analisis risiko keamanan aplikasi trinity pt multi ...repository.bakrie.ac.id/867/7/00....
TRANSCRIPT
ANALISIS RISIKO KEAMANAN APLIKASI TRINITY
PT MULTI ADIPRAKARSA MANUNGGAL (KARTUKU)
TUGAS AKHIR
FADILLAH INDRA
1132001015
PROGRAM STUDI INFORMATIKA
FAKULTAS TEKNIK DAN ILMU KOMPUTER
UNIVERSITAS BAKRIE
JAKARTA
2017
Universitas Bakrie
ii
ANALISIS RISIKO KEMANAN APLIKASI TRINITY
PT MULTI ADIPRAKARSA MANUNGGAL (KARTUKU)
TUGAS AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh gelar
Sarjana Komputer
FADILLAH INDRA
1132001015
PROGRAM STUDI INFORMATIKA
FAKULTAS TEKNIK DAN ILMU KOMPUTER
UNIVERSITAS BAKRIE
JAKARTA
2017
Universitas Bakrie
iii
HALAMAN PERNYATAAN ORISINALITAS
Tugas akhir ini adalah hasil karya saya sendiri,
dan semua sumber baik yang dikutip maupun yang dirujuk
telah saya nyatakan dengan benar.
Nama : Fadillah Indra
Nim : 1132001015
Tanda Tangan :
Tanggal : 18 Agustus 2017
Universitas Bakrie
iv
HALAMAN PENGESAHAN
Tugas akhir ini diajukan oleh:
Nama : Fadillah Indra
Nim : 1132001015
Program Studi : Informatika
Fakultas : Teknik dan Ilmu Komputer
Judul Skripsi : Analisis Risiko Keamana Aplikasi Trinity
PT Multi Adiprakarsa Manunggal (Kartuku)
Telah berhasil dipertahankan dihadapan Dewan Penguji dan diterima sebagai
bagian persyaratan yang diperlukan untuk memperoleh gelar Sarjana
Komputer pada Programa Studi Informatika Fakultas Teknik dan Ilmu
Komputer, Universitas Bakrie.
DEWAN PENGUJI
Pembimbing : Berkah I. Santoso S.T, M.T.I (.…….….……….)
Penguji 1 : Prof. Dr. Hoga Saragih, S.T, M.T (.………..……….)
Penguji 2 : Guson Prasamuarso Kuntarto, S.T, M.Sc (.……….….…….)
Ditetapkan di : Jakarta
Tanggal : 10 Agustus 2017
Universitas Bakrie
v
KATA PENGANTAR
Puji dan syukur penulis panjatkan ke hadirat Allah SWT, karena atas izin-Nya
lah tugas akhir ini dapat diselesaikan tepat pada waktunya. Tugas akhir ini berjudul
“Analisis Risiko Keamanan Aplikasi Trinity PT Multi Adiprakarsa Manunggal
(Kartuku)”.
Terselesaikannya tugas akhir ini tidak luput dari bantuan serta partisipasi
berbagai pihak, dengan segala kerendahan hati, penulis menyampaikan terima kasih
atas bimbingan dan bantuan dalam proses penyelesaian skripsi ini keapada:
1. Bapak Berkah I. Santoso, S.T, M.T.I selaku Dosen pembimbing tugas akhir
penulis.
2. Bapak Setiawan Adhiputro yang telah memberikan kesempatan kepada
penulis untuk melakukan penelitian di Kartuku.
3. Bapak Ivan Santoso selaku atasan pada perusahaan tempat penulis
mengambil tugas akhir dan memberikan bantuan selama melakukan
penelitian.
4. Seluruh karyawan PT Multi Adiprakarsa Manunggal (Kartuku) yang telah
memberikan bantuan dan mendukung penulis selama melakukan penelitian
ini.
5. Eryk Budi Pratama yang telah memberikan semangat, dukungan, bantuan,
dan perhatian selama dua tahun ini.
6. Almushfi Syahputra, Rahmi Indra Putri, Rais Rijal, Fitri Indriana, Afifah
Istiqomah, Rafhan Haqalmi Mushfi, Hasan Haqalmi Mushfi, dan Sofia
Azkadina Raisa, kakak-kakak dan keponakan yang telah memberikan
semangat dan dukungan selama penulis melakukan penelitian.
7. Teman-teman mahasiswa Universitas Bakrie, khususnya mahasiswa
Informatika angkatan 2013, Rizky, Ridho, Millah, Febbie, Fitri, Salsa,
Amel, Bagus, Lily, Khalish, Iman, Fildzah, Jimmy, Salim, Arif, dan Yusuf.
Ucapan terima kasih yang paling istimewa penulis tujukan untuk kedua orang
tua yang telah menjadi sumber semangat, motivasi, inspirasi terbesar bagi penulis.
Universitas Bakrie
vi
Semoga skripsi ini menjadi langkah awal bagi penulis untuk menjadi lebih baik dan
lebih berguna bagi agama, keluarga, nusa, dan bangsa.
Jakarta, 18 Agustus 2017
Penulis
Universitas Bakrie
vii
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI
Sebagai civitas akademik Universitas Bakrie, saya yang bertanda tangan dibawah
ini:
Nama : Fadillah Indra
Nim : 1132001015
Program Studi : Informatika
Fakultas : Teknik dan Ilmu Komputer
Jenis Tugas Akhir : Audit – Studi Kasus
Dengan pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada
Universitas Bakrie Hak Bebas Royalti Noneksklusif (Non-exclusive Royalty Free
-Right) atas karya ilmiah saya yang berjudul:
Analisis Risiko Keamana Aplikasi Trinity
PT Multi Adiprakarsa Manunggal (Kartuku)
Beserta perangkat yang ada (jika diperlukan). Dengan Hak Bebas Royalti
Noneksklusif ini Universitas Bakrie berhak menyimpan,
mengalihmedia/formatkan, mengelola dalam bentuk pangkalan data (database),
merawat, dan mempublikasikan tugas akhir saya selama tetap mencantumkan nama
saya sebagai penulis/pencipta dan sebagai pemilik Hak Cipta untuk kepentingan
akademis.
Demikian pernyataan ini saya buat dengan sebenarnya.
Dibuat di : Jakarta
Pada tanggal : 18 Agustus 2017
Yang menyatakan
(Fadillah Indra)
Universitas Bakrie
viii
ANALISIS RISIKO KEAMANAN APLIKASI TRINITY
PT MULTI ADIPRAKARSA MANUNGGAL (KARTUKU)
Fadillah Indra
ABSTRAK
Sebagai penyedia layanan pembayaran elektronik (mesin EDC), Kartuku memiliki
aplikasi berbasis web, yaitu Trinity, yang memiliki peran dalam mengelola
operasional mesin EDC. Trinity merupakan aplikasi kritikal karena menyimpan
informasi sensitif terkait mesin EDC. Kerahasiaan, integritas, dan ketersedian
data/informasi sensitif harus dapat dijaga dari segala bentuk ancaman. Penelitian
ini bertujuan untuk melakukan identifikasi celah keamanan aplikasi web Trinity
yang terdiri dari tiga aplikasi web yang saling terhubung yaitu, SOM4, TDS, dan
KIS. Pengujian keamanan dilakukan dengan metode vulnerability assessment (VA)
dan penetration testing(Pentest) secara greybox. Pengujian keamanan dilakukan
dengan mengacu pada checklist OWASP Top 10 yang merupakan best practice
dalam melakukan pengujian kemanan web. Setelah melakukan pengujian
keamanan, dilakukan analisis log terhadap server dari aplikasi Trinity untuk melihat
jejak dari serangan yang dihasilkan dari pentest. Hasil pengujian keamanan
menunjukkan bahwa aplikasi Trinity memiliki kerentanan terhadap cross site
scripting (XSS) dengan kategori risiko tinggi (CVSS base score 7.3), cross site
request forgery(CSRF) dengan kategori risiko menengah (CVSS base score 6.8),
password autocomplete dengan kategori risiko rendah (CVSS base score 3.9), dan
X-Frame(clickjacking) dengan kategori risiko rendah (CVSS base score 3.9).
Kata kunci: vulnerability assessment, penetration testing, CVSS, XSS, CSRF,
password autocomplete, X-Frame(Clickjacking).
Universitas Bakrie
ix
SECURITY RISK ANALYSIST TRINITY APPLICATION
PT MULTI ADIPRAKARSA MANUNGGAL (KARTUKU)
Fadillah Indra
ABSTRACT
As a service provider for electronic payment (EDC machine), Kartuku has
developed web based application, Trinity, which its function to manage EDC
machine operations. Trinity is categorized as scritical application because it stores
sensitive information regarding EDC machine. Confidentiality, integrity, and
availability of sensitive data/information must be preserved from any threats. The
purpose of this research is to identify the vulnerabilities in Trinity web application,
which the web application consists of three connected applications: SOM4, TDS,
and KIS. Security assessment is performed using Vulnerability Assessment and
Penetration Testing method. It is also performed using greybox method. Security
assessment performed by referring to the OWASP Top 10 which is the best practice
for web application penetration testing checklist. After performing security
assessment, server log analysis is performed against Trinity web server to find the
attack artifacts resulted from pentest activities. The result of this security
assessment shows that Trinity application has several vulnerabilities: Cross Site
Scripting (CSS) with high risk category (CVSS base score 7.3), Cross Site Request
Forgery (CSRF) with medium risk category (CVSS base score 6.8), Password
Autocomplete with low risk category (CVSS base score 3.9), and X-Frame
Scripting (Clickjacking) with low risk category (CVSS base score 3.9).
Key word: vulnerability assessment, penetration testing, CVSS, XSS, CSRF,
password autocomplete, X-Frame(Clickjacking).
Universitas Bakrie
x
DAFTAR ISI
HALAMAN PERNYATAAN ORISINALITAS ......................................................... iii
HALAMAN PENGESAHAN ...................................................................................... iv
KATA PENGANTAR .................................................................................................. v
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI .................................. vii
ABSTRAK ................................................................................................................. viii
ABSTRACT ................................................................................................................. ix
DAFTAR ISI ................................................................................................................. x
DAFTAR TABEL ...................................................................................................... xiii
DAFTAR GAMBAR ................................................................................................. xiv
DAFTAR LAMPIRAN ............................................................................................... xv
BAB I .......................................................................... Error! Bookmark not defined.
PENDAHULUAN ...................................................... Error! Bookmark not defined.
1.1 Latar Belakang.............................................. Error! Bookmark not defined.
1.2 Rumusan Masalah ........................................ Error! Bookmark not defined.
1.3 Batasan Masalah ........................................... Error! Bookmark not defined.
1.4 Tujuan Penelitian .......................................... Error! Bookmark not defined.
1.5 Manfaat Penelitian ........................................ Error! Bookmark not defined.
1.6 Sistematika Penulisan ................................... Error! Bookmark not defined.
BAB II ......................................................................... Error! Bookmark not defined.
TINJAUAN PUSTAKA ............................................. Error! Bookmark not defined.
2.1 Penelitian Terdahulu ..................................... Error! Bookmark not defined.
2.2 Unified Payment ........................................... Error! Bookmark not defined.
2.2.1 Data Flow dan Keterkaitan antar Aplikasi ........... Error! Bookmark not
defined.
2.3 Kajian Keamanan ......................................... Error! Bookmark not defined.
2.3.1 Vulnerability Assessment (VA) ............. Error! Bookmark not defined.
Universitas Bakrie
xi
2.3.2 Penetration Testing (Pentest) ................ Error! Bookmark not defined.
2.3.3 Open Web Application Secutiry Projects (OWASP) . Error! Bookmark
not defined.
2.3.4 Common Weakness Enumeration/SANS ............. Error! Bookmark not
defined.
2.3.5 Mapping CWE Terhadap OWASP ....... Error! Bookmark not defined.
2.3.6 Common Vulnerability Scoring System (CVSS) .. Error! Bookmark not
defined.
2.3.7 Analisis Log Server ............................... Error! Bookmark not defined.
2.3.8 Focus Group Discussion(FGD)/Diskusi Kelompok Terarah ......... Error!
Bookmark not defined.
BAB III ....................................................................... Error! Bookmark not defined.
METODOLOGI PENELITIAN .................................. Error! Bookmark not defined.
3.1 Jenis Penelitian .................................................. Error! Bookmark not defined.
3.2 Tahapan Penelitian ....................................... Error! Bookmark not defined.
3.3 Objek Penelitian ........................................... Error! Bookmark not defined.
3.4 Metode Pengumpulan Data .......................... Error! Bookmark not defined.
3.4.1 Wawancara ............................................ Error! Bookmark not defined.
3.4.2 Studi Literatur ....................................... Error! Bookmark not defined.
3.4.3 Walk through Aplikasi Trinity .............. Error! Bookmark not defined.
3.5 Metode Pengujian Keamanan ....................... Error! Bookmark not defined.
3.6 Analisis Log Server ...................................... Error! Bookmark not defined.
3.7 Focus Group Discussion(FGD) .................... Error! Bookmark not defined.
3.8 Alokasi Waktu Penelitian ............................. Error! Bookmark not defined.
BAB IV ....................................................................... Error! Bookmark not defined.
ANALISIS DAN PEMBAHASAN ............................ Error! Bookmark not defined.
4.1 Vulnerability Assessment .............................. Error! Bookmark not defined.
4.2 Penetration Testing ...................................... Error! Bookmark not defined.
4.2.1 Penetration Testing Hasil Vulnerability Assessment . Error! Bookmark
not defined.
Universitas Bakrie
xii
4.2.2 Penetration Testing dari Checklist OWASP Top 10 . Error! Bookmark
not defined.
4.3 Analisis Log Server ...................................... Error! Bookmark not defined.
4.4 Analisis Gap ................................................. Error! Bookmark not defined.
BAB V ......................................................................... Error! Bookmark not defined.
KESIMPULAN DAN SARAN ................................... Error! Bookmark not defined.
5.1 Kesimpulan ................................................... Error! Bookmark not defined.
5.2 Saran ............................................................. Error! Bookmark not defined.
DAFTAR PUSTAKA ................................................. Error! Bookmark not defined.
LAMPIRAN-LAMPIRAN .......................................... Error! Bookmark not defined.
Universitas Bakrie
xiii
DAFTAR TABEL
Tabel 2. 1 Rangkuman Penelitian Terdahulu .............. Error! Bookmark not defined.
Tabel 2. 2 Daftar OWASP Top 10 .............................. Error! Bookmark not defined.
Tabel 2. 3 Daftar CWE/SANS Top 25 ........................ Error! Bookmark not defined.
Tabel 2. 4 Mapping CWE Terhadap OWASP ............ Error! Bookmark not defined.
Tabel 2. 5 Exploitability Metrics – Attack Vector ...... Error! Bookmark not defined.
Tabel 2. 6 Exploitability Metrics – Attack Complexity ............. Error! Bookmark not
defined.
Tabel 2. 7 Exploitability Metrics – Privileged Required ........... Error! Bookmark not
defined.
Tabel 2. 8 Exploitability Metrics – User Interaction ... Error! Bookmark not defined.
Tabel 2. 9 Scope .......................................................... Error! Bookmark not defined.
Tabel 2. 10 Impact Metrics – Confidentiality Impact . Error! Bookmark not defined.
Tabel 2. 11 Impact Metrics – Integrity Impact ........... Error! Bookmark not defined.
Tabel 2. 12 Impact Metrics – Availability Impact ...... Error! Bookmark not defined.
Tabel 2. 13 Numerical value dari base score metric ... Error! Bookmark not defined.
Tabel 3. 1 Kerangka Pemikiran Penelitian .................. Error! Bookmark not defined.
Tabel 3. 2 Metode Pengujian ...................................... Error! Bookmark not defined.
Tabel 3. 3 Alokasi Waktu Penelitian .......................... Error! Bookmark not defined.
Tabel 4. 1 Hasil Temuan dari Vulnerability Scanner .. Error! Bookmark not defined.
Tabel 4. 2 Base Scrore Metrics - XSS ........................ Error! Bookmark not defined.
Tabel 4. 3 Base Scrore Metrics - CSRF ...................... Error! Bookmark not defined.
Tabel 4. 4 Base Scrore Metrics – Password Autocomplete ....... Error! Bookmark not
defined.
Tabel 4. 5 Base Scrore Metrics – X-Frame (Clickjacking) ....... Error! Bookmark not
defined.
Tabel 4. 6 Daftar dan hasil pengujian keamanan dari checklist OWASP Top 10Error!
Bookmark not defined.
Tabel 4. 7 Hasil pencarian bukti dari sisi web server pada file access.log .......... Error!
Bookmark not defined.
Tabel 4. 8 Perbandingan CVSS score dan batasan maksimal nilai risiko ............ Error!
Bookmark not defined.
Tabel 4. 9 Perbandingan komponen CVSS base score terhadap temuan pentest Error!
Bookmark not defined.
Universitas Bakrie
xiv
DAFTAR GAMBAR
Gambar 2. 1 Keterkaitan antar Aplikasi [12] .............. Error! Bookmark not defined.
Gambar 3. 1 Tahapan Penelitian ................................. Error! Bookmark not defined.
Gambar 4. 1 Penambahan script XSS ........................ Error! Bookmark not defined.
Gambar 4. 2 URL yang sudah disisipi script alert berhasil dieksekusi ................ Error!
Bookmark not defined.
Gambar 4. 3 Salah satu target CSRF ........................... Error! Bookmark not defined.
Gambar 4. 4 Request CSRF dari tools ........................ Error! Bookmark not defined.
Gambar 4. 5 Penambahan nilai pada parameter roleName dan roleDesc ............ Error!
Bookmark not defined.
Gambar 4. 6 script HTML pengujian CSRF ............... Error! Bookmark not defined.
Gambar 4. 7 Melakukan akses terhadap script CSRF . Error! Bookmark not defined.
Gambar 4. 8 Script CSRF berhasil dieksekusi ............ Error! Bookmark not defined.
Gambar 4. 9 Pengecekan perintah password autocomplete ...... Error! Bookmark not
defined.
Gambar 4. 10 Pengujian password autocomplete berhasil dieksekusi ................. Error!
Bookmark not defined.
Gambar 4. 11 Request pengujian dari tools ................ Error! Bookmark not defined.
Gambar 4. 12 Script HTML pengujian X-Frame(Clickjacking) Error! Bookmark not
defined.
Gambar 4. 13 Pengujian clickjacking berhasil dieksekusi ......... Error! Bookmark not
defined.
Universitas Bakrie
xv
DAFTAR LAMPIRAN
Lampiran 1: Transkrip Hasil Wawancara
Lampiran 2: Hasil perhitungan calculator CVSS Score
Lampiran 3: URL yang Terdampak (Memiliki Vulnerability)
Lampiran 4: Hasil FGD