Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

EKSPLOITASI KEAMANAN WEBSITE

Achmad Fitrah.M/1904411200 , 7 Gab 1 Jaringan

fitrahachmad18@gmail.com,Universitas Cokroaminoto
Palopo

ABSTRAK
Penelitian ini bertujuan untuk mengeksploitasi keamanan website yang bertujuan untuk
menghasilkan strategi pembelajaran dan penskoran pada aplikasi belajar web hacking dan
menghasilkan aplikasi belajar web hacking yang terintegrasi dengan jejaring sosial
(Facebook). Penelitian ini didasari pada masalah celah-celah keamanan website. Berdasarkan
masalah tersebut, perlu dilakukan eksploitasi terhadap kemanan website. Jenis penelitian
yang digunakan adalah analisis deskriptif. Hasil penelitian dan pembahasan maka bahwa
eksploitasi keamanan jaringan website yang digunakan memenuhi kebutuhan akan tetapi
masih terdapat fitur-fitur website yang belum dimanfaatkan secara maksimal.

Kata kunci: eksploitasi, keamanan, website

1. Pendahuluan Pengetahuan tentang celah-celah

Pengetahuan tentang ancaman- keamanan web tersebut sudah seharusnya
ancaman keamanan web adalah salah satu dimiliki oleh seorang web developer.
hal yang wajib diketahui seorang web Pengetahuan yang minim tentang masalah
developer. Tanpa pengetahuan tersebut, tersebut dapat menyebabkan aplikasi yang
kemungkinan yang dapat muncul adalah dibuat rentan. Salah satu cara pengetahuan-
aplikasi web yang dibangun berpotensi untuk pengetahuan tersebut dapat diperoleh adalah
memiliki celah keamanan. Dari hasil lewat membaca sebuah literatur semisal dari
penelitian dan pengujian yang dilakukan oleh sebuah buku..
Stuttard (2011) pada tahun 2007 sampai Strategi pembelajaran yang dapat
dengan 2011 terhadap 100 lebih aplikasi digunakan adalah problem-based learning
web, ternyata masih banyak yang memiliki (PBL) dikombinasikan dengan simulation-
celah keamanan. Celahcelah keamanan yang based learning (SBL), dimana celah-celah
ditemukan dan prosentasenya yaitu: keamanan suatu aplikasi web direproduksi ke
Kesalahan Otentikasi (62%), Kesalahan dalam lingkungan khusus yang telah
Akses Kontrol (71%), SQL Injection (32%), disediakan untuk pembelajaran (simulator)..
Cross-site Scripting – XSS (94%),
Kebocoran Informasi (78%), dan Cross-site
Request Forgery – CSRF (92%).
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

Menurut Davidovitch (2006) simulasi Ada beberapa metode untuk mengklasifikasi

menciptakan pemikiran yang kritis dan eksploit. Yang paling umum adalah dengan
strategis, kemampuan merencanakan dan melihat cara eksploit membuat kontak
berpikir strategis tidak mudah dikembangkan dengan perangkat lunak yang rentan.
dan keuntungan dari simulasi adalah Eksploit jarak jauh (remote exploit) bekerja
menyediakan alat untuk membantu masalah melalui jaringan dan mengeksploitasi celah
tersebut. keamanan tanpa adanya akses terlebih dahulu
Aplikasi yang akan penulis buat adalah ke sistem korban. Eksploit lokal (local
sebuah aplikasi pembelajaran berbasis web exploit) mengharuskan adanya akses terlebih
yang didalamnya terdapat soal-soal yang dahulu ke sistem yang rentan dan biasanya
menyangkut berbagai komponen teknologi meningkatkan keleluasaan orang yang
web dan keamanannya. Setiap soal menjalankan eksploit melebihi yang
direpresentasikan oleh sebuah sub aplikasi diberikan oleh administrator sistem. Eksploit
yang didesain khusus untuk soal tersebut yang menyerang aplikasi klien juga ada,
sesuai tujuan materi pembelajaran yang ingin biasanya terdiri dari server-server yang

dicapai. Untuk soal yang cukup kompleks dimodifikasi yang mengirimkan eksploit jika

maka soal tersebut dibuat dalam bentuk diakses dengan aplikasi klien. Eksploit yang

simulasi. Setiap soal yang berhasil menyerang aplikasi klien juga mungkin

diselesaikan maka pengguna akan memerlukan beberapa interaksi dengan

mendapatkan poin. Semakin banyak poin pengguna, dengan demikian dapat digunakan

yang diperoleh maka dapat diasumsikan dalam kombinasi dengan metode social

pengetahuan web developer tersebut engineering. Ini adalah cara hacker masuk ke

semakin baik. komputer dan situs web untuk mencuri

2. Tinjauan Pustaka data.Banyak exploit dirancang untuk

2.1 Eksploitasi memberikan akses tingkat-''superuser'' ke

Eksploitasi adalah sebuah kode yang sistem komputer. Namun, namun mungkin
menyerang keamanan komputer secara juga menggunakan beberapa exploit, untuk
spesifik. Eksploit banyak digunakan untuk mendapatkan akses tingkat rendah terlebih
penentrasi baik secara legal ataupun ilegal dahulu, kemudian meningkatkan hak akses
untuk mencari celah pada komputer tujuan. berulang kali sampai mencapai root.
Bisa juga dikatakan sebuah perangkat lunak Kebanyakan exploit tunggal hanya
yang menyerang celah keamanan yang mampu mengambil keuntungan dari satu
spesifik namun tidak selalu bertujuan untuk celah keamanan software tertentu. Sering kali,
melancarkan aksi yang tidak diinginkan. setelah exploit diterbitkan, celah keamanan
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari
sistem diperbaiki melewati tambalan
sehingga exploit tak berjalan lagi untuk
perangkat lunak versi terbaru.
Hal ini Celah dalam keamanan suatu
software atau website disebut Vulnerabilyti,
vulnerability atau Celah keamanan adalah
kesalahan dalam pemrograman. sedikit
ilustrasi supaya awam bisa mengerti masalah
ini. Bug yang paling berbahaya adalah Bug
yang menyebabkan celah keamanan / sebagai serangannya.
vulnerability. Berbahaya karena dengan
menggunakan kode tertentu yang telah
dipersiapkan, penyerang yang tidak berhak /
kriminal dapat melakukan banyak hal jahat
seperti menguasai sistem, mencuri data,
merusak data sampai merusak sistem yang
mengandung celah keamanan.
a) Protocol Attack
Protocol attacks (atau state-exhaustion
attacks) menyasar kelemahan layer 3 dan
layer 4. Caranya yakni dengan membuat
penggunaan sumber daya server maupun
perangkat jaringan seperti firewalls dan load
balancers menjadi berlebihan dan melebihi
kapasitasnya. Contoh tipe serangan yang
masuk dalam kategori ini adalah Syn flood,
UDP Flooding, dan ping of death.
b) Syn Flood
Serangan ini memanfaatkan 2 network
yaitu penyerang (attacker) dan target
network. Attacker akan mengirimkan request
ke network target dengan syn ask dengan
jumlah yang besar sehingga network target
menjadi penuh.
2023
c) Ping Of Death
Serangan ini biasanya akan menyerang
dengan methode pengiriman request ping atau
icmp dalam jumlah besar sehingga server
target menjadi sibuk bahkan mati.
d) UDP FloodingSerangan ini sama halnya
methode ping of death yaitu membanjiri
network target, namun pada serangan ini
memanfaatkan port / protokol UDP
3. Metode Penelitian
Tahapan penelitian yang digunakan dalam
penelitian ini di bagi menjadi 3 (tiga) tahap
yaitu:
a. Pengumpulan Data
Observasi yang dilakukan peneliti adalah
dengan mengamati keamanan website. Pada
tahap ini penulis melakukan eksploitasi secara
langsung ke website untuk menentukan objek
yang akan diamati kemudian dapat ditarik
kesimpulan yang disusun dalam sebuah
laporan yang relevan. Wawancara, penulis
memperoleh informasi secara langsung dari
narasumber sebagai upaya dalam memperoleh
data-data yang lebih akurat. Studi pustaka,
penulis mengumpulkan informasi melalui
buku– buku yang terkait dengan tema
penelitian, melakukan browsing di internet
untuk memperoleh beberapa referensi dalam
bentuk jurnal, artikel dan e-book untuk
menunjang penelitian ini.
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

b. Analisis menyerang applet java

Pada tahapan ini dilakukan sebuah 11. USB Infection Attack digunakan untuk
analisis terhadap masalah yang dihadapi membuat backdoor executable
saat ini untuk nantinya memberikan solusi untukmenginfeksi USB pada operating
terhadap masalah tersebut. sistem windows
c. Penarikan Kesimpulan 12. WEB Killer Attack digunakan untuk
Pada tahapan ini dilakukan penarikan membuat tidak berfungsinya suatu
kesimpulan sebagai suatu bentuk bahwa websiterootPada praktikum kali kita akan
hasil yang diperoleh sesuai dengan apa yang membandingkan keamanan antar 2 website
diharapkan. secara online menggunakan tools pada

4. Pembahasan website Sucuri Sitecheck.

4.1 Modul Eksploitasi a. Pada praktikum kali ini kita mencoba

Module didalam webspoit diantaranya membandingkan keamanan website

adalah sebagai berikut : edukasiteknologi21.blogspot.com dan

gigapurbalingga.net
1. Autopwn digunakan dari metaspoit
b. Pertama kita akan menguji
untuk scan dan ekspoitasi sasaran
edukasiteknologi21.blogspot.com
layananWMAP digunakan untuk
terlebih dahulu, masuk ke halaman
memindai metaspoit wmap plugin
https://sitecheck.sucuri.net akan
2. Format Infector digunakan untuk
muncul tampilan seperti gambar
Menyuntikan payload ke dalam format
dibawah ini:
file
3. Phpmyadmin digunakan untuk mencari
target halaman login di phpmyadmin
4. LFI digunakan untuk memindai,
mengambil alih website.
5. Apache user digunakan untuk mencari
nama direktori server
6. Dir Bruter digunakan untuk mencari
direktori target dengan wordlist
7. Admin Finder digunakan untuk
mencari halaman login admin
c. Selanjutnya ketikan domain web
8. MLITM Attack digunakan untuk
yang ingin kita scan lalu klik scan
serangan XSS Phising
website, maka akan tampil seperti
9. MITM digunakan untuk
gambar berikut:
mengeksploitasi ARP
10. Java Applet Attack digunakan untuk
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

d. Dari gambar diatas menjukan bahwa

tingkat resiko
keamanan
edukasiteknologi21.blogspot.com
h. Selanjutnya ketikan domain web
tergolong rendah, kemudian
gigpurbalingga.net yang ingin kita scan
untuk tingkat resiko keamanan dari
lalu klik scan website, maka akan tampil
malware nya juga tergolong
seperti gambar berikut.
rendah seperti gambar berikut.
i. Dari gambar diatas diketahui bahwa
tingkat risiko keamanan dari website
gigapurbalingga.net sangat tinggi
sehingga bisa dikategorikan rentan
terhadap berbagai serangan dan juga
kita bisa lihat website
gigapurbalingga di blacklist oleh
McAfee yang merupakan penyedia
deteksi malware real time yang
e. Kemudian untuk keaman yang perlu
unggul serta beberapa proteksi web.
ditingkatkan atau dibenahi, pertama
kemudian untuk tingkat resiko
Header keamanan untuk ClickJacking
keamanan dari malware nya juga
Protection tidak ada, kedua Header
tergolong rendah seperti gambar
keamanan Strict-Transport-Security
berikut.
tidak ada, dan yang ketiga Arahan
Kebijakan- Keamanan-Konten tidak
ada.
f. Selanjutnya kita akan mencoba
menguji tingkat keamanan pada
website gigapurbalingga.net
g. Masuk kembali kehalaman utama
https://sitecheck.sucuri.net seperti
gambar dibawah ini:
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

Pertama kita akan melakukan

instalasi tools webspoitnya terlebih
dahulu, siap soureces file websploit
seperti gambar dibawah ini.

4.2 Dari pengujian kedua website diatas

bisa kita simpulkan bawah tingkat
resiko keamanan website
gigapurbalingga.net tergolong yang
paling tinggi resiko keamannya
Pengujuan Serangan Ddos Attack a. Kalian bisa mendownloadnya lewat
a. Gambaran pola serangan DDoS Attack melalui link berikut, jika sudah extrak
file diatas caranya klik kanan
kemudian klik extrak disini nanti akan
muncul seperti gambar dibawah ini:

b. Topologi yang kami gunakan

c.

b. Kemudain klik kanan folder

websploit tersebut lalu klik open
terminal disini,seperti gambar dibawah
ini
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

e. Setelah itu ketikan perintah chmod 777

./install.sh untuk mendapat permission
kefile yang akan ke install.

f. Jika sudah file nya siap untuk di

c. Jika sudah, selanjutnya kita masuk install, ketikan perintah ./install.sh
ketahap instalasinya, ketikan sudo su kemudian tunggu hingga proses
untuklogin sebagai root instalasi selesai berjalan.

g. Ketikan perintah websploit untuk

menjalankan toolsnya, jika berhasil
akan tampil seperti gambar dibawah
ini

d. Ketikan perintah ls, untuk melihat isi

folder websploit apakah terdapat file
instalasi atau tidak, bias dilihat pada
gambar dibawah ini tedapat file
install.sh, file ini lah yang nanti nya
akan kita install.
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

h. Ketikan perintah show modules maka serang, pertama ketikan perintah set
akan muncul banyak option seperti Interface eth0 (untuk eth0 sesuaikan
gambardibawah ini dengan Ethernet kalian) kemudian
ketikan lagi perintah set TARGET
alamat_web yang dituju (disini saya
akan mencoba melakukan serangan ke
blogspot saya sendiri), hasilnya akan
seperti gambar dibawah ini.

k. Ketikan perintah show options kembali

untuk memastikan apakah set yang kita
lakukan tadi berhasil atau tidak

i. Nah disini untuk melakukan DDoS

attack kita akan menggunaka tools
network/webkiller yang ada pada
network modules seperti gambar
diatas, untuk menggunakan toolsnya l. Nah bias kita lihat pada gambar diatas
ketikan perintah use alamat target sudah ada untuk
network/webkiller lalu kemudian melakukan serangan ketikan perintah
ketikan perintah show options, nanti exploit atau run
nya akan muncul gambar seperti
gambar dibawah ini:

m. Jika sudah tampil seperti gambar

diatas itu artinya serangan sudah
berjalan secaraotomatis
n. Bisa kita simpulkan pada gambar
j. Selanjutnya kita akan mengubah dibawah ini bahwa kita sudah berhasil
Interface dan TARGET yang ada pada membanjiri lalu lintas server website
show options karena itu akan target dengan mengrimkan paket data
mentukan website apa yang akan kita secara terus menerus
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

dilakukan secara umum sudah memenuhi

kebutuhan masyarakat atau user dalam
proses pengamanan website.
Akan tetapi masih terdapat fitur dari
website yang belum dimanfaatkan secara
maksimal dan fitur tersebut sangat
dibutuhkan dalam keamanan website,
sehingga diharapkan kedepannya dapat lebih
lanjut sesuai dengan kebutuhan keamanan
website saat ini dan mengikuti
perkembangan teknologi.
5. Kesimpulan dan Saran
Berdasarkan hasil penelitian dan
pembahasan maka dapat disimpulkan bahwa
eksploitasi keamanan website yang
 Jurnal Ilmiah Information Technology d’Computare Volume 10 Edisi Januari 2023

DAFTAR PUSTAKA
[1] Wahyu, BS 2009, „Eksploitasi Rpc Pada Sistem Operasi Windows‟, Tesis
UniversitasAKI, Semarang.
[2] Widodo AS, Merry M, Medisa S, 2012, „Eksploitasi Celah Keamanan Pirant Lunak
Web Server Vertrigoserv Pada Sistem Operasi Windows Melalui Jaringan Lokal‟ ,
Tesis Universitas Gunadarma, Depok.
[3] Guntara, Faris Aditya 2013, „Pengertian Keamanan Jaringan‟,
<http://itsguntara.blogspot.com/2013/07/pengertiankeamananjaringan_6935.html>
[diakses tanggal 13 Maret 2014]
[4] Marki, T 2006, „Keamanan Sistem Informasi Eksploitasi RPC pada Sistem Op
[5] Susanty, Yiyin, Widya & Ayu. 2012, Pengujian Keamanan Sistem Web Server yang
dikelola oleh PT. Web Architect Tecnology, skripsi internship, Universitas Bina
Nusantara, Jakarta.