Implementasi Penetration Testing Pada Sistem Informasi Terpadu Layanan Prodi Menggunakan Framework Issaf

Authors

  • Anisa Sholawati Universitas Mulawarman
  • Hario Jati Setyadi Universitas Mulawarman
  • Amin Padmo Azam Masa Universitas Mulawarman

DOI:

https://doi.org/10.30595/techno.v25i2.21140

Keywords:

Penetration Testing, Website SIPLO, Sistem Keamanan, Framework ISSAF, OWASP Top 10

Abstract

Keamanan sistem informasi menjadi aspek kritis dalam lingkungan teknologi informasi yang terus berkembang. Penetration testing adalah salah satu metode yang efektif untuk mengidentifikasi dan menguji keamanan dalam sebuah simulasi serangan terhadap suatu sistem atau jaringan guna menemukan celah keamanan yang disebabkan oleh keamanan dari suatu sistem, konfigurasi yang tidak benar atau kelemahan operasional dalam proses teknik. Penelitian ini melakukan identifikasi kerentanan pada website SIPLO dengan metode penetration testing menggunakan framework ISSAF (Information System Securiry Assesment Framework) untuk mengukur keamanan sistem. Penetration testing dilakukan dengan menggunakan tiga jenis serangan teratas dari OWASP Top 10 yaitu, XSS, Brute-force attack, SQL injection, dan DDoS attack. Hasil identifikasi kerentanan pada website SIPLO menunjukkan bahwa terdapat 23 kerentanan pada SIPLO dengan dua kerentanan memiliki level tinggi, empat kerentanan memiliki level sedang, sebelas kerentanan memiliki level rendah, enam kerentanan memiliki level informational. Walaupun dengan kerentanan-kerentanan tersebut website SIPLO masih terlindungi dari serangan XSS dan SQL injection. Serangan brute-force attack hanya berhasil teridentifikasi satu username dan satu password. Sedangkan serangan DDoS tidak memiliki pengaruh yang signifikan terhadap SIPLO namun tercatat adanya perbedaan sebanyak 217,221 millisecond saat dilakukannya serangan DDoS tersebut.

References

E. Susanto, Lady Antira, K. Kevin, E. Stanzah, and A. A. Majid, “Manajemen Keamanan Cyber di Era Digital,” J. Bus. Entrep., vol. 11, no. 1, pp. 23–33, 2023.

A. Kholiq and D. Khoirunnisa, “Analisis Keamanan Wireless Local Area Network (WLAN) Dengan Metode Penetration Testing Execution Standard (PTES)(Studi Kasus: PT. Win Prima Logistik),” J. Ilm. Fak. Tek. LIMIT’S Vol, vol. 15, no. 1, 2019.

S. Sahren, R. A. Dalimuthe, and M. Amin, “Penetration Testing Untuk Deteksi Vulnerability Sistem Informasi Kampus,” in Prosiding Seminar Nasional Riset Information Science (SENARIS), 2019, vol. 1, pp. 994–1001.

M. Huda, Keamanan Informasi. Nulisbuku, 2020.

S. Andriyani, M. F. Sidiq, and B. P. Zen, “Analisis Celah Keamanan Pada Website Dengan Menggunakan Metode Penetration Testing Dan Framework Issaf Pada Website SMK Al-Kautsar,” LEDGER J. Inform. Inf. Technol., vol. 2, no. 1, pp. 1–13, 2023.

Y. Yudiana, A. Elanda, and R. L. Buana, “Analisis Kualitas Keamanan Sistem Informasi E-Office Berbasis Website Pada STMIK Rosma Dengan Menggunakan OWASP Top 10,” CESS (Journal Comput. Eng. Syst. Sci., vol. 6, no. 2, pp. 185–191, 2021.

A. Rahman and L. Williams, “A bird’s eye view of knowledge needs related to penetration testing,” in Proceedings of the 6th Annual Symposium on Hot Topics in the Science of Security, 2019, pp. 1–2.

I. O. Riandhanu, “Analisis Metode Open Web Application Security Project (OWASP) Menggunakan Penetration Testing pada Keamanan Website Absensi,” J. Inf. dan Teknol., pp. 160–165, 2022.

A. Dharmawan, “Penetration Testing Menggunakan Owasp Top 10 Pada Domain Xyz. Ac. Id,” Electro Luceat, vol. 8, no. 1, pp. 100–108, 2022.

A. Jakobsson and I. Häggström, “Study of the techniques used by OWASP ZAP for analysis of vulnerabilities in web applications.” 2022.

R. V. Aditama and E. S. Negara, “Pemindai Kerentanan Terhadap Website Jago Masak Dengan Metode Pengujian Penetrasi OWASP ZAP,” J. Mantik, vol. 6, no. 3, pp. 3406–3412, 2022.

I. Sanjaya, G. M. A. Sasmita, and D. M. S. Arsa, “Information technology risk management using ISO 31000 based on issaf framework penetration testing (Case study: Election commission of x city),” Int. J. Comput. Netw. Inf. Secur., vol. 12, no. 4, pp. 30–40, 2020.

I. Sanjaya, G. M. A. Sasmita, and D. M. S. Arsa, “Evaluasi Keamanan Website Lembaga X Melalui Penetration Testing Menggunakan Framework ISSAF,” J. Ilm. Merpati, vol. 8, no. 2, pp. 113–124, 2020.

E. P. Silmina and R. A. A. Amanda, “Analisis Keamanan Jaringan Sistem Informasi Sekolah Menggunakan Penetration Test dan ISSAF,” J. Transm., vol. 24, no. 3, pp. 83–91.

R. Maland, “Sudomy: Semi-automated Information Gathering Tools for Subdomain Enumeration and Analysis.”

R. Umar, I. Riadi, and M. I. A. Elfatiha, “Analisis Keamanan Sistem Informasi Akademik Berbasis Web Menggunakan Framework ISSAF,” Jutisi J. Ilm. Tek. Inform. dan Sist. Inf., vol. 12, no. 1, 2023.

P. Chaudhary, B. B. Gupta, and A. K. Singh, “Securing heterogeneous embedded devices against XSS attack in intelligent IoT system,” Comput. Secur., vol. 118, p. 102710, 2022.

S. Suroto and A. Asman, “Ancaman Terhadap Keamanan Informasi Oleh Serangan Cross-Site Scripting (Xss) Dan Metode Pencegahannya,” Zo. Komput. Progr. Stud. Sist. Inf. Univ. Batam, vol. 11, no. 1, pp. 11–19, 2021.

S. Zhang, X. Xie, and Y. Xu, “A brute-force black-box method to attack machine learning-based systems in cybersecurity,” IEEE Access, vol. 8, pp. 128250–128263, 2020.

A. Zirwan, “Pengujian dan Analisis Keamanan Website Menggunakan Acunetix Vulnerability Scanner,” J. Inf. dan Teknol., pp. 70–75, 2022.

B. Wiguna, W. A. Prabowo, and R. Ananda, “Implementasi Web Application Firewall Dalam Mencegah Serangan SQL Injection Pada Website,” Digit. Zo. J. Teknol. Inf. dan Komun., vol. 11, no. 2, pp. 245–256, 2020.

A. Bastian, H. Sujadi, and L. Abror, “Analisis Keamanan Aplikasi Data Pokok Pendidikan (Dapodik) Menggunakan Penetration Testing dan SQL Injection. Infotech Journal, 6 (2), 65–70.” 2020.

M. Arman and N. Rachmat, “Implementasi Sistem Keamanan Web Server Menggunakan Pfsense,” Jusikom J. Sist. Komput. Musirawas, vol. 5, no. 1, pp. 13–23, 2020.

A. W. Wardhana and H. B. Seta, “Analisis Keamanan Sistem Pembelajaran Online Menggunakan Metode ISSAF pada Website Universitas XYZ,” Inform. J. Ilmu Komput., vol. 17, no. 3, pp. 226–237, 2021.

Downloads

Published

2024-10-31

Issue

Vol. 25 No. 2 (2024): Techno Volume 25 NO.2 Oktober 2024

Section

Artikel Techno

License

Authors who publish with this journal agree to the following terms:

Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.

Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.

Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).

 

Creative Commons License
Techno (Jurnal Fakultas Teknik, Universitas Muhammadiyah Purwokerto) is licensed under a Creative Commons Attribution 4.0 International License.