of 34/34
Laporan Kerja Praktek 2013 | 1 BAB 1 PENDAHULUAN 1.1. Latar Belakang Teknologi merupakan sesuatu yang berkembang pesat pada saat ini dan bisa di bilang sudah berada dalam taraf “menyeramkan”. Kenapa, karena suatu produk unggulan yang lahir hari ini bisa saja tertutup oleh produk baru yang lebih unggul hari esok. Seiring dengan berkembangnya teknologi informasi, maka penggunaan internetpun semakin meluas pada berbagai aspek kehidupan masyarakat. Aplikasi internet yang paling umum dan paling banyak digunakan adalah world wide web (www) atau biasa disebut dengan istilah web saja. Lebih dari satu dekade, web telah dimanfaatkan oleh jutaan perusahaan dan industri sebagai salah satu saluran untuk berkomunikasi dan bertukar informasi yang murah dengan peluang-peluang dan bahkan transaksi-transaksi dengan pelanggan. Web memberikan cara bagi institusi maupun individu untuk mengetahui pelanggan atau orang yang mengunjungi website dan memulai untuk berkomunikasi dengan mereka.Salah satu caranya yang bisa dilakukan antara lain adalah mengajak atau menanyakan pengunjuk web untuk berlangganan newsletter, men-submit suatu form jika menginginkan informasi tentang detil produk. Dari sudut pandang teknikal, web atau aplikasi web adalah suatu environment yang sangat programmable dalam bentuk program komputer yang memungkinkan pengunjung website men-submit dan menampilkan data dari dan ke suatu database server melalui internet dengan web browser (web client). Kemudian data ditampilkan ke user dalam web browser sebagai informasi yang dihasilkan secara dinamis (biasanya dalam format HTML dengan CSS) oleh aplikasi web melalui web server. Web bekerja dalam konsep client server, artinya ada aplikasi client yang meminta data/informasi kepada web server (yang menyediakan data/informasi dinamis). Data/informasi dinamis dihasilkan oleh aplikasi web yang terhubung dengan database server. Aplikasi web client contohnya : Mozilla, Firefox, Netscape, Internet Explorer, Opera dan lain-lain. Contoh aplikasi web server yaitu: Apache web server, thttpd, IIS (microsoft web server) dan lain-lain. Dalam komunikasinya web client dan web server berkomunikasi menggunakan protokol HTTP (Hyper Text Markup Language). Dengan berkembangnya web yang begitu pesat ternyata selain memberikan keuntungan dan manfaat juga menimbulkan potensi resiko masalah security. Serangan

Bab Isi Dan Daftar Pustaka

  • View
    82

  • Download
    0

Embed Size (px)

DESCRIPTION

acunetix

Text of Bab Isi Dan Daftar Pustaka

  • Laporan Kerja Praktek 2013 | 1

    BAB 1

    PENDAHULUAN

    1.1. Latar Belakang

    Teknologi merupakan sesuatu yang berkembang pesat pada saat ini dan bisa di

    bilang sudah berada dalam taraf menyeramkan. Kenapa, karena suatu produk unggulan

    yang lahir hari ini bisa saja tertutup oleh produk baru yang lebih unggul hari esok.

    Seiring dengan berkembangnya teknologi informasi, maka penggunaan internetpun

    semakin meluas pada berbagai aspek kehidupan masyarakat. Aplikasi internet yang paling

    umum dan paling banyak digunakan adalah world wide web (www) atau biasa disebut

    dengan istilah web saja. Lebih dari satu dekade, web telah dimanfaatkan oleh jutaan

    perusahaan dan industri sebagai salah satu saluran untuk berkomunikasi dan bertukar

    informasi yang murah dengan peluang-peluang dan bahkan transaksi-transaksi dengan

    pelanggan.

    Web memberikan cara bagi institusi maupun individu untuk mengetahui pelanggan

    atau orang yang mengunjungi website dan memulai untuk berkomunikasi dengan

    mereka.Salah satu caranya yang bisa dilakukan antara lain adalah mengajak atau

    menanyakan pengunjuk web untuk berlangganan newsletter, men-submit suatu form jika

    menginginkan informasi tentang detil produk.

    Dari sudut pandang teknikal, web atau aplikasi web adalah suatu environment yang

    sangat programmable dalam bentuk program komputer yang memungkinkan pengunjung

    website men-submit dan menampilkan data dari dan ke suatu database server melalui

    internet dengan web browser (web client). Kemudian data ditampilkan ke user dalam web

    browser sebagai informasi yang dihasilkan secara dinamis (biasanya dalam format

    HTML dengan CSS) oleh aplikasi web melalui web server. Web bekerja dalam konsep

    client server, artinya ada aplikasi client yang meminta data/informasi kepada web

    server (yang menyediakan data/informasi dinamis). Data/informasi dinamis dihasilkan

    oleh aplikasi web yang terhubung dengan database server. Aplikasi web client contohnya

    : Mozilla, Firefox, Netscape, Internet Explorer, Opera dan lain-lain. Contoh aplikasi web

    server yaitu: Apache web server, thttpd, IIS (microsoft web server) dan lain-lain. Dalam

    komunikasinya web client dan web server berkomunikasi menggunakan protokol HTTP

    (Hyper Text Markup Language).

    Dengan berkembangnya web yang begitu pesat ternyata selain memberikan

    keuntungan dan manfaat juga menimbulkan potensi resiko masalah security. Serangan

  • Laporan Kerja Praktek 2013 | 2

    security yang paling dominan di internet adalah serangan terhadap aplikasi web.

    Kenaikan jumlah masalah security misalnya disebabkan karena coding yang tidak layak,

    keslahan dalam konfigurasi web server dan lain-lain.

    1.2. Tujuan

    Tujuan dari kegiatan ini adalah mengeksplorasi berbagai metode untuk mengaudit

    aspek security pada aplikasi berbasis web sehingga pengembangan web menjadi lebih

    terjaga aspek securitynya.

    Diharapkan dengan adanya pedoman ini, dapat diperoleh manfaat sebagai berikut: :

    a. Mengetahui aspek-aspek security pada pengembangan aplikasi berbasis web

    b. Mengetahu berbagai teknik untuk melakukan pengujian atau audit security aplikasi

    web.

    c. Mengkenali berbagai kemungkinan permasalahan yang muncul khususnya dari aspek

    security pada pengembangan aplikasi web..

    d. Adanya pengalaman bagi SDM TELKOM terhadap teknologi pengujian security pada

    aplikasi berbasis web

    1.3. Rumusan Masalah

    Berdasarkan Latar Belakang di atas, Pemasalahan yang akan di adikan obyek

    penelitian dan pengembangan masalah adalah:

    1. Memahami tentang instalasi dan penggunaan Acunetix Web Vulnerability

    Scanner 8

    2. Memahami tingkat keamanan suatu web

    3. Memahami jenis-jenis serangan yang biasanya dilakukan seorang peretas pada

    suatu web

    1.4. Metode Penelitian

    Metode penulisan yang dilakukan pada Laporan Kerja Praktek ini adalah:

    1. Data-data studi lapangan, penulis mendapatkan pengetahuan baik dari

    pembimbing maupun kerja praktek di lapangan.

    2. Data-data studi kepustakaan yang penulis dapatkan dari literatur dan sumber

    tertulis lainnya baik dari dalam perusahaan, buku-buku perpustakaan maupun

  • Laporan Kerja Praktek 2013 | 3

    dari media internet yang terkait dengan topik penulisan laporan kerja praktek

    ini.

    1.5. Rencana Kerja

    Kegiatan Minggu 1 Minggu 2 Minggu 3 Minggu 4 Minggu 5

    Pencarian

    data

    Pembuatan

    aplikasi

    Penyusunan

    laporan

    Sistematika Laporan

    Laporan ini dibagi menjadi beberapa bab yang membahas hal-hal berikut:

    BAB I PENDAHULUAN

    Berisi latar belakang, tujuan, lingkup penugasan, metode penelitian, rencana kerja,

    rencana kegiatan dan sistematika laporan.

    BAB II PROFIL PT. TELKOM INDONESIA

    Menjelaskan profil PT Telkom Indonesia

    BAB III LANDASAN TEORI

    Berisi teori tentang internet protocol, php, database mysql, dan switch

    BAB IV PELAKSANAAN KERJA PRAKTEK

    Berisi tentang prosedur pengerjaan tugas yang diberikan

    BAB V ANALISA HASIL KERJA PRAKTEK

    Berisi tentang analisa dari hasil kerja praktek yang telah dilakukan.

    BAB VI KESIMPULAN

    Berisi kesimpulan berdasarkan pembahasan dari laporan kerja praktek ini.

  • Laporan Kerja Praktek 2013 | 4

    BAB 2

    PROFIL TELKOM R&D Center

    2.1. Profil TELKOM R&D Center

    TELKOM R&D Center adalah merupakan unit bisnis Pendukung PT.

    Telekomunikasi Indonesia, Tbk yang secara struktural bertanggung jawab langsung kepada

    Direktur Network & Solution. Sejalan dengan perubahan pengorganisasian bisnis menuju

    pada model customer centric organization , fungsi riset dan pengembangan perusahaan

    lebih diberdayakan dan focus pada peran membangun kapabilitas perusahaan dalam

    mempersiapkan pengembangan service dan produk unggulan serta dapat mengantisipasi

    trend perkembangan bisnis yang berbasis teknologi informasi dan Komunikasi

    Gambar 2.1 Struktur organisasi TELKOM R&D Center

    VISI :

    Menjadi sebuah R&D Telekomunikasi yang memiliki reputasi di Asia Pasifik tahun 2013

    MISSION :

    Melakukan inovasi, pengembangan dan menghasilkan produk dan layanan baru

    untuk meningkatkan nilai pada pelanggan.

    Menghasilkan hasil riset terbaik untuk meningkatkan nilai TELKOMGroup dengan

    berbasis pada standard internasional.

    Mendukung TELKOM Group dan pelanggan untuk pengembangan bisnis Infokom.

  • Laporan Kerja Praktek 2013 | 5

    2.2. Laboratorium Security and Realibilty

    Laboratorium Security and Realibilty (SCR) merupakan salah satu laboratorium yang

    ada di TELKOM R&D Center, Laboratorium Security and Realibilty sendiri memiliki

    tugas untuk melakukan riset dan pengembangan sistem reliability dan security sistem

    jaringan , sistem energi telekomunikasi dan Satelit untuk mendukung bisnis jaringan.

    Selain itu Laboratorium Security and Realibilty juga melakukan uji coba teknis dan

    pengembangan standar system Reliability & Security termasuk system frekuensi dan

    numbering.

    Tugas Laboratorium Security and Realibilty:

    Memastikan terkelolanya fungsi riset dan pengembangan sistem Reliability &

    Security jaringan dan pengembangan sistem energi serta pengelolaan frekuensi dan

    numbering untuk mendukung bisnis TELKOM, program R&D CENTER dengan mengacu

    kepada pedoman & strategi yang dikembangkan oleh SM RISBANGMANJAR .

  • Laporan Kerja Praktek 2013 | 6

    BAB 3

    LANDASAN TEORI

    3.1. Web

    Situs web (bahasa Inggris: web site) atau sering disingkat dengan istilah situs adalah

    sejumlah halaman web yang memiliki topik saling terkait, terkadang disertai pula dengan

    berkas-berkas gambar, video, atau jenis-jenis berkas lainnya. Sebuah situs web biasanya

    ditempatkan setidaknya pada sebuah server web yang dapat diakses melalui jaringan

    seperti internet, ataupunjaringan wilayah lokal (LAN) melalui alamat internet yang

    dikenali sebagai URL. Gabungan atas semua situs yang dapat diakses publik di internet

    disebut pula sebagai Waring Wera Wanua atau lebih dikenal dengan singkatan WWW.

    Meskipun setidaknya halaman beranda situs internet umumnya dapat diakses publik secara

    bebas, pada prakteknya tidak semua situs memberikan kebebasan bagi publik untuk

    mengaksesnya, beberapa situs web mewajibkan pengunjung untuk melakukan pendaftaran

    sebagai anggota, atau bahkan meminta pembayaran untuk dapat menjadi aggota untuk

    dapat mengakses isi yang terdapat dalam situs web tersebut, misalnya situs-situs yang

    menampilkan pornografi, situs-situs berita, layanan surel (e-mail), dan lain-lain.

    Pembatasan-pembatasan ini umumnya dilakukan karena alasan keamanan, menghormati

    privasi, atau karena tujuan komersil tertentu.

    Sebuah halaman web merupakan berkas yang ditulis sebagai berkas teks biasa

    (plain text) yang diatur dan dikombinasikan sedemikian rupa dengan instruksi-instruksi

    berbasis HTML, atau XHTML, kadang-kadang pula disisipi dengan sekelumit bahasa

    skrip. Berkas tersebut kemudian diterjemahkan oleh peramban web dan ditampilkan seperti

    layaknya sebuah halaman pada monitor komputer.

    Halaman-halaman web tersebut diakses oleh pengguna melalui protokol

    komunikasi jaringan yang disebut sebagai HTTP, sebagai tambahan untuk meningkatkan

    aspek keamanan dan aspek privasi yang lebih baik, situs web dapat pula

    mengimplementasikan mekanisme pengaksesan melalui protokol HTTPS

    Dalam pembuatan suatu situs web dibutuhkan beberapa bahasa pemograman yang

    digunakan seorang admin agar laman web yang sudah dibuat memiliki banyak fitur.

    Adapun bahasa pemograman yang biasa seorang administrator gunakan dalam membuat

    sebuah laman web:

  • Laporan Kerja Praktek 2013 | 7

    1. HyperText Markup Language (HTML)

    HTML adalah sebuah bahasa markup yang digunakan untuk membuat sebuah

    halaman web dan menampilkan berbagai informasi di dalam sebuah browser

    Internet. HTML saat ini merupakan standar Internet yang didefinisikan dan

    dikendalikan penggunaannya oleh World Wide Web Consortium (W3C).

    HTML berupa kode-kode tag yang menginstruksikan browser untuk

    menghasilkan tampilan sesuai dengan yang diinginkan. Sebuah file yang

    merupakan file HTML dapat dibuka dengan menggunakan browser web

    seperti Mozilla Firefox, Microsoft Internet Explorer dll.

    2. Hypertext Preprocessor (PHP)

    PHP adalah bahasa pemrograman script yang paling banyak dipakai saat ini

    PHP pertama kali dibuat oleh Rasmus Lerdorf pada tahun 1995. Pada waktu itu

    PHP masih bernama FI (Form Interpreted), yang wujudnya berupa sekumpulan

    script yang digunakan untuk mengolah data form dari web. PHP banyak dipakai

    untuk membuat situs web yang dinamis, walaupun tidak tertutup kemungkinan

    digunakan untuk pemakaian lain. PHP biasanya berjalan pada sistem

    operasi linux (PHP juga bisa dijalankan dengan hosting windows).

    3. Javascript

    Javascript adalah bahasa scripting yang handal yang berjalan pada sisi client

    JavaScript merupakan sebuah bahasa scripting yang dikembangkan oleh

    Netscape. Untuk menjalankan script yang ditulis dengan JavaScript kita

    membutuhkan JavaScript-enabled browser yaitu browser yang mampu

    menjalankan JavaScript.

    4. MySQL

    MySQL adalah sebuah perangkat lunak database (basis data) sistem tebuka

    yang sangat terkenal dikalangan pengembang sistem database dunia yang di

    gunakan untuk berbagai aplikasi terutama untuk aplikasi berbasis web. MySQL

    mempunyai fungsi sebagai SQl (Structured Query Language) yang di miliki

    sendiri dan telah di perluas. MySQL umumnya digunakan bersamaan dengan

    PHP untuk membuat aplikasi yang dinamis dan powerful.

  • Laporan Kerja Praktek 2013 | 8

    Suatu web membutuhkan beberapa persyaratan khusus agar web yang sudah dibuat

    dapat diakses melalui internet dan terdaftar di search engine, diantaranya:

    1. Domain

    Domain adalah alamat sebuah website yang digunakan untuk mengakses sebuah

    website dengan cara mengetikkannya di browser yang ada di perangkat Anda yang

    terkoneksi ke internet. Contoh domain adalah www.google.com. Ekstensi belakang

    domain bukan hanya .com. Ada juga .net, .org, .biz, .info, .asia, .tv, .in, .us, .co.id,

    .web.id, .co.uk, dll masih teramat sangat banyak lagi ekstensi domain yang lainnya.

    2. Hosting

    Hosting adalah tempat dimana data-data website disimpan, di-online-kan dan

    diolah oleh pengelola website. Dapat ibaratkan hosting seperti satu ruangan di

    sebuah gedung apartemen atau gedung perkantoran. Hosting menjadi tempat

    tinggal ataupun kantor kita di dunia online (internet). Yang banyak dipakai orang

    saat ini rata-rata disebut dengan Shared Hosting. Perusahaan-perusahaan hosting

    menyediakan paket hosting sekaligus harganya masing-masing yang bervariasi

    tergantung dari Disk Space (Kapasitas Disk), Monthly Bandwidth (Data Transfer

    Bulanan) dan fasilitas-fasilitas juga fitur-fitur lainnya.

    3.2. Ancaman pada aplikasi web

    Sebuah halaman web pasti memiliki celah-celah yang biasanya banyak

    dimamfaatkan oleh para peretas untuk melakukan serangan pada halaman web tersebut.

    Timbulnya celah ini disebabkan oleh beberapa hal seperti:

    a. Lemahnya sistem keamanan server penyedia halaman web tersebut

    b. Kurang jelas pemograman admin sehingga menimbulkannya karakter yang ganjil

    c. Kesalahan pemograman selama proses pembuatan halaman web

    d. Banyak dictonary yang tidak jeas pada halaman web tersebut

    e. Pemasangan file yang berbahaya pada halaman web

    f. File yang terdapat pada halaman web

    g. Sistem autentikasi dan otorisasi yang buruk pada penyedia layanan web

    Celah tersebut banyak dimamfaatkan para cracker dan hacker untuk melakukan

    serangan pada layanan web atau aplikasi berbasis web, www.idsirtii.or.id mencatat

    bulan September 2012 saja ada sekitar 5000 serangan yang ditujukan pada database

    web dan 300 ancaman yang menyerang pemograman web pada suatu jaringan

  • Laporan Kerja Praktek 2013 | 9

    nasional. Berikut ini adalah beberapa serangan yang biasanya dilakukan seorang

    craker atau hacker pada suatu halaman web:

    a. SQL Injection

    Serangan sql injection adalah injeksi / suntikan perintah sql ke dalam query sql

    dari aplikasi web dengan tujuan mengakses dan memanipulasi database pada

    aplikasi. Serangan ini dapat di eksekusi dari address bar dan form yang ada di

    dalam aplikasi web. Tujuan dari serangan ini adalah untuk memasukkan perintah

    sql dalam sebuah permintaan yang sudah ada dalam aplikasi web tersebut.

    b. Cross Site Scripting/XSS

    Cross Site Scripting adalah jenis celah yang digunakan oleh attacker untuk

    menyuntikkan kode ke halaman web yang rentan terhadap serangan ini. Jika

    sebuah situs rentan terhadap cross site scripting, attacker kemungkinan besar akan

    mencoba untuk menyuntikkan situs dengan javascript berbahaya atau mencoba

    scam pengguna dengan menciptakan bentuk halaman web yang hampir sama

    untuk mendapatkan informasi.

    c. Directory Transversal Attack

    Mengeksploitasi HTTP untuk menghindari serangan keamanan Web server dan

    menggunakan perangkat lunak berbahaya untuk mengakses isi direktori yang

    dibatasi/disembunyikan. Directory traversal adalah salah satu teknik untuk

    mengeksploitasi HTTP. Tujuan dari serangan Traversal Direktori adalah untuk

    menjalankan perintah yang akan mengakses file yang dibatasi (CMOD). Jenis

    serangan menggunakan HTTP untuk memotong Web server dan keamanan

    aplikasi Web. Hal ini dimungkinkan dengan langkah-langkah keamanan yang

    tidak di server dan website.

    d. Deface

    Deface adalah Aktifitas yang mengotori, menodai, merubah inti dari isi

    halaman suatu website dengan tulisan, gambar, ataupun link yang membuat suatu

    link menjadi melenceng dari perintah yang kita buat. Sedangkan pengertian dari

    web deface adalah melakukan perubahan pada halaman web depan pada situs-

    situs tertentu, dilakukan oleh para hacker atau cracker untuk mengganggu

    informasi yang dimunculkan pada halaman situs yang dimaksud. Pengertian

    mudahnya, web deface adalah menambahkan gambar, tulisan ke suatu web milik

    orang lain tanpa sepengetahuan adminnya.

  • Laporan Kerja Praktek 2013 | 10

    Defacing adalah merupakan bagian dari kegiatan hacking web atau program

    application, yang menfokuskan target operasi pada perubahan tampilan dan

    konfigurasi fisik dari web atau program aplikasi tanpa melalui source code

    program tersebut. Sedangkan deface itu sendiri adalah hasil akhir dari kegiatan

    cracking. Tekniknya adalah dengan membaca source codenya, lalu mengganti

    image dan editing html tag.

    3.3. Acunetix

    Acunetix web vulnerability scanner 8 merupakan salah satu software yang biasanya

    digunakan untuk mencari celah kemanan suatu website. Acunetix juga mempunyai

    beberapa fitur yang menambah kinerja pencarian celah suatu web seperti Deep Scan dan

    AcuSensor Technology. Acunetix bekerja dengan cara melakukan pengecekan terhadap

    setiap link yang terkait dengan halaman web yang kita scan, setiap direktori pada halaman

    web tersebut, semua file yang menjadi konten pada web tersebut sehingga hasilnya kita

    dapat mengetahui setiap celah yang ada di sebuah halaman web. Acunetix Web

    Vurnerability Scanner membutuhkan system / personal computer dengan spesifikasi

    sebagai berikut :

    Operating system: Microsoft Windows XP, 7, Vista, 8

    CPU : 32 bit atau 64 bit prosessor

    Sistem memori minimum 2 GB RAM

    Media penyimpanan : minimal 200 MB tersisa di harddisk

    Microsoft Internet Explorer 7 atau yang terbaru atau web browser lain

    yang bisa di integrasikan dengan acunetix

    Optional: Microsoft SQL Server atau Microsoft Access untuk melaporkan

    database

  • Laporan Kerja Praktek 2013 | 11

    BAB 4

    PELAKSANAAN KERJA PRAKTEK

    4.1. Instalasi Acunetix Web Vulnerbility Scanner 8

    Setelah kita memenuhi spesifikasi untuk melakukan instalasi Accunetix di PC kita,

    maka instalasi bias mulai dilakukan, ikuti langkah langkah berikut :

    1. Download Software Acunetix Web Vurnerability Scanner di http://tutorial-

    update.blogspot.com/2013/03/acunetix-web-vulnerability-scanner-8.html

    2. Setelah Software berhasil di download, lakukan instalasi

    Gambar 4.1 Installasi Acunetix [1]

    klik next , dan ikuti langkah langkah instalasi sesuai petunjuk

    3. Jika ada notifikasi seperti gambar dibawah, klik next saja. Jangan menginstall

    Acunetix Firefox Extension (BETA)

  • Laporan Kerja Praktek 2013 | 12

    Gambar 4.2 Installasi Acunetix [2]

    4. Setelah itu lanjutkan instalasi sampai selesai

    Gambar 4.3 Installasi Acunetix [3]

  • Laporan Kerja Praktek 2013 | 13

    BAB 5

    ANALISA HASIL PELAKSANAAN KERJA PRAKTEK

    Pada bab ini akan di bahas mengenai pengujian dan hasil implementasi yang telah di

    lakukan. Pengujian ini bertujuan untuk mengetahui celah keaman dari halaman web

    @wifi.id tanpa login menggunakan akun Speedy.

    http://welcome.indonesiawifi.net:80/wifi.id/default/?switch_url=http://1.1.1.1/login.html&

    ap_mac=1c:e6:c7:4c:ef:80&client_mac=00:27:10:4e:8a:94&[email protected]&redirect=a

    cademic.ittelkom.ac.id.

    1. STEP 1 : Pilih target web untuk di scan

    Klik File > New > New website scan untuk menampilkan scan wizard, atau klik

    New Scan di bagian pojok kiri atas jendela acunetix untuk menampilkan scan

    wizard

    Gambar 5.1 Scan Type Acunetix

    2. Scan single website :

    Masukan spesifikasi alamat/URL web yang akan di scan. Apabila kita sudah

    memiliki File hasil crawling kita dapat menyertakannya agar ACUNETIX dapat

  • Laporan Kerja Praktek 2013 | 14

    Scan Using Crawling Results :

    Opsi ini digunakan jika kita pernah melakukan scanning web sebelumnya ( hasil

    crawling telah di simpan)

    3. Ketik Next untuk melanjutkan

    4. STEP 2 : memilih profil untuk scanning web

    Gambar 5.2 Scan Profile Acunetix

    Scanning profile akan menentukan tes apa yang akan di lakukan terhadap target

    web, contohnya jika kita hanya ingin mengetes web kita terhadap serangan SQL

    injection, maka kita pilih profil sql_injection. Selanjutnya acunetix hanya akan

    melakukan tes SQL injection saja. Profil default akan mengetes keamanan web dari

    semua aspek

    Save scan results , perintah untuk menyimpan hasil scan. Ceklis untuk menyimpan

    hasil scan ke database

    After crawling let me choose the files to scan, opsi ini digunakan jika kita ingin

    memilih file mana yang akan kita scan setelah proses crawling selesai

  • Laporan Kerja Praktek 2013 | 15

    5. STEP 3 : konfirmasi target web dan teknologi yang terdeteksi

    Gambar 5.3 Scan Target Web

    Pada step ini acunetix akan mendeteksi spesifikasi target web dan terdapat pilihan

    untuk mengoptimasi scan pada teknologi yang di ceklis. Misal pada bagian PHP

    dsb. Klik Next untuk melanjutkan.

  • Laporan Kerja Praktek 2013 | 16

    6. STEP 4 : konfigurasi login untuk scanning bagian yang dilindungi

    Gambar 5.4 Login Sequence Acunetix [1]

    Klik New Login Sequence untuk mengautentikasi akun untuk login ke website

    target

    Gambar 5.5 Login Sequence Acunetix [2]

    Klik next untuk melanjutkan hingga tahap terahir. Jika sudah memiliki login

    sequence, klik next untuk memulai scanning web.

  • Laporan Kerja Praktek 2013 | 17

    7. STEP 5 : tahap akhir konfigurasi scanning

    Gambar 5.6 Konfigurasi Scanning

    Klik finish untuk memulai scanning web.

    8. STEP 6: Analisis scanning web

    Gambar 5.7 Analisis Scanning

  • Laporan Kerja Praktek 2013 | 18

    Setelah scanning selesai, akan muncul hasil scanning web. Ada 4 macam web

    alerts, yaitu High, Medium, Low dan Informational

    Web alerts

    Gambar 5.8 Web Alerts

    9. STEP 7 : Membuat Report

    klik action > Generate Report . Setelah itu akan muncul Acunetix WVS Reporter

    Gambar 5.9 Proses Report

    Buat executive summary untuk meringkas hasil scanning, klik Report wizard dan

    ikuti langkah selanjutnya untuk membuat laporan scan. Laporan scan pada

    ACUNETIX dapat dapat disesuaikan dengan kebutuhan kita, apabila kita ingin

    laporan scan yang lebih detail kita dapat memilih Developer Summary.

  • Laporan Kerja Praktek 2013 | 19

    Melalui proses scan ACUNETIX kita dapat mengetahui celah keamanan yang

    terdapat di halaman web.

    http://welcome.indonesiawifi.net:80/wifi.id/default/?switch_url=http://1.1.1.1/login.

    html&ap_mac=1c:e6:c7:4c:ef:80&client_mac=00:27:10:4e:8a:94&[email protected]

    &redirect=academic.ittelkom.ac.id.

    Berikut ini merupakan lampiran hasil scan @wifi.id tanpa login menggunakan akun

    Speedy, adapaun laporan yang dilampirkan merupakan Developer Report sehingga

    kita dapat mengetahui celah keamanan pada web secara lebih detail

  • Laporan Kerja Praktek 2013 | 20

    Gambar 5.10 Hasil Report [1]

  • Laporan Kerja Praktek 2013 | 21

    Gambar 5.11 Hasil Report [2]

  • Laporan Kerja Praktek 2013 | 22

    Gambar 5.12 Hasil Report [3]

  • Laporan Kerja Praktek 2013 | 23

    Gambar 5.13 Hasil Report [4]

  • Laporan Kerja Praktek 2013 | 24

    Gambar 5.14 Hasil Report [5]

  • Laporan Kerja Praktek 2013 | 25

    Gambar 5.15 Hasil Report [6]

  • Laporan Kerja Praktek 2013 | 26

    Gambar 5.16 Hasil Report [7]

  • Laporan Kerja Praktek 2013 | 27

    Gambar 5.17 Hasil Report [8]

  • Laporan Kerja Praktek 2013 | 28

    Gambar 5.18 Hasil Report [9]

  • Laporan Kerja Praktek 2013 | 29

    Gambar 5.19 Hasil Report [10]

  • Laporan Kerja Praktek 2013 | 30

    Gambar 5.20 Hasil Report [11]

  • Laporan Kerja Praktek 2013 | 31

    Gambar 5.21 Hasil Report [12]

  • Laporan Kerja Praktek 2013 | 32

    Gambar 5.22 Hasil Report [13]

  • Laporan Kerja Praktek 2013 | 33

    BAB 6

    KESIMPULAN DAN SARAN

    6.1. Kesimpulan

    Layanan @wifi.id ternyata mempunyai celah terhadap serangan Croos Site

    Scripting

    Ada beberapa session cookie yang memiliki potensi untuk dijadikan celah

    serangan

    ACUNETIX mampu melakukan scanning terhadap suatu web dan menunjukkan

    script yang bermasalah serta memberikan solusi terhadap celah yang

    memungkinkan terjadi

    ACUNETIX membutuhkan waktu 11 menit 4 detik untuk dapat menscan layanan

    @wifi.id tanpa login menggunakan akun Speedy

    ACUNETIX membutuhkan koneksi yang stabil dan cepat karena apabila koneksi

    internet terputus maka akan mempengaruhi kinerja scan

    6.2. Saran

    Dalam 1 kantor sebaiknya jumlah peserta Kerja Praktek nya tidak lebih dari 5

    orang.

    Adanya feedback. Misalkan pembimbing memberikan ilmu, sedangkan Pesrta

    memberikan tenaga.

    Membangun sebuah program dan rencana kerja yang jelas agar pekerjaan yang

    dilakukan lebih terarah.

    Menyediakan fasilitas riset yang memadai agar riset berjalan dengan baik tanpa

    ada kendala.

  • Laporan Kerja Praktek 2013 | 34

    DAFTAR PUSTAKA

    [1] Acunetix Web Vulnerability Scanner

    http://blog.fathihadi.net/acunetix-web-vulnerability-scanner/ diakses 10 September

    2013

    [2] Acunetix Web Application Security

    http://www.acunetix.com/ diakses 10 September 2013

    [3] IBM Security Appscan Static and Dynamic Security Testing

    http://www-03.ibm.com/software/products/en/appscan diakses 10 September 2013

    [4] Web Security Features

    http://www.websense.com/content/web-security-features.aspx diakses 12 September

    2013

    [5] Wikipedia Vulnerability (Computing)

    http://en.wikipedia.org/wiki/Vulnerability_(computing) diakses 13 September 2013

    [6] Owasp Vulnerability Scanning Tools

    https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools diakses 13

    September 2013

    [7] Webscurify Vulnerabilities

    http://www.websecurify.com/overview/vulnerabilities.html diakses 13 September 2013