembunyikan pesan di dalam pesan

lainnya sedemikian rupa sehingga orang lain tidak menyadari ada sesuatu di dalam pesan
tersebut. Walaupun steganografi dapat dikatakan mempunyai hubungan yang erat dengan
kriptografi, tapi metoda ini sangat berbeda dengan kriptografi. Kriptografi mengacak pesan
sehingga tidak dimengerti, sedangkan steganografi menyembunyikan pesan sehingga tidak
terlihat. Pesan dalam cipherteks mungkin akan menimbulkan kecurigaan sedangkan pesan
yang dibuat dengan steganografi tidak akan.

Kedua teknik ini dapat digabungkan untuk mendapatkan metoda pengiriman rahasia yang
sulit dilacak. Pertama pesan dienkrip, kemudian cipherteks disembunyikan dengan cara

20
 steganografi pada media yang tampak tidak mencurigakan. Cara ini sangat berguna jika
digunakan pada cara steganografi komputer karena banyak format file digital yang dapat
dijadikan media untuk menyembunyikan pesan. Format yang biasa digunakan diantaranya:

a. Format image: bitmap (bmp), gif, pcx, jpeg, dll.

b. Format audio: wav, voc, mp3, dll.
c. Format lain: teks file, html, pdf, dll.
Metode yang digunakan untuk menyembunyikan pesan pada media digital tersebut
berbeda-beda. Contohnya pada file image pesan dapat disembunyikan dengan menggunakan
cara menyisipkanya pada bit rendah (lsb) pada data pixel yang menyusun file tersebut.

Pada paraktikum ini mahasiswa akan melakukan percobaan dengan menggunakan salah
satu tools steganography untuk menyembunyikan pesan tertentu dan melakukan simulasi
dengan temannya.

4. Langkah Praktikum
a. Install salah satu aplikasi steganography
b. Lakukan simulasi menyembunyikan pesan di dalam sebuah gambar. (pesannya bebas)
c. selanjutnya, saling bertukar dengan teman dan pecahkan pesan yang disembunyikan pada
pada gambar yang telah disisipi pesan. (misal teman A bertukar dengan teman B, maka
teman A mencari pesan yang disembunyikan teman B demikian sebaliknya).

5. Kegiatan:
1. lakukan semua simulasi percobaan diatas dan catat semua dalam laporan.

21
 PRAKTIKUM 7

SQL INJECTION MENGGUNAKAN SQLMAP

1. Tujuan Praktikum
a. Mahasiswa dapat mengetahui celah keamanan dalam website.
b. Mahasiswa dapat memahami penggunaan aplikasi Sqlmap.
2. Tools
a. BackTrack atau Kali Linux
3. Dasar Teori
Serangan injeksi terjadi ketika seseorang dengan sengaja menggunakan saluran yang tidak
sah untuk mengirim perintah SQL berbahaya ke server database. Saluran yang paling banyak
digunakan adalah data input yang tidak divalidasikan. Kunci utama dari serangan SQL injeksi
adalah mengidentifikasi parameter SQL dari sebuah Web untuk menemukan apakah parameter
web tersebut yang rentan terhadap serangan injeksi. Serangan ini memanfaatkan kesalahan
implementasi atau kekurangan logis dalam database untuk mendapatkan hak akses dari sebuah
web. Serangan menggunakan SQL injeksi memungkinkan seseorang dapat login ke dalam sistem
tanpa harus memiliki account serta mendapatkan hak akses pada web secara jarak jauh.

Perintah SQL dapat dimodifikasi database. Bahkan dapat mengambil informasi penting yang
merugikan integritas database. Teknik ini adalah salah satu kerentanan yang terjadi paling umum
di jaringan. Aplikasi web sering rentan terhadap serangan, yang memberikan penyerang
dengan mudah akses ke database. Salah satu contoh aplikasi SQL injeksi adalah SQL MAP, yang
memeriksa situs web untuk kerentanannya.

SQLMap adalah aplikasi open source atau tool yang terdapat dalam Kali Linux. Aplikasi ini
digunakan untuk mendeteksi dan mengeksploitasi kerentanan aplikasi web. Aplikasi ini
mampu mengambil alih server database. Dengan menggunakan SQL Map penyerang atau tester
dapat melakukan penyerangan pada database SQL, menjalankan perintah pada sistem operasi,
mengambil detail struktur database, melihat atau menghapus data yang terdapat dalam databas
dan bahkan mengakses sistem file dari server.

22
4. Langkah Praktikum
a. cari web yang mempunyai vulnerability dengan menggunakan script php. Sebagai contoh:
php?id=1’, php?id=9’ dll. Contoh web berikut:
- http://www.asfaa.org/members.php?id=1%27
b. Masuk ke sistem operasi backtrack dan Cari sqlmap.
c. Gunakan perintah python sqlmap.py -u <masukkan/copy paste link web vulner> --dbs
untuk melihat database yang memiliki vulnerability pada web tersebut.
d. Gunakan perintah python sqlmap.py -u <masukkan link web vulner> -D <nama
database> --tables untuk menampilkan tabel pada database yang diinginkan.
e. Gunakan perintah python sqlmap.py -u <masukkan link web vulner> -T <nama kolom>
--columns untuk mencari isi dari kolom yang ditemukan.
f. Gunakan perintah python sqlmap.py -u <masukkan link web vulner> -T <nama kolom>
--columns –dump untuk melihat isi dari kolom yang telah didapatkan.

5. Kegiatan
a. Lakukan semua aktifitas diatas dan catat dalam laporan
b. Apa yang dilakukan untuk mengamankan web dari serangan SQL Injection.

23