PANDUAN PENGOPERASIAN ALAT SKRIPSI

ANALISIS DAN IMPLEMENTASI FRAMEWORK

ISSAF TERHADAP OSSTMM PADA PENGUJIAN
CELAH KEAMANAN WEBSITE DI POLINEMA

Disusun untuk memenuhi sebagaian persyaratan

memperoleh gelar
Sarjana Terapan Teknik

Disusun Oleh:
Muhammad Alif Nabila
NIM. 1841160060

JARINGAN TELEKOMUNIKASI DIGITAL

TEKNIK ELEKTRO
POLITEKNIK NEGERI MALANG
2022
 HALAMAN PERSETUJUAN

ANALISIS DAN IMPLEMENTASI FRAMEWORK ISSAF

TERHADAP OSSTMM PADA PENGUJIAN CELAH
KEAMANAN WEBSITE DI POLINEMA
Oleh:
Muhammad Alif Nabila
NIM. 1841160060

Buku panduan pengoperasian ini sudah disetujui dan

disahkan oleh:

Pembimbing I:
Putri Elfa Mas’udia, S.T., M.Cs.
NIP. 198609272012122003 ……………………….

Pembimbing II:
Rachmad Saptono, S.T., M.T.
NIP. 196611071990031003 ……………………….

Penguji I:
Ir. Nugroho Suharto, M.T.
NIP. 197306221999032002 ……………………….

Penguji II:
Aad Hariyadi., S.ST., M.T.
NIP. 196301041988031002 ………………………..

1
 DAFTAR ISI

HALAMAN PERSETUJUAN ............................................... 1

DAFTAR ISI ............................................................................ 2
DAFTAR GAMBAR ............................................................... 3
ABSTRAK ............................................................................... 5
ABSTRACT ............................................................................. 7
A. JUDUL .......................................................................... 9
B. DAFTAR SOFTWARE ................................................ 9
C. PROSEDUR PENGUJIAN CELAH KEAMANAN
WEBSITE ............................................................................... 10
1) Prosedur Pengujian Celah Keamanan Website
Menggunakan Framework ISSAF.................................... 10
2) Prosedur Pengujian Celah Keamanan Website
Menggunakan Framework OSSTMM ............................. 20

2
 DAFTAR GAMBAR

Gambar 1.1 Prosedur Information Gathering Menggunakan Tool

Whois ................................................................................................ 11
Gambar 1.2 Prosedur Information Gathering Menggunakan Tool
Whois ................................................................................................ 11
Gambar 1.3 Prosedur Network Mapping Menggunakan Tool Nmap 12
Gambar 1.4 Prosedur Network Mapping Menggunakan Tool Nmap 12
Gambar 1.5 Prosedur Vulnerability Identification Menggunakan Tool
Acunetix ............................................................................................ 12
Gambar 1.6 Prosedur Vulnerability Identification Menggunakan Tool
Acunetix ............................................................................................ 13
Gambar 1.7 Prosedur Vulnerability Identification Menggunakan Tool
Acunetix ............................................................................................ 13
Gambar 1.8 Prosedur Vulnerability Identification Menggunakan Tool
Acunetix ............................................................................................ 14
Gambar 1.9 Prosedur Vulnerability Identification Menggunakan Tool
Acunetix ............................................................................................ 14
Gambar 1.10 Prosedur Vulnerability Identification Menggunakan
Tool Acunetix .................................................................................... 15
Gambar 1.11 Prosedur Penyerangan Menggunakan Tool LOIC ...... 16
Gambar 1.12 Prosedur Penyerangan Menggunakan Tool LOIC ...... 16
Gambar 1.13 Prosedur Gaining Access & Privilege Escalation
Menggunakan Tool WPScan ............................................................ 17
Gambar 1.14 Prosedur Gaining Access & Privilege Escalation
Menggunakan Tool WPScan ............................................................ 17
Gambar 1.15 Sniffing Traffic Menggunakan Tool Wireshark .......... 18
Gambar 1.16 Sniffing Traffic Menggunakan Tool Wireshark .......... 18
Gambar 1.17 Sniffing Traffic Menggunakan Tool Wireshark .......... 19
Gambar 1.18 Sniffing Traffic Menggunakan Tool Wireshark .......... 19
Gambar 1.19 Buka Riwayat Akses Website ..................................... 20

3
Gambar 1.20 Hapus Riwayat Akses Website ................................... 20
Gambar 1.21 Prosedur Pengujian Menggunakan Tool Whois .......... 22
Gambar 1.22 Prosedur Pengujian Menggunakan Tool Whois .......... 22
Gambar 1. 23 Prosedur Pengujian Menggunakan Tool Nmap ......... 23
Gambar 1. 24 Prosedur Pengujian Menggunakan Tool Nmap ......... 23
Gambar 1. 25 Prosedur Pengujian Menggunakan Tool Nikto .......... 23
Gambar 1. 26 Prosedur Penetrasi Menggunakan Tool LOIC ........... 24

4
 ABSTRAK

Pada era digital seperti daat ini perkembangan jumlah

website meningkat pesat mengingat kebutuhan akan
ketersediaan informasi pada website yang dapat diakses kapan
saja dan dimana saja. Dengan adanya website dapat
memudahkan kegiatan kita mulai dari keperluan akan mencari
informasi, belajar, promosi perusahaan, sampai jual beli dapat
dilakukan melalui website. Namun dengan peningkatan jumlah
website ini celah keamanan yang timbul juga semakin
meningkat. Tidak terkecuali dengan website Jurusan Teknik
Elektro, terlebih pada website Jurusan Teknik Elektro belum
pernah dilakukan audit untuk memindai celah keamanan yang
terdapat pada website Jurusan Teknik Elektro sehingga belum
dapat diketahui tingkat kehandalan dari website Jurusan Teknik
Elektro. Maka dari itu pengujian celah keamanan sangat perlu
dilakukan untuk dapat mengetahui celah keamanan yang
terdapat pada website Jurusan Teknik Elektro guna mengetahui
tingkat kehandalan dari keamanan website Jurusan Teknik
Elektro.
Atas dasar tersebut maka akan dilakukan penelitian yang
berjudul “Analisis dan Implementasi Framework ISSAF
terhadap OSSTMM pada Pengujian Celah Keamanan Website
di Polinema”. Pada penelitian ini penulis melakukan pengujian
celah keamanan pada website di Polinema dengan menggunakan
framework ISSAF dan OSSTMM guna memindai celah
keamanan yang terdapat pada website Jaringan Teknik Elektro.
Kemudian dari hasil pengujian tersebut akan diberikan
rekomendasi kepada pengelola website untuk mengatasi celah
keamanan yang ada. Sebelum memberikan rekomendasi, penulis
akan mencoba memutakhirkan keamanan website dan
melakukan pengujian ulang terhadap website yang telah
dimutakhirkan. Hal ini dilakukan guna membuktikan apakah
pemutakhiran yang dilakukan pada keamanan website dapat
5
bekerja secara efektif dalam mengatasi celah keamanan yang
ditemukan sebelumnya.
Berdasarkan penelitian yang telah dilakukan diketahui
bahwa pada website Jurusan Teknik Elektro terdapat 21 celah
keamanan dengan 7 diantaranya berlevel medium ketika
dilakukan pengjian celah keamanan menggunakan framework
ISSAF. Serta terdapat 17 celah keamanan ketika dilakukan
pengjian celah keamanan menggunakan framework OSSTMM.
Adapun celah keamanan tersebut diantaranya berupa 10 port
terbuka yang tidak digunakan dalam layanan website, lemah
terhadap serangan DoS, kerentanan terhadap serangan brute-
force, serta terdapat celah keamanan pada library yang
digunakan. Celah keamanan yang ditemukan dapat diatasi
dengan menggunakan beberapa metode, diantaranya dengan
melakukan blocking port terbuka yang tidak digunakan pada
layanan website, menambahkan reverse proxy, melakukan
blocking pada file xmlrpc.php, menambahkan CSP, serta
melakukan pembaruan pada software web server. Dari
penelitian yang telah dilakukan solusi tersebut efektif dalam
mengatasi celah keamanan yang ditemukan pada website
Jurusan Teknik Elektro.

Kata Kunci : Website, Celah Keamanan, Penetration Testing,

ISSAF, OSSTMM.

6
 ABSTRACT

In this digital era, the number of websites increasing rapidly

considering the need for the availability of information on
websites that can be accessed anytime and anywhere. The
existence of a website can facilitate our activities, starting from
the need to find information, study, company promotion, to
buying and selling can be done through the website. However,
with the increase in the number of websites , the security gaps
that arise are also increasing. The Department of Electrical
Engineering's website is no exception website , especially on the
Department of Electrical Engineering that has never been
audited to scan for security holes on the website Department of
Electrical Engineering, so the level of reliability of the website
Department of Electrical Engineering is not known. Therefore,
it is very necessary to test security gaps to be able to find out the
security holes found on the website Department of Electrical
Engineering in order to determine the level of reliability of the
website Department Electrical Engineering.
On this basis, a research entitled "Analysis and
Implementation of the ISSAF Framework on OSSTMM on
Website Security Vulnerabilities Testing in Polinema” will be
conducted. In this study, the author tested security holes on
website using frameworks to scan security holes on website the
Electrical Engineering Network Then from the test results,
recommendations will be given to website to overcome existing
security gaps. Before giving recommendations, the author will
try to update the security of the website and retest the website
that has been updated. This is done to prove whether the updates
made to the security of the website can work effectively in
overcoming the previously discovered security holes.
Based on the research that has been done, it is known that on
the website of the Department of Electrical Engineering there
are 21 security vulnerabilities with 7 of them being medium
7
level when testing for security vulnerabilities using the ISSAF
framework. And there are 17 security vulnerabilities when
testing for security vulnerabilities using the OSSTMM
framework. The security gaps include 10 open ports that are not
used in website services, weak against DoS attacks, vulnerability
to brute-force attacks, and there are security holes in the libraries
used. The security vulnerabilities found can be overcome using
several methods, including blocking unused open ports on
website services, adding a reverse proxy, blocking the
xmlrpc.php file, adding CSP, and updating the web server
software. From the research that has been done, the solution is
effective in overcoming the security holes found on the website
of the Department of Electrical Engineering.

Keywords: Website, Security Vulnerabilities, Penetration

Testing, ISSAF, OSSTMM.

8
A. JUDUL
ANALISIS DAN IMPLEMENTASI FRAMEWORK ISSAF
TERHADAP OSSTMM PADA PENGUJIAN CELAH
KEAMANAN WEBSITE DI POLINEMA

B. DAFTAR SOFTWARE
No Nama Software Keterangan
1. Whois Tool untuk mencari
informasi seputar pemilik
domain target.
2. Nmap Tool untuk melakukan
pemindaian port yang
bertujuan untuk mencari
informasi port yang
digunakan pada website
target.
3. Acunetix Tool untuk melakukan
pemindaian kerentanan
yang terdapat pada
website.
4. Nikto Tool untuk melakukan
pemindaian kerentanan
yang terdapat pada
website.
5. Low Orbit Ion Canon Tool untuk melakukan
penyerangan terhadap
kerentanan website
berupa penyerangan
DOS.
6. WPScan Tool untuk melaukan
cracking password pada
WordPress dengan

9
 metode brute-force
attack.
7. Wireshark Tool untuk melakukan
sniffing paket data pada
lalulintas jaringan
website.

C. PROSEDUR PENGUJIAN CELAH KEAMANAN

WEBSITE
1) Prosedur Pengujian Celah Keamanan Website
Menggunakan Framework ISSAF
Prosedur pengujian celah keamanan website Jaringan
Teknik Elektro menggunakan framework ISSAF.
a. Information Gathering
Information Gathering dilakukan dengan menggunakan tool
whois yang dapat diakses melalui website whois.com.
Adapun prosedur penggunaan tool whois adalah sebagai
berikut:
1. Buka website whois dengan alamat whois.com.

10
 Gambar 1.1 Prosedur Information Gathering Menggunakan
Tool Whois
2. Masukkan domain dari target ke dalam kolom domain
kemudian klik Enter. Target pengujian pada penelitian ini
adalah website Jurusan Teknik Elektro Polinema, sehingga
domain yang dimasukkan yaitu domain dari website
Jurusan Teknik Elektro Polinema (jte.polinema.ac.id).

Gambar 1.2 Prosedur Information Gathering Menggunakan

Tool Whois
b. Network Mapping
Network Mapping dilakukan dengan menggunakan tool
nmap. Adapun prosedur penggunaan tool nmap adalah
sebagai berikut:
1. Install tool nmap dengan menggunakan perintah “sudo
apt-get install nmap”.
11
 Gambar 1.3 Prosedur Network Mapping Menggunakan Tool
Nmap
2. Lakukan scanning port dengan menggunakan perintah
“sudo nmap –sS jte.polinema.ac.id”.

Gambar 1.4 Prosedur Network Mapping Menggunakan Tool

Nmap
c. Vulnerability Identification
Vulnerability Identification dilakukan menggunakan tool
acunetix. Adapun prosedur penggunaan tool acunetix adalah
sebagai berikut:
1. Buka tool acunetix > pilih tab Scans > pilih New Scan
untuk melakukan pemindaian baru.

Gambar 1.5 Prosedur Vulnerability Identification

Menggunakan Tool Acunetix
2. Pilih target pemindaian celah keamanan, apabila belum
terdapat target maka pilih “Add a new Target” untuk
menambahkan target pemindaian.

12
 Gambar 1.6 Prosedur Vulnerability Identification
Menggunakan Tool Acunetix
3. Pada tab Address masukkan domain dari target
pemindaian. Karena target pemindaian adalah website
Jurusan Teknik Elektro maka masukkan domain dari
website Jurusan Teknik Elektro, yaitu jte.polinema.ac.id.

Gambar 1.7 Prosedur Vulnerability Identification

Menggunakan Tool Acunetix
4. Pada tab Target Setting pilih Scan Profile “Full Scan”
kemudian klik Scan.

13
 Gambar 1.8 Prosedur Vulnerability Identification
Menggunakan Tool Acunetix
5. Pada Scanning Options pilih Scan Profile “Full Scan” dan
Schedule “Instant” kemudian klik Create Scan.

Gambar 1.9 Prosedur Vulnerability Identification

Menggunakan Tool Acunetix
6. Proses pemindaian akan berlangsung dan tunggu hingga
proses selesai.

14
 Gambar 1.10 Prosedur Vulnerability Identification
Menggunakan Tool Acunetix
d. Penetration
Penetrasi dilakukan dengan melakukan serangan DOS
terhadap website jte.polinema.ac.id menggunakan tool
LOIC. Adapun prosedur penggunaan tool LOIC adalah
sebagai berikut:
1. Buka tool LOIC dan masukkan domain target pada tab
URL kemudian klik Lock on. Target penyerangan pada
penelitian ini adalah website Jaringan Teknik Elektro
maka domain yang dimasukkan adalah doamain dari
website Jaringan Teknik Elektro, yaitu polinema.ac.id.

15
 Gambar 1.11 Prosedur Penyerangan Menggunakan Tool
LOIC
2. Ubah konfigurasi penyerangan seperti Method “TCP”,
Threads “1000”, dan Speed “slower” kemudian klik
“IMMA CHARGIN MAH LAZER”.

Gambar 1.12 Prosedur Penyerangan Menggunakan Tool

LOIC

16
e. Gaining Access & Privilege Escalation
Gaining Access & Privilege Escalation dilakukan dengan
menggunakan tool WPScan yang bertujuan untuk
mendapatkan akses masuk ke dalam sistem website
jte.polinema.ac.id. Adapun prosedur penggunaan tool
WPScan adalah sebagai berikut:
1. Lakukan scanning celah keamanan dan akun pada website
menggunakan perintah “wpscan --url jte.polinema.ac.id –
e u1-5 --random-user-agent --api-token (api token)”.

Gambar 1.13 Prosedur Gaining Access & Privilege

Escalation Menggunakan Tool WPScan
2. Lakukan scanning password akun yang ditemukan dengan
menggunakan perintah “wpscan --url jte.polinema.ac.id –
U wildan –P /usr/share/wordlist/wop-100-
NaughtySEC.txt --random-user-agent --api-token (api
token)”.

Gambar 1.14 Prosedur Gaining Access & Privilege

Escalation Menggunakan Tool WPScan
f. Enumetaring Further
Sniffing traffic menggunakan tool Wireshark dapat dilakukan
dengan cara sebagai berikut:
1. Buka tool Wireshark lalu pilih “Wifi” (dikarenakan
koneksi internet menggunakan Wifi). Kemudian klik
“Start capturing packets”.

17
 Gambar 1.15 Sniffing Traffic Menggunakan Tool Wireshark
2. Login pada website jte.polinema.ac.id.

Gambar 1.16 Sniffing Traffic Menggunakan Tool Wireshark

3. Buka tool Wireshark kembali dan lakukan filter pada
paket menggunakan filter “tcp.stream”.

18
 Gambar 1.17 Sniffing Traffic Menggunakan Tool Wireshark
4. Pilih paket yang hendak dianalisa kemudian klik kanan
lalu pilih “Follow” > “TCP Stream”.

Gambar 1.18 Sniffing Traffic Menggunakan Tool Wireshark

g. Covering Tracks
Melakukan penghapusan jejak yang ditinggalkan agar tidak
terdeteksi oleh administrator. Penghapusan jejak dilakukan
dengan menghapus log yang terdapat pada sistem website
jte.polinema.ac.id. Hapus log dengan cara sebagai berikut:

19
 1. Buka file access.log yang berisi riwayat akses website
dengan cara “sudo nano /var/log/nginx/access.log”.

Gambar 1.19 Buka Riwayat Akses Website

2. Hapus riwayat yang telah direkan oleh web server.

Gambar 1.20 Hapus Riwayat Akses Website

h. Report & Result
Pengumpulan data dan analisis hasil pengujian terkait celah
keamanan website jte.polinema.ac.id yang ditemukan
selama pengujian berlangsung guna melaporkan celah
keamanan website jte.polinema.ac.id.
2) Prosedur Pengujian Celah Keamanan Website
Menggunakan Framework OSSTMM
Prosedur pengujian celah keamanan website Jaringan
Teknik Elektro menggunakan framework OSSTMM.
a. Aset
Identifikasi target dari pengujian yang akan dilakukan.
Dimana target dari pengujian yang akan dilakukan disebut
Aset.

20
b. Zona Engagement
Identifikasi lingkungan yang dibangun di sekitar aset seperti
mekanisme proteksi serta layanan yang disediakan oleh
website.
c. Skop
Identifikasi hal-hal diluar zona engagement yang
berhubungan dengan Aset.
d. Vektor
Analisis bagaimana skop berinteraksi dengan dirinya sendiri
dan dunia luar. Cara berinterkasi yang dimaksud merupakan
arah komunikasi dari skop dengan dirinya sendiri dan dunia
luar.
e. Channel
Analisis dan tentukan jenis channel yang merepresentasikan
bagaimana komunikasi dan interaksi yang terjadi diantara
aset, zona engagement, dan skop.
f. Tipe Tes
Tentukan tipe tes yang akan digunakan pada pengujian serta
pastikan tipe tes yang akan digunakan sesuai dengan
pengujian yang akan dilakukan.
g. Security Testing
Security testing dilakukan dengan identifikasi informasi
dasar terkait website serta celah keamanan yang terdapat
pada website. Identifikasi sendiri dilakukan menggunakan
beberapa tool seperti Whois, Nmap, dan Nikto.
1. Identifikasi informasi dasar menggunakan tool Whois dan
Nmap.

21
 Buka website whois dengan alamat whois.com.

Gambar 1.21 Prosedur Pengujian Menggunakan Tool

Whois
 Masukkan domain dari target ke dalam kolom domain
kemudian klik Enter. Target pengujian pada penelitian
ini adalah website Jurusan Teknik Elektro Polinema,
sehingga domain yang dimasukkan yaitu domain dari
website Jurusan Teknik Elektro Polinema
(jte.polinema.ac.id).

Gambar 1.22 Prosedur Pengujian Menggunakan Tool

Whois
 Install tool nmap dengan menggunakan perintah “sudo
apt-get install nmap”.

22
 Gambar 1. 23 Prosedur Pengujian Menggunakan Tool
Nmap
 Lakukan scanning port dengan menggunakan perintah
“sudo nmap –sS jte.polinema.ac.id”.

Gambar 1. 24 Prosedur Pengujian Menggunakan Tool

Nmap
2. Identifikasi celah keamanan menggunakan tool Nikto.
Lakukan pemindaian celah keamanan menggunakan
perintah “nikto –h jte.polinema.ac.id”.

Gambar 1. 25 Prosedur Pengujian Menggunakan Tool Nikto

3. Uji penetrasi DOS menggunakan tool LOIC.
 Masukkan url tujuan > Klik “Lock on”.
 Ubah Method menjadi TCP.
 Ubah Threads menjadi 1000.
 Ubah Speed menjadi slower.
 Klik “IMMA CHARGIN MAH LAZER” untuk memulai
penetrasi.

23
 Gambar 1. 26 Prosedur Penetrasi Menggunakan Tool
LOIC
h. RAV & STAR
Setelah seluruh security testing dilakukan hasil dan celah
keamanan website yang ditemukan digunakan untuk
membuat penilaian dalam bentuk Risk Assessment Value
(RAV) dan Security Testing Audit Report (STAR). RAV
menghasilkan laporan dalam bentuk nilai keamanan,
sedangkan STAR menghasilkan laporan dalam bentuk status
dan komentar terhadap security testing yang telah dilakukan.
i. Rekomendasi
Setelah dilakukan penilaian dalam bentuk RAV dan STAR
maka dirumuskan beberapa rekomendasi terhadap hasil
penelitian yang telah dilakukan.

24
 BIODATA PENULIS

I. Profil
Nama Lengkap : Muhammad Alif Nabila
Nama Panggilan : Alif
Tempat, Tanggal Lahir : Malang, 14 Mei 2000
Alamat : Jl. Kebonagung RT 03 RW 02
Dusun Tamanharjo, Kecamatan
Singosari, Kabupaten Malang
No. Handphone : 089677032304
Email : alifnabila48@gmail.com
II. Riwayat Pendidikan
 2006 – 2012 : SD Islam Almaarif 01 Singosari
 2012 – 2015 : MTs Negeri 1 Lawang
 2015 – 2018 : SMK Negeri 2 Singosari
 2018 – 2022 : Politeknik Negeri Malang

Penjelasan video sistem dapat diakses pada link :

https://youtu.be/q12rLwTobWs

25