使用 Owasp Zed 攻击代理对 Itera 电子学习网站的安全漏洞进行分析和缓解

Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira
{"title":"使用 Owasp Zed 攻击代理对 Itera 电子学习网站的安全漏洞进行分析和缓解","authors":"Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira","doi":"10.20884/1.dr.2023.19.1.533","DOIUrl":null,"url":null,"abstract":"Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.","PeriodicalId":31510,"journal":{"name":"Dinamika Rekayasa","volume":"34 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2023-03-24","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Analisis Celah Keamanan dan Mitigasi Website E-learning Itera Menggunakan Owasp Zed Attack Proxy\",\"authors\":\"Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira\",\"doi\":\"10.20884/1.dr.2023.19.1.533\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.\",\"PeriodicalId\":31510,\"journal\":{\"name\":\"Dinamika Rekayasa\",\"volume\":\"34 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2023-03-24\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Dinamika Rekayasa\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.20884/1.dr.2023.19.1.533\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Dinamika Rekayasa","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.20884/1.dr.2023.19.1.533","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
引用次数: 0

摘要

ITERA 电子学习网站是一个容纳讲师和学生之间教学过程的系统。考虑到 ITERA 在线学习网站上与成绩或授课材料有关的数据量,该系统的信息安全非常重要。ITERA 在线学习系统本身已设置了默认密码。此外,还为每个用户设置了准确的凭据,即 ITERA 电子邮件。本实验旨在利用 OWASP ZAP 工具的反向暴力攻击确定安全漏洞。确定了 9 种攻击,即跨域 JavaScript 源文件包含、不完整或无 Cache-control 标头设置、Cookie 无 SameSite 属性、时间戳泄露 - Unix、无 Anti-CSRF 标记、X-Content-Type-Options 标头缺失、Cookie 无 HttpOnly 标记、SQL 注入、.htaccess 信息泄露、无 Anti-CSRF 标记、Cookie 无 HttpOnly 标记。测试结果证明,ITERA 电子学习网站在使用 OWASP ZAP 扫描后,成功受到反向暴力攻击方法的攻击,并证明有 3 个 URI 存在 SQL 注入攻击的高风险漏洞。针对这一风险的缓解措施是使用 sql 查询和数据库输入过滤器。高风险漏洞需要尽快解决,因为它们对系统有非常大的风险。中度风险漏洞也需要尽快处理,因为它们会导致用户访问各种不应可见的数据。同样,低风险漏洞也需要处理,因为它们会引发其他更大的安全漏洞,例如,缺少反 CSRF 令牌会引发暴力攻击。
本文章由计算机程序翻译,如有差异,请以英文原文为准。
查看原文
分享 分享
微信好友 朋友圈 QQ好友 复制链接
本刊更多论文
Analisis Celah Keamanan dan Mitigasi Website E-learning Itera Menggunakan Owasp Zed Attack Proxy
Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.
求助全文
通过发布文献求助,成功后即可免费获取论文全文。 去求助
来源期刊
自引率
0.00%
发文量
11
审稿时长
24 weeks
期刊最新文献
UJI BEBAN DINAMIK DAN ANALISIS MODAL OPERASIONAL JEMBATAN BAJA KOMPOSIT UNDERPASS BEKAMBIT PERBANDINGAN DATA GEOLISTRIK DAN DATA SONDIR DALAM IDENTIFIKASI LAPISAN BAWAH PERMUKAAN DI KOTA PONTIANAK PERANAN BIM DALAM KONSTRUKSI PERUMAHAN PENDEKATAN ALGORITMA YOLO V5 UNTUK MENDETEKSI CACAT PRODUK MASKER IMPLEMENTASI INDEX MYSQL DAN SERVER-SIDE DATATABLES UNTUK OPTIMALISASI PEMROSESAN DATA SISTEM MBKM FIK BERBASIS CODEIGNITER 4
×
引用
GB/T 7714-2015
复制
MLA
复制
APA
复制
导出至
BibTeX EndNote RefMan NoteFirst NoteExpress
×
×
提示
您的信息不完整,为了账户安全,请先补充。
现在去补充
×
提示
您因"违规操作"
具体请查看互助需知
我知道了
×
提示
现在去查看 取消
×
提示
确定
0
微信
客服QQ
Book学术公众号 扫码关注我们
反馈
×
意见反馈
请填写您的意见或建议
请填写您的手机或邮箱
已复制链接
已复制链接
快去分享给好友吧!
我知道了
×
扫码分享
扫码分享
Book学术官方微信
Book学术文献互助
Book学术文献互助群
群 号:481959085
Book学术
文献互助 智能选刊 最新文献 互助须知 联系我们:info@booksci.cn
Book学术提供免费学术资源搜索服务,方便国内外学者检索中英文文献。致力于提供最便捷和优质的服务体验。
Copyright © 2023 Book学术 All rights reserved.
ghs 京公网安备 11010802042870号 京ICP备2023020795号-1