Penetration Testing Web XYZ Berdasarkan OWASP Risk Rating
DOI:
https://doi.org/10.34148/teknika.v12i1.571Keywords:
OWASP Top 10, Penilaian Kerentanan, Uji Penetrasi, Web-app, WSTGAbstract
Website ”XYZ” merupakan aplikasi yang mempunyai fungsi dalam layanan pembuatan dokumen kependudukan, layanan pendaftaran akses masuk, dan fitur login. Penilaian kerawanan secara berkala diperlukan untuk menjamin kehandalan dari aplikasi. Penilaian kerawanan dengan menggunakan tool uji saja sekarang tidak dirasa cukup sehingga memerlukan validasi. Salah satu validasi tersebut adalah menggunakan penetration testing. Uji penetrasi pada Website XYZ Kabupaten XYZ dilaksanakan dengan mengacu kepada Open Web Application Security Project (OWASP) Top 10-2021. Penetration testing dilaksanakan dengan metode black box untuk mendapatkan hasil pengukuran tingkat kerentanan pada aplikasi. Keseluruhan penilaian kerentanan dilakukan dalam empat tahap yaitu planning, information gathering, vulnerability scanning menggunakan 2 tools otomatis yaitu Vega dan OWASP ZAP sebagai upaya untuk mendapatkan cakupan yang lebih luas terkait kerentanan yang ditemukan dikuti dengan validasi dilanjutkan tahap analysis and reporting. Hasil tahap vulnerability scanning menghasilkan 9 jenis kerentanan dengan sebaran 2 high, 1 medium, dan 6 low. Pengujian penetrasi untuk validasi mengacu pada dokumen panduan Web Security Testing Guide (WSTG) versi 4.2. Hasil proses akhir berupa rekomendasi dapat digunakan sebagai referensi pengembang aplikasi web untuk menangani kerentanan khususnya hilangnya ketersediaan layanan dan kebocoran data.
Downloads
References
BSSN RI, “Laporan Tahunan Honeynet Project Tahun 2019,” 2019.
APJII, “Hasil Survey Tahun 2018.” 2018. [Online]. Available: http://www.apjii.or.id/
D. KARAWANG, “Gambaran Umum.” http://dukcapil.karawangkab.go.id/gambaran-umum (accessed Apr. 09, 2021).
S. Juhani, “Mengembangkan Teologi Siber Di Indonesia,” J. Ledalero, vol. 18, no. 2, p. 245, 2019, doi: 10.31385/jl.v18i2.189.245-266.
I. Rahmawati, P. M. Pertahanan, and U. P. Indonesia, “The analysis of cyber crime threat risk management to increase cyber defense analisis manajemen risiko ancaman kejahatan siber (cyber crime) dalam peningkatan cyber defense,” pp. 55—70.
PUSOPSKAMSINAS, “Indonesia Cyber Security Monitoring Report 2019,” Indones. Secur. Incid. Response Team Internet Infrastruct., p. 42, 2020, [Online]. Available: https://cloud.bssn.go.id/s/nM3mDzCkgycRx4S/download
BSSN, “Laporan Tahunan Gov-CSIRT,” Jakarta, 2019.
V. Appiah, M. Asante, I. K. Nti, and O. Nyarko-Boateng, “Survey of Websites and web application security threats using vulnerability assessment,” J. Comput. Sci., vol. 15, no. 10, pp. 1341—1354, 2019, doi: 10.3844/jcssp.2019.1341.1354.
D. F. Priambodo, M. Hasbi, and M. S. Malacca, “Security Assessment Aplikasi Mobile E-Kinerja dengan Acuan OWASP Top 10 Mobile Risks,” JEPIN (Jurnal Edukasi dan Penelit. Inform., vol. 8, no. 3, pp. 560—571, 2022.
D. F. Priambodo, G. S. Ajie, H. A. Rahman, A. C. F. Nugraha, A. Rachmawati, and M. R. Avianti, “Mobile Health Application Security Assesment Based on OWASP Top 10 Mobile Vulnerabilities,” in 2022 International Conference on Information Technology Systems and Innovation (ICITSI), 2022, pp. 25—29. doi: 10.1109/ICITSI56531.2022.9970949.
E-DUKCAPIL KARAWANG, “Layanan.” https://edukcapil.karawangkab.go.id/ (accessed Apr. 09, 2021).
B. V. Tarigan, A. Kusyanti, and W. Yahya, “Analisis Perbandingan Penetration testing Tool Untuk Aplikasi Web,” J. Pengemb. Teknol. Inf. dan Ilmu Komput., vol. 1, no. 3, pp. 206—214, 2017.
V. Appiah, I. Kofi Nti, and O. Nyarko-Boateng, “Investigating Websites and Web Application Vulnerabilities: Webmaster’s Perspective,” Int. J. Appl. Inf. Syst., vol. 12, no. 3, pp. 10—15, 2017, doi: 10.5120/ijais2017451673.
ISACA, “ISACA WP Vulnerability Assessment 1117,” 2017. [Online]. Available: https://cybersecurity.isaca.org/
R. M. Eli Saad, “OWASP Web Security Testing Guide v4-2,” 2020.
J. William, “OWASP Risk Rating Methodology,” 2021. https://owasp.org/wwwcommunity/OWASP_Risk_Rating_Methodology (accessed Apr. 21, 2021).
A. Goutam and V. K. Tiwari, “Vulnerability Assessment and Penetration testing to Enhance the Security of Web Application,” 2019 4th Int. Conf. Inf. Syst. Comput. Networks, pp. 601—605, 2019.
S. Nagpure and S. Kurkure, “Vulnerability Assessment and Penetration testing of Web Application,” 2017 Int. Conf. Comput. Commun. Control Autom. ICCUBEA 2017, pp. 1—6, 2018, doi: 10.1109/ICCUBEA.2017.8463920.
A. A. Ali and M. Zamri Murah, “Security Assessment of Libyan Government Websites,” Proc. 2018 Cyber Resil. Conf. CRC 2018, pp. 1—4, 2019, doi: 10.1109/CR.2018.8626862.
L. T. M. Blessing and A. Chakrabarti, DRM, a Design Research Methodology. London: Springer London, 2009. doi: 10.1007/978-1-84882-587-1.
T. Jain and N. Jain, “‘Framework for Web Application Vulnerability Discovery and Mitigation by Customizing Rules Through ModSecurity,’” 2019 6th Int. Conf. Signal Process. Integr. Networks, SPIN 2019, pp. 643— 648, 2019.
“CVE-2019-8331 : In Bootstrap before 3.4.1 and 4.3.x before 4.3.1, XSS is possible in the tooltip or popover data-template attribute.” https://www.cvedetails.com/cve/CVE-2019-8331/ (accessed Nov. 07, 2022).
A. Lavrenovs and F. J. R. Melón, “HTTP security headers analysis of top one million Websites,” in 2018 10th International Conference on Cyber Conflict (CyCon), 2018, pp. 345—370. doi: 10.23919/CYCON.2018.8405025.
developer mozilla, “SameSite cookies,” 2021. https://developer.mozilla.org/enUS/docs/Web/HTTP/Headers/Set-Cookie/SameSite (accessed Apr. 21, 2021).
“OWASP ZAP — Export Report.” https://www.zaproxy.org/docs/desktop/addons/export-report/ (accessed Nov. 07, 2022).