Sebagai antisipasi keamanan pada aplikasi berbasis web, misalnya pada aplikasi Open Journal Systems, perlu dilakukan penetration testing. Kegiatan penetration testing ini dilakukan dengan melakukan banyak aktifitas pengujian sistem dalam bentuk simulasi untuk mendapatkan informasi kelemahan-kelemahan suatu sistem. Setelah mendapatkan beragam informasi kelemahan sistem, langkah selanjutnya adalah memperbaiki dan menutup celah keamanan tersebut. Semua ini dilakukan agar sistem aplikasi yang kita bangun dalam kondisi aman dan kuat terhadap serangan dari luar yang memanfaatkan celah keamanan.

Apa yang kami sampaikan di sini adalah untuk diterapkan pada sistem aplikasi yang dibangun oleh masing-masing pihak, bukan untuk diterapkan atau membaca kelemahan sistem milik orang lain yang kemudian mengeksploitasi kelemahan tersebut. Perlu diingat, untuk melakuan scanning terhadap sebuah sistem, seseorang harus mendapatkan kewenangan dari pihak yang bersangkutan.

Berikut ini adalah langkah-langkah untuk mendapatkan dan mengumpulkan informasi kelemahan suatu aplikasi berbasis web dan solusi untuk menutup kelemahan-kelemahan tersebut. Inilah dia:

1.    Jalankan OWASP ZAP. Bila belum terpasang pada komputer lakukan pengunduhan pada link ini https://www.zaproxy.org/download/.

2.    Jalankan aplikasi OWASP ZAP.

3.    Pilih fitur Automated Scan.

4.    Ketik alamat pada bagian URL to attack.

5.    Biarkan opsi yang lain seperti pada gambar.

6.    Klik tombol Attack.

7.    Proses scanning akan berjalan beberapa waktu. Bisa memakan waktu beberapa jam tergantung kerumitan aplikasi web yang di-scan.

8.    Bila proses sudah selesai, laporan hasil scanning dapat dibuat secara otomatis. Klik pada menu Report > Generate Report.

9.    Berikut tampilan laporan hasil scanning dalam format dokumen PDF.

10. Untuk memahami laporan hasil scanning dari ZAP, yang paling utama perhatikan pada bagian Summary of Alerts. Ada beberapa kategori yaitu high, medium, low, dan informational. Masing-masingnya disertakan jumlah alerts yang berhasil di-scan. Misalnya pada kategori medium ada 4 kelompok alerts.

11. Kelompok alerts tersebut dirinci pada bagian berikutnya, perhatikan pada bagian Alerts di bawahnya. Dari kelompok alerts yang berjenis medium, ada 4 kelompok alerts, salah satunya adalah Vulnerable JS Library, ada 6 kasus yang terbaca.

12. Misalnya diklik pada alerts Vulnerable JS Library. Akan tampil pada bagian Vulnerable JS Library dengan 6 kasus yang terbaca.

13. Untuk mengatasi kasus ini, dijelaskan pada bagian akhir solusi yang harus dilakukan. Perhatikan pada bagian Solution

14. Solusi dari kasus Vulnerable JS Library adalah dengan melakukan update pada versi jquery yang terakhir.

15. Demikian pula pada alerts yang lain hasil dari scanning OWASP ZAP, memiliki rekomendasi solusi yang berbeda beda. Perhatikan pula pada referensi yang disertakan.

 

----

Ditulis oleh Happy Chandraleka, S.T.

Pranata Komputer di Badan Kebijakan Pembangunan Kesehatan

Kementerian Kesehatan RI

Hari Jum’at, 19 April 2024

    Untuk memberikan komentar dan share pada pengetahuan ini, silahkan masuk disini!