ANALISIS DAN IMPLEMENTASI SECURE CODE PADA PENGEMBANGAN SISTEM KEAMANAN WEBSITE FIKOM-METHODIST.COM MENGGUNAKAN PENETRATION TESTING DAN OWASP ZAP
Isi Artikel Utama
Abstrak
Keamanan web menjadi perhatian utama dalam era digital saat ini tidak terkecuali website fikom-methodist.com yang merupakan aplikasi untuk administrasi data internal di Fakultas Ilmu Komputer Universitas Methodist Indonesia, dimana portal ini akan terus dikembangkan sesuai kebutuhannya. Sayangnya fikom-methodist.com dalam perjalannya masih juga dapat diserang pada tahun 2022. Serangan terhadap aplikasi web menjadi ancaman yang serius bagi organisasi dan pengguna. Penetration testing metode yang dapat digunakan untuk menguji keamanan system sehingga kerentanan dalam aplikasi web dapat teridentifikasi yang selanjutnya digunakan untuk menutup celah keamanan tersebut. Penelitian diawali dengan melakukan assessment menggunakan Tools Owasp Zap untuk mendeteksi kerentanan celah CSRF. Dilanjutkan dengan ujicoba serangan pada celah CSRF dan melakukan penambalan menggunakan secure code untuk celah yang ada. Terakhir assessment ulang dilakukan untuk melihat tingkat kerentanan setelah penambalan dilakukan untuk memastikan celah CSRF tidak ada lagi. Asesment menggunakan Tools Owasp Zap pada url https.fikom-methodist.com terdapat celah kerentanan CSRF 14 celah (absence of Anti-CSRF Token) dan pada Method GET terdeteksi sebanyak 11 serta Method POST sebanyak 3 dengan risiko rrendah (Low). Ujicoba serangan pada celah CSRF dilakukan secara manual pada elemen URL website dengan teknik phising melalui form Register dengan Method POST dimana sumber code form/page diambil dari inspect element/Owasp Zap, yang selanjutnya dimanipulasi dengan menambahkan code berbahaya dengan tujuan menambah akun admin yang seolah-olah bagian dari web fikom-methodist.com. Serangan CSRF one-click, berhasil masuk ke dalam website. Selanjutnya untuk penambalan dengan secure code diimplementasikan menggunakan mekanisme verifikasi permintaan dan token keamanan pada Framework CI dengan mengaktifkan mode true pada $config['csrf_protection'] dan menerapkan fungsi kode hash pada setiap formulir untuk memastikan integritas data, mengidentifikasi file dengan unik, dan menyimpan kata sandi dalam database dalam bentuk yang tidak dapat dibaca. Tahapan terakhir dilakukan Penetration Testing ulang untuk memverifikasi efektivitasnya dalam melawan serangan CSRF. Hasil pengujian sistem berhasil melindungi aplikasi web dengan memblok serangan CSRF secara otomatis. Selanjutnya pengujian ulang dengan Owasp Zap, hanya ditemukan 2 kerentanan dengan Method Get yang dimana tidak berisiko (risk low). Dua kerentan ini bukan terkait mengolah data tetapi hanya menampilkan suatu data. Sehingga pengembangan system keamanan website fikom-methodist.com dengan secure code telah berhasil diimplementasikan.
Rincian Artikel
Referensi
Ashari, I. F., Oktarina, V., Sadewo, R. G., & Damanhuri, S. (2022). Analysis of Cross Site Request Forgery (CSRF) Attacks on West Lampung Regency Websites Using OWASP ZAP Tools. Jurnal Sisfokom (Sistem Informasi Dan Komputer), 11(2), 276–281. https://doi.org/10.32736/sisfokom.v11i2.1393
Elanda, A., & Buana, R. L. (2020). Analisis Keamanan Sistem Informasi Berbasis Website Dengan Metode Open Web Application Security Project (OWASP) Versi 4: Systematic Review. CESS (Journal of Computer Engineering, System and Science), 5(2), 185. https://doi.org/10.24114/cess.v5i2.17149
Kuncoro, A. W., & Rahma, F. (2021). Analisis Metode Open Web Application Security Project (OWASP) pada Pengujian Keamanan Website: Literature Review. Automata, 3(1), 1–5. https://www.sciencedirect.com
Makalalag, R., Najoan, X. B. N., Jacobus, A., Studi, P., Informatika, T., Teknik, F., Ratulangi, U. S., Pendahuluan, I., & Courtial, F. (2017). Kajian Implementasi Cross Site Request Forgery (Csrf) Pada Celah Keamanan Website. Jurnal Teknik Informatika, 12(1).
Priambodo, D. F., Rifansyah, A. D., & Hasbi, M. (2023). Penetration Testing Web XYZ Berdasarkan OWASP Risk Rating. Teknika, 12(1), 33–46. https://doi.org/10.34148/teknika.v12i1.571
Saragih, N. F., & Zebua, T. (2023). Analisis Keamanan dan Implementasi secure code pada Pengembangan Keamanan website fikom-methodist . com Menggunakan Penetration Testing dan CVSS. 7(1), 242–253.
Siregar, H. P., & Wijaya, T. (2018). Membangun Keamanan Dari Serangan Cross-Site Request Forgery (CSRF). Information and Communication Technologies in Tourism, 1(1), 58–68. http://sisfotenika.stmikpontianak.ac.id/index.php/enter/article/view/795/559
Timothy, R., & Daulat, B. (2021). Ringkasan Proposal TA. April. https://doi.org/10.13140/RG.2.2.33691.80169
Wardhana, A. W., & Seta, H. B. (2021). Analisis Keamanan Sistem Pembelajaran Online Menggunakan Metode ISSAF pada Website Universitas XYZ. Informatik : Jurnal Ilmu Komputer, 17(3), 226. https://doi.org/10.52958/iftk.v17i3.3653