Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira
{"title":"Analisis Celah Keamanan dan Mitigasi Website E-learning Itera Menggunakan Owasp Zed Attack Proxy","authors":"Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira","doi":"10.20884/1.dr.2023.19.1.533","DOIUrl":null,"url":null,"abstract":"Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.","PeriodicalId":31510,"journal":{"name":"Dinamika Rekayasa","volume":"34 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2023-03-24","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Dinamika Rekayasa","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.20884/1.dr.2023.19.1.533","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
引用次数: 0
Abstract
Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.