ANALISIS DAN IMPLEMENTASI SECURE CODE PADA PENGEMBANGAN SISTEM KEAMANAN WEBSITE FIKOM-METHODIST.COM MENGGUNAKAN PENETRATION TESTING DAN OWASP ZAP

Isi Artikel Utama

Naikson Fandier Saragih
Reinhard Tamalawe
Indra M Sarkis

Abstrak

Keamanan web menjadi perhatian utama dalam era digital saat ini tidak terkecuali website fikom-methodist.com yang merupakan aplikasi untuk administrasi data internal di Fakultas Ilmu Komputer Universitas Methodist Indonesia, dimana portal ini akan terus dikembangkan sesuai kebutuhannya. Sayangnya fikom-methodist.com  dalam perjalannya masih juga dapat diserang pada tahun 2022. Serangan terhadap aplikasi web menjadi ancaman yang serius bagi organisasi dan pengguna. Penetration testing metode yang dapat digunakan untuk menguji keamanan system sehingga kerentanan dalam aplikasi web dapat teridentifikasi yang selanjutnya digunakan untuk menutup celah keamanan tersebut. Penelitian diawali dengan melakukan assessment menggunakan Tools Owasp Zap untuk mendeteksi kerentanan celah CSRF. Dilanjutkan dengan ujicoba serangan pada celah CSRF dan melakukan penambalan menggunakan secure code untuk celah yang ada. Terakhir assessment ulang dilakukan untuk melihat  tingkat kerentanan setelah penambalan dilakukan untuk memastikan celah CSRF tidak ada lagi. Asesment  menggunakan Tools Owasp Zap pada url https.fikom-methodist.com terdapat celah kerentanan CSRF   14 celah (absence of Anti-CSRF Token) dan pada Method GET terdeteksi sebanyak 11 serta Method POST sebanyak 3 dengan risiko rrendah (Low). Ujicoba serangan pada celah CSRF dilakukan secara manual pada elemen URL website dengan teknik phising melalui form Register dengan Method POST dimana sumber code form/page diambil dari inspect element/Owasp Zap, yang selanjutnya dimanipulasi dengan menambahkan code berbahaya dengan tujuan menambah akun admin yang seolah-olah bagian dari web fikom-methodist.com. Serangan CSRF one-click, berhasil masuk ke dalam website. Selanjutnya untuk penambalan dengan secure code diimplementasikan menggunakan mekanisme verifikasi permintaan dan token keamanan pada Framework CI dengan mengaktifkan mode true pada $config['csrf_protection'] dan menerapkan fungsi kode hash pada setiap formulir untuk memastikan integritas data, mengidentifikasi file dengan unik, dan menyimpan kata sandi dalam database dalam bentuk yang tidak dapat dibaca. Tahapan terakhir dilakukan Penetration Testing ulang untuk memverifikasi efektivitasnya dalam melawan serangan CSRF. Hasil pengujian sistem berhasil melindungi aplikasi web dengan  memblok serangan CSRF secara otomatis. Selanjutnya pengujian ulang dengan Owasp Zap, hanya ditemukan 2 kerentanan dengan Method Get yang dimana tidak berisiko (risk low). Dua kerentan ini bukan terkait mengolah data tetapi  hanya menampilkan suatu data. Sehingga pengembangan system keamanan website fikom-methodist.com dengan secure code telah berhasil diimplementasikan.

Rincian Artikel

Cara Mengutip
[1]
N. Fandier Saragih, Reinhard Tamalawe, dan Indra M Sarkis, “ANALISIS DAN IMPLEMENTASI SECURE CODE PADA PENGEMBANGAN SISTEM KEAMANAN WEBSITE FIKOM-METHODIST.COM MENGGUNAKAN PENETRATION TESTING DAN OWASP ZAP”, JTM, vol. 12, no. 1, hlm. 28–39, Sep 2023.
Bagian
Articles

Referensi

Ashari, I. F., Oktarina, V., Sadewo, R. G., & Damanhuri, S. (2022). Analysis of Cross Site Request Forgery (CSRF) Attacks on West Lampung Regency Websites Using OWASP ZAP Tools. Jurnal Sisfokom (Sistem Informasi Dan Komputer), 11(2), 276–281. https://doi.org/10.32736/sisfokom.v11i2.1393

Elanda, A., & Buana, R. L. (2020). Analisis Keamanan Sistem Informasi Berbasis Website Dengan Metode Open Web Application Security Project (OWASP) Versi 4: Systematic Review. CESS (Journal of Computer Engineering, System and Science), 5(2), 185. https://doi.org/10.24114/cess.v5i2.17149

Kuncoro, A. W., & Rahma, F. (2021). Analisis Metode Open Web Application Security Project (OWASP) pada Pengujian Keamanan Website: Literature Review. Automata, 3(1), 1–5. https://www.sciencedirect.com

Makalalag, R., Najoan, X. B. N., Jacobus, A., Studi, P., Informatika, T., Teknik, F., Ratulangi, U. S., Pendahuluan, I., & Courtial, F. (2017). Kajian Implementasi Cross Site Request Forgery (Csrf) Pada Celah Keamanan Website. Jurnal Teknik Informatika, 12(1).

Priambodo, D. F., Rifansyah, A. D., & Hasbi, M. (2023). Penetration Testing Web XYZ Berdasarkan OWASP Risk Rating. Teknika, 12(1), 33–46. https://doi.org/10.34148/teknika.v12i1.571

Saragih, N. F., & Zebua, T. (2023). Analisis Keamanan dan Implementasi secure code pada Pengembangan Keamanan website fikom-methodist . com Menggunakan Penetration Testing dan CVSS. 7(1), 242–253.

Siregar, H. P., & Wijaya, T. (2018). Membangun Keamanan Dari Serangan Cross-Site Request Forgery (CSRF). Information and Communication Technologies in Tourism, 1(1), 58–68. http://sisfotenika.stmikpontianak.ac.id/index.php/enter/article/view/795/559

Timothy, R., & Daulat, B. (2021). Ringkasan Proposal TA. April. https://doi.org/10.13140/RG.2.2.33691.80169

Wardhana, A. W., & Seta, H. B. (2021). Analisis Keamanan Sistem Pembelajaran Online Menggunakan Metode ISSAF pada Website Universitas XYZ. Informatik : Jurnal Ilmu Komputer, 17(3), 226. https://doi.org/10.52958/iftk.v17i3.3653