PROPOSAL SEMINAR PROYEK AKHIR

PENGGUNAAN REGULAR EXPRESION UNTUK MENCEGAH SQL INJECTION DAN PENGGUNAAN SMS GATEWAY SEBAGAI SALAH SATU LAYANAN DALAM ECOMMERCE (STUDI KASUS HAIRANI ARTDRESS)

Penyusun, Abdul Aziz,

30208122

Pembimbing, Fariska Zakhralativa Ruskanda Setia Juli Irzal Ismail

10780643-3

PROGRAM STUDI TEKNIK KOMPUTER POLITEKNIK TELKOM BANDUNG, 2011

PENGGUNAAN REGULAR EXPRESION UNTUK MENCEGAH SQL INJECTION DAN PENGGUNAAN SMS GATEWAY SEBAGAI SALAH SATU LAYANAN DALAM ECOMMERCE (STUDI KASUS HAIRANI ARTDRESS)Penulis, Abdul Aziz 30208122

Pembimbing I, Farizka Zakhralativa Ruskanda

Pembimbing II, Setia Juli Irzal Ismail 10780643-3

Penguji I, Henry Rossi Andrian 09820562-1

Penguji II, Kurniawan Nur Ramadhani

Tanggal Pengesahan: 21 Juli 2011

DAFTAR ISIDAFTAR ISI ................................ ................................ ................................ ................................ ........................ iii DAFTAR GAMBAR DAN TABEL................................ ................................ ................................ ............................ iv 1 PENDAHULUAN................................ ................................ ................................ ................................ .........1

1.1 Latar Belakang ................................ ................................ ................................ ................................ ..............1 1.2 Rumusan Masalah................................ ................................ ................................ ................................ .........2 1.3 Tujuan ................................ ................................ ................................ ................................ .......................... 3 1.4 Batasan Masalah................................ ................................ ................................ ................................ ...........3 1.5 Metodologi Penelitian................................ ................................ ................................ ................................ 4 ... 1.6 Jadwal Pengerjaan ................................ ................................ ................................ ................................ ........5 2 TINJAUAN PUSTAKA................................ ................................ ................................ ................................ 6 ..

2.1 E-Commerce ................................ ................................ ................................ ................................ ................. 6 2.1.1 2.1.2 Manfaat E-Commerce ................................ ................................ ................................ 8 ....... Hambatan E-Commerce ................................ ................................ ................................ 9 ....

2.2 Short Message Service (SMS)................................ ................................ ................................ ....................... 10 2.3 SMS Gateway ................................ ................................ ................................ ................................ ..............11 2.4 AT Command ................................ ................................ ................................ ................................ ..............12 2.5 Web Security ................................ ................................ ................................ ................................ ..............13 2.5.1 2.5.2 2.5.3 2.5.4 Aspek Keamanan ................................ ................................ ................................ ............13 Faktor Timbulnya Serangan................................ ................................ ............................. 15 Jenis-Jenis Serangan ................................ ................................ ................................ 17 ....... Catatan Kejadian Terkait Keamanan................................ ................................ ................20

2.6 Regular Expresion ................................ ................................ ................................ ................................ 22 ....... 3 ANALISIS KEBUTUHAN DAN PERANCANGAN................................ ................................ ............................ 24

3.1 Analisis Perusahaan................................ ................................ ................................ ................................ 24 ..... 3.2 Kebutuhan Perangkat Keras................................ ................................ ................................ ......................... 24 3.3 Kebutuhan Perangkat Lunak ................................ ................................ ................................ ........................ 25 3.4 Perancangan Sistem ................................ ................................ ................................ ................................ 25 .... 3.4.1 3.4.2 Sistem Kerja SMS Gateway................................ ................................ .............................. 25 Sistem Kerja Regular Expresion ................................ ................................ ....................... 26

3.5 Perancangan Pengerjaan ................................ ................................ ................................ ............................. 27 4 REFERENSI ................................ ................................ ................................ ................................ ..............28

iii

DAFTAR GAMBAR DAN TABEL

Tabel 1 1 Jadwal Pengerjaan Proyek Akhir................................ ................................ ................................ ........ 5

Tabel 2 1 Manfaat E-Commerce (Putranto, Nasir dan Roosadhy 2009)................................ .............................. 8 Tabel 2 2 Hambatan E-Commerce (Putranto, Nasir dan Roosadhy 2009)................................ ........................... 9 Tabel 2 3 Contoh Pola Regex (Kurniawan 2010) ................................ ................................ .............................. 23

Tabel 3 1 Kebutuhan Perangkat Keras ................................ ................................ ................................ ............ 24 Tabel 3 2 Kebutuhan Perangkat Lunak................................ ................................ ................................ ............ 25 Tabel 3 3 Format Penulisan SMS................................ ................................ ................................ ..................... 26

Gambar 3 1 Sistem Kerja SMS Gateway................................ ................................ ................................ .......... 25 Gambar 3 3 Sistem Kerja Regex Keseluruhan................................ ................................ ................................ .. 26

iv

11.1 Latar Belakang

PENDAHULUAN

E-Commerce (Electronic Commerce)merupakan salah satu media usaha (perdagangan) yang saat ini sedang berkembang pesat. Banyaknya keuntungan dan manfaat yang didapat dari penerapan E-Commerce membuat banyak pengusaha mencoba membuat E-Commerce sebagai sarana memperluas pasar, baik dari pengusaha kelas atas maupun pengusaha perorangan. Hal ini secara tidak langsung membuka lapangan pekerjaan baru bagi seorang web programer, namun apa yang bisa dilakukan seorang web programer untuk membuat nilai tambah dari web ECommerce yang dibuatnya? Menambahkan sebuah layanan dan menjamin keamanan data mungkin bisa menjadi salah satu solusinya. SMS Gateway merupakan sesuatu yang sudah idak asing lagi di dunia IT. t Sifatnya yang fleksibel dan manfaatnya yang terus berkembang sesuai dengan penggunaanya menjadikan SMS Gateway terus digunakan untuk banyak hal. Bagi masyarakat Indonesia, SMS merupakan mediakomunikasi dan informasi yang lebih memasyarakat daripada E-Mail, itulah yang membuat SMS Gateway terasa sangat membantu dalam banyak hal, tidak terkecuali dalam E-Commerce. Dalam sebuah transaksi E-Commerce yang biasa dilakukan di Indonesia, ada banyak proses pertukaran informasi antara penjual dan pembeli, seperti informasi pengiriman uang, informasi pengiriman barang, dan informasi status barang. SMS Gateway dalam hal ini bisa sangat membantu proses pertukaran informasi tersebut, misalnya dengan menggunakan sebuah format penulisan text kh usus yang dilakukan

1

pembeli sehingga bisa mendapatkan sebuah laporan langsung auto reply) ( dari penjual. SMS Gateway juga bisa digunakan sebagai sarana promosi yang dilakukan penjual, dan masih banyak lagi keuntungan yang didapat dari penerapan SMS Gateway. SQL Injection merupakan salah satu teknik dalam melakukan webhacking untuk dapat masuk pada sistem database yang berbasis SQL pada suatu web. Teknik ini memanfaatkan kelemahan dalam bahasa pemrograman scriptingpada SQL dalam mengolah suatu sistem database. Banyaknya informasi penting yang tersedia di dalam sebuah web E-

Commercememungkinkan sebuah web E-Commerce juga tak luput menjadi sasaran serangan para cracker dengan teknik ini. Lalu apa yang bisa dilakukan seorang web programer dalam mengantisipasi serangan cracker terhadap web E-Commerce miliknya?Salah satunya adalah dengan menambahkan serangkaian script regular expresion sebagai pencegahan terhadap serangan berupa SQL Injection, karena regular expresion mampu melakukan filter terhadap inputan-inputan yang diberikan sebelum mengeksekusi inputan-inputan tersebut.

1.2 Rumusan MasalahAdapun rumusan masalah yang diteliti dalam proyek akhir ini adalah sebagai berikut : a) Bagaimana membangun sebuah layanan SMS Gateway yang terintegrasi dengan web E-Commerce yang telah dibuat? b) Bagaimana menggunakan regular expresion dalam mencegah serangan berupa SQL Injection?

2

1.3 TujuanTujuan dari pembuatan proyek akhir ini adalah : a) Menerapkan layanan SMS Gateway dalam sebuah web ECommercesebagai media pertukaran informasi antara pedagang dan pembeli. b) Menerapkan regular expresion dalam sebuah web E-

Commercesebagai pencegahan terhadap serangan berupa SQL Injection.

1.4 Batasan MasalahBatasan masalah dalam proyek akhir ini meliputi : a) Pembangunan web E-Commerce menggunakanContent Management System (CMS) Opencart v.1.4.9.4. b) Tidak menjelaskan lebih dalam mengenai web E-Commerce yang digunakan. c) Pembuatan SMS Gateway menggunakan fasilitas AT Command. d) Menggunakan modem USB sebagai perangkat pengirimandalam SMS Gateway. e) Penambahan fitur SMS Gateway berada diluar modul dari web ECommerce yang dibuat, namun tetap terintegrasi dengan database web E-Commerce tersebut. f) Pengujian dilakukan pada localhost.

3

1.5 Metodologi PenelitianMetodologi yang digunakan dalam menyelesaikan masalah pada pembuatan proyek akhir ini antara lain : a) Studi literatur Dilakukan studi literatur dengan mempelajari mengenai konsep dan teori pendukung yang berkaitan dengan proyek akhir ini. Proses pembelajaran materi penelitian melalui pustaka -pustaka yang berkaitan dengan penelitian, baik berupa buku (fisik), E-Book (buku elektronik), maupun jurnal ilmiah. Beberapa materi yang terkait dengan proyek akhir ini seperti E-Commerce, SMS Gateway, dan SQL Injection. b) Implementasi Pada tahap ini dilakukan pembuata web E-Commerce menggunakan n CMS Opencart pada localhost dengan menggunakan XAMPP, dan mengintegrasikan fitur SMS Gateway di dalamnya menggunakan fasilitas AT Command, serta menambahkan script regular expresion pada beberapa script login pada web tersebut. c) Pengujian Melakukan pengujian kinerja terhadap SMS Gateway yang dibangun, dan uji coba keefektifan regular expresion dalam mencegah serangan SQL Injection dengan melakukan beberapa sample penyerangan SQL Injection.

4

d) Penyusunan laporan Pendokumentasian seluruh rangkaian pengerjaan proyek akhir berdasarkan data-data yang diperoleh selama pengerjaan proyek akhir dengan tata tulis karya ilmiah.

1.6 Jadwal PengerjaanAdapun jadwal kegiatan yang dilakukan dalam pembuatan proyek akhir ini adalah sebagai berikut :Tabel 1 1 Jadwal Pengerjaan Proyek Akhir

Kegiatan \ Bulan 1 Studi Literatur Implementasi Pengujian Penyusunan laporan

Mei 2 3 4 1

Juni 2 3 4 1

Juli 2 3 4 1

Agustus 2 3 4

September 1 2 3 4

5

22.1 E-Commerce

TINJAUANPUSTAKA

E-Commerce atau dalam bahasa Indonesia berarti perdagangan elektronik adalah penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik seperti internet atau televisi, www atau jaringan komputer lainya. Ada dua jenis pokok E-Commerce, yaitu : a) Business-to-Consumer (B2C) : Transaksi online yang dilakukan antara perusahaan dengan pengguna individu.b) Business-to-Business (B2B) : Perusahaan membuat suatu transaksi

online dengan perusahaan lain.(Putranto, Nasir dan Roosadhy 2009) E-Commerce dapat diklasifikasikan berdasarkan transaksi dan interaksinya, yaitu : a) Business-to-Consumer (B2C) : Transaksi onlinedilakukan antara perusahaan dengan pengguna individu. b) Business-to-Business (B2B) : Perusahaan membuat transaksi online dengan perusahaan lain. c) Business-to-Business-to-Consumer (B2B2C) : Model E-Commerce dimana perusahaan menyediakan barang atau jasa kepada client bisnis untuk mempertahankan pelanggan.

6

d) Consumer-to-Business (C2B) : Model E-Commerce dimana seorang menggunakan internet untuk menjual barang atau jasa kepada organisasi (perusahaan). e) Consumer-to-Consumer (C2C) : Model E-Commerce dimana pengguna menjual secara langsung kepada pengguna lainya. f) Mobile Commerce (M-Commerce) : Transaksi dan kegiatan ECommerce yang dilakukan pada lingkungan nirkabel. g) Location-Based Commerce (L-Commerce) : Transaksi M-Commerce yang ditargetkan pada pengguna individu pada lokasi dan waktu yang spesifik. h) Intrabusiness EC : Kategori E-Commerce yang mencakup semua aktifitas internal perusahaan termasuk pert ukaran barang, jasa, atau informasi antara unit dan individu dalam perusahaan. i) Business-to-Employee (B2E) : Model E-Commerce dimana perusahaan mengirimkan barang, jasa, atau informasi kepada karyawa nnya. j) Collaborative Commerce (C-Commerce) : Model E-Commerce dimana individu atau kelompok dapat berkomunikasi secaraonline. k) E-Learning : Pengiriman informasi secara online untuk pelatihan dan pendidikan. l) E-Government : Model E-Commerce dimana pemerintah membeli atau menyediakan barang, jasa, atau informasi kepa perusahaan da atau warga negara individu.(Putranto, Nasir dan Roosadhy 2009)

7

2.1.1 Manfaat E-CommerceBeberapa manfaat yang dapat dirasakan dengan adanyaE-Commerce dapat dikategorikan menurut pihak yang merasakannya, yaitu pihak organisasi atau penyedia E-Commerce, pihak konsumen atau pengguna E-Commerce, dan pihak masyarakat luas secara umum. Semua manfaat itu terangkum dalam tabel berikut :Tabel 2 1 Manfaat E-Commerce(Putranto, Nasir dan Roosadhy 2009)

Penyedia E-Commerce Dapat

Pengguna E-Commerce

Masyarakat lapangan baru yang tenaga

menjangkau Bisa

mendapatkan Terciptanya

pasar yang lebih luas.

barang dan jasa yang pekerjaan lebih variatif. bisa

berupa

programer untuk situs E-Commerce untuk maupun yang

lingkup

lebih luas lagi. Dapat memangkas Dapat informasi lengkap mengakses yang lebih

beberapa biaya.

mengenai

barang dan jasa. Dapat meningkatkan Dari barang atau jasa yang dibeli terkadang tidak dikenai pajak

rantai persediaan.

penjualan. Dapat menyediakan Bisa mengakses barang bagi dan jasa selama 24 jam

kostumisasi

8

pelanggan.

dalam sehari dan 7 hari dalam seminggu tanpa harus tutup dibatasi ataupun toko jam

istirahat karyawan. Sebagai model bisnis baru bagi perusahaan. Dapat pasar cepat. Dapat meningkatkan dengan menjangkau dengan lebih

hubungan pelanggan.

2.1.2 Hambatan E-CommerceMeskipun cukup banyak manfaat yang bisa dirasakan dengan adanyaECommerce, masih ada batasan dan hambatan yang membuat penggunaanECommerce masih belum begitu besar. Hambatan itu bisa berupa hambatan dari aspek teknologi maupun aspek non -teknologi. Hambatan-hambatan tersebut terangkum dalam tabel berikut :Tabel 2 2 Hambatan E-Commerce(Putranto, Nasir dan Roosadhy 2009)

Aspek Teknologi Belum adanya standar keamanan Masih yang diterima secara universal.

Aspek Non-Teknologi adanya persepsi atau

paradigma umum di masyarakat bahwa E-Commerce tidak aman

9

karena

terkait

dengan

masalah

kepercayaan dalam bertransaksi. Masih terbatasnya bandwidth Beberapa aspek legal dan etik masih belum bisa ditemukan solusinya, antara lain kecurangan dalam

telekomunikasi.

menyalahgunakan data, pajak, dan pihak cipta atas inovasi dan kreasi (Hak Atas Kekayaan Intelektual). Di beberapa wilayah, biaya akses internet masih cukup tinggi.

2.2 Short Message Service (SMS)Layanan pesan singkat atau sering disebut juga dengan SMS ( hort Message S Service) adalah salah satu fitur atau layanan dari telepon seluler, yang digunakan untuk saling berkirim pesan dengan orang lain melalui pesan text. SMS pertama kali ada di belahan Eropa pada sekitar tahun 1991 bersama sebuah teknologi komunikasi wireless yang saat ini sudah banyak penggunaannya, yaitu Global System for Mobile (GSM). Pada bulan Desember 1992, pesan pertama yang dikirim menggunakan SMS dilakukan dari sebuah personal komputer (PC) ke telepon bergerak (mobile equipment) dalam jaringan GSM milik Vodafone Inggris. Perkembanga nnya kemudian merambah ke Benua Amerika bahkan ke penjuru dunia. Layanan SMS merupakan sebuah layanan yang bersifat non-realtime, dikarenakan sebuah pesan dapat terkirim ke suatu tujuan, tidak peduli apakah tujuan tersebut aktif atau tidak. Bila dideteksi bahwa tujuan tidak aktif, maka sistem akan menunda pengiriman ke tujuan hingga tujuan aktif

10

kembali. Jika pengiriman yang tidak terkirim melampaui batas waktu tertentu, maka harus dihapus dan dinyatakan gagal terkirim. Dalam sistem SMS, mekanisme utama yang dilakukan dalam sistem ini adalah melakukan pengiriman pesan dari satu terminal pelanggan ke terminal yang lain. Sistem ini dapat dilakukan berkat adanyaShort Message Service Center (SMSC) atau sering juga disebut sebagai Message Center (MC). SMSC merupakan sebuah perangkat yang melakukan tugasstore dan forward trafik short message. Selain itu juga untuk melakukan penentuan atau pencarian rute tujuan akhir da short message. Sebuah pesan SMS ri maksimal terdiri dari 140 bytes, dengan kata lain sebuah pesan bisa memuat 140 karakter 8-bit, 160 karakter 7-bit, atau 70 karakter 16-bit untuk bahasa Jepang, Mandarin, dan Korea yang memakai Hanzi (Aksara

Kanji).(Purnamasari 2010)

2.3 SMS GatewaySMS Gateway adalah sebuah aplikasi yang merubah proses SMS darimobile equipment ke PC atau laptop, SMS seperti layaknya fitur di telepon seluler, tetapi ada perbedaan dari segi fitur dan fungsi yangbisa dibuat berdasarkan kebutuhan bisnis. Dengan adanya SMS Gateway dapat mengatur SMS lewat PC atau laptop dengan mudah dan cepat. Seperti mengatur kontak dengan menggunakan Ms. Excel atau notepad, mengatur SMS keluar, mengirim SMS perkelompok, mengirimkan SMS khusus pelanggan, membuat SMS dengan jawaban otomatis (auto reply) yang bisa diatur isi SMS-nya. Kebutuhan hardware untuk SMS Gateway sangat mudah, dikarenakan dapat menggunakan PC ataupun laptop, mobile equipmentdan kabel data atau

11

dapat

juga

menggunakan

infrared

maupunbluetoothsebagai

media

transmisi. Untuk menggunakan infrared maupun bluetooth membutuhkan MS yang juga memiliki fasilitas tersebut. Tidak dianjurkan menggunakan infrared sebagai media transmisi dalam SMS gateway, dikarenakan sifat infrared yang sangat sensitive terhadap gangguan jika perangkat berubah posisi, sehingga rentan putus koneksi.(Purnamasari 2010)

2.4 AT CommandAT Command berasal dari kata Attention Command . Attention berarti peringatan atau perhatian, sedangkan Command berarti perintah atau instruksi. Maksudnya ialah perintah atau instruksi yang dikenakan pada modem atau handset. AT Command diperkenalkan oleh Dennis Hayes pada tahun 1977 yang dikenal dengan nama Smart Modem . Modem bekerja pada baud rate 300 bps. Modem ini terdiri dari sederet instruksi yang mengatur komunikasi dan fitur-fitur di dalamnya. Salah satu contoh seder hana penggunaan AT Command misalnya komunikasi dua buah komputer menggunakan port COM (port R-232). AT Command mempunyai dua mode, yaitu mode data dan mode perintah. Untuk berpindah dari mode data menuju mode perintah dipisahkan oleh tiga tanda plus dan jeda selama satu detik. Dalam perkembanganya AT Command banyak diterapkan pada mobile handset (telepon seluler). Instruksi dasar AT Command digunakan hampir oleh semua merk telepon seluler. Namun demikian, ada beberapa instruksi yang ditambahkan sendiri pada handset tersebut oleh vendor pembuatnya. Penggunaan AT Command pada handset telah mempermudah untuk mengetahui segala informasi yang terdapat pada handset tersebut. Dengan

12

menggunakan instruksi tertentu kita akan dapat mengetahui merk, nomor IMEI, dll. Selain itu dengan AT Command kita bisa mensetting instruksi atau mengaktifkan instruksi pada handset untuk melakukan fungsi tertentu, misalnya melakukan panggilan, mengirim SMS dsb. Perlu diketahui pula , bahwa masing-masing vendor handset menyertakan AT Command yang mendukung produk tersebut. Departemen ( Elektro, Fakultas Teknik,

Universitas Indonesia 2007)

2.5 Web SecurityAgar web E-Commerce milik kita aman dari ancaman maupun serangan para cracker, maka kita perlu memperhatikan beberapa hal terkait keamanan suatu web, diantaranya adalah sebagai berikut :

2.5.1 Aspek KeamananTerdapat tiga buah aspek yang menjadi aspek utama dalam keamanan suatu web yang lebih dikenal dengan istilah CIA, yaitu : a) Confidentiality / Privacy: Kerahasiaan atas data pribadi. Data hanya boleh diakses oleh orang yang bersangkutan atau berwenang. Data tersebut antara lain : 1) Data pribadi : Nomor KTP, nomor handphone, alamat, dll; 2) Data bisnis : Daftar gaji, data nasabah atau pelanggan. Serangan yang dapat terjadi berupa penyadapan atas data dengan teknik sniffing / logger, man in the middle attack, maupun non teknis dengan sosial engineering. Perlindungan yang dapat dilakukan adalah dengan cara enkripsi.

13

b) Integrity: Bahwa data tidak boleh diubah (tampered, altered, modified) oleh pihak yang tidak berhak. Serangan muncul berupa pengubahan data oleh pihak yang tidak berhak (spoofing). Perlindungan yang dapat dilakukan adalah Message Authentication Code (MAC), digital signature / certificate, hash function, dan logging. c) Availability: Bahwa data atau informasi harus tersedia ketika dibutuhkan. Serangan dapat terj di berupa peniadaan pelayanan a (Denial Of Service, dan Distributed Denial Of Service), atau menghambat layanan, malware, worm, dll. Perlindungannya bisa berupa backup, redundancy, IDS, DRC, BCP, dan firewall. Selain tiga aspek tersebut, terdapat beberapa a spek tambahan seperti : a) Non-repudiation: Menjaga agar transaksi yang terjadi tidak dapat disangkal atau dipungkiri. Umumnya dipakai pada kegiatan ECommerce. Perlindungan berupa digital signature / certificate, kriptografi, dan logging. b) Authentication: Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan. Serangan dapat berupa identitas palsu, terminal palsu, dan situs palsu. c) Access Control: Mekanisme untuk mengatur Siapa boleh melakukan apa, atau juga bisa Dari mana boleh kemana. Penerapanya

membutuhkan klasifikasi data (public, private, confident, secret) dan berbasis role (kelompok atau group hak akses)

14

d) Accountability: Adanya catatan untuk keperluan pengecekan sehingga transaksi dapat dipertanggungjawabkan. Diperlu adanya kan kebijakan dan prosedur (police and procedure). Implementasi dapat berupa IDS / IPS (firewall), syslog (router).(Sularso, Hendrarini dan Simamora 2009)

2.5.2 Faktor Timbulnya SeranganBeberapa faktor yang menyebabkan timbul ya serangan pada web, n diantaranya : a) Scripting Kesalahan pada scripting pembuatan web adalah hal terbanyak yang dimanfaatkan oleh para attacker, sehingga rata-rata web yang berhasil diserang melalui faktor ini. Kelemahan -kelemahan scripting yang ditemukan pada proses vulnerabilities scanning misalnya XSS, SQL Injection, PHP Injection, HTML Injection, dll. Begitu pula pada CMS, CMS tersebut memiliki banyak komponen pendukung di internet yang bisa kita download, install, dan konfigurasi. Sehingga sangat memungkinkan sekali terdapat bug pada scripting-nya. Langkah terbaik tentunya melakukan

pembedahan terhadap script serta melakukan pengujian sebelum komponen tersebut kita gunakan pada web yang sebenarnya. CMS tersebut sebenarnya cukup aman, namu komponen tambahan yang n tidak dibuat dengan baik tentu saja menimbulkan masalah besar bagi sistem secara keseluruhan.(Lasantha 2011)

15

b) Lubang pada situs tetangga Ini merupakan salah satu faktor yang jarang mendapat perhatian. Sebagian web programer terkadang tidak begitu peduli ketika web lain yang satu tempathosting dengan web kita diserang oleh attacker. Mereka berpikiran, Ah, toh bukan web saya yang

diserang. Padahal justru di sinilah letak kesalahanya. Logikanya, misal web kita berada pada satu tempat hosting dengan web yang diserang tadi, berarti web yang diserang tadi memiliki celah yang bisa dimasuki para attacker, dan bisa saja attacker tersebut menanam program yang bisa dijadikan sebagai backdoor. Dengan backdoor inilah para attacker bisa masuk ke web kita bahkan web lainya. Bukan tidak mustahil attacker melakukan defacing massal, termasuk web kita.(Lasantha 2011) c) Tempat hosting yang bermasalah Pada beberapa kasus justru tempathosting yang bermasalah menjadi sebab diserangnya banyak situs yang berada di bawah

pengelolaanya. Tempat hosting yang tidak pernah di administrasi dengan baik, jarang di update, dan jarang di patch menjadikan web yang dikelola tempat hosting tersebut menjadi mudah terkena serangan. Karena itu, pastikan tempat hosting yang digunakan benarbenar memperlihatkan tingkat keamanan bagi konsume n.(Lasantha 2011)

16

2.5.3 Jenis-Jenis SeranganJenis-jenis serangan dapat dibedakan menjadi dua, yaitu serangan aktif dan serangan pasif. Berikut adalah penjelasan dan contoh -contoh dari jenis serangan tersebut :

2.5.3.1 Serangan pasifSerangan pasif adalah sebuah percobaan serangan dimana serangan tersebut ditujukan untuk mencuri informasi dari sebuah sistem tetapi tidak mempengaruhi sistem tersebut. Beberapa jenis serangan pasif diantaranya : a) Sniffing (capture message) Suatu serangan yang merekam atau menangkap data yang lewat melalui jaringan. Beberapa tools yang dapat digunakan untuk melakukan sniffing adalah snort.(Saptono 2007) b) Trapper web (web penjebak) Serangan pasif yang memanfaatkan kecerobohan pengguna web aplikasi, dengan cara membuat website jebakan guna mendapatkan informasi dari pengguna yang terjebak. Contoh dalam kasus ini adalah jika kita salah memasukan nama website www.klikbca.com menjadi www.kilkbca.com.(Saptono 2007)

2.5.3.2 Serangan aktifSerangan aktif adalah sebuah percobaan serangan dimana serangan tersebut ditujukan untuk merubah sistem ataupun mempengaruhi sistem dari operasi tersebut. Beberapa jenis serangan aktif diantaranya :

17

a) Denial Of Service (DOS) Suatu serangan pada web server yang memiliki kelemahan dengan cara membanjiri web server tersebut dengan request sehingga web server tersebut tidak dapat lagi melayani request dari client lain, sampai pada kondisi crash bahkan down.(Saptono 2007) b) Buffer Over Flow Suatu serangan yang menyerang web server yang memiliki kelemahan dalam masalah alokasi memori dengan cara memaksakan malicious code agar dieksekusi oleh web server untuk memperoleh akses root shell.(Saptono 2007) c) SQL(Structured Query Language) Injection Suatu teknik serangan yang memanfaatkan celah kelemahan web yang terjadi pada database suatu aplikasi web. Kelemahan keamanan web ini tampak ketika input-an user berupa syntax SQL yang boleh diproses ke dalam database tidak di-filter secara benar. Pada umumnya proses injection dilakukan oleh malicious user dengan cara memasukan input melalui form dengan perintah atau kode -kode tertentu. Hal ini berbahaya karena malicious user akan mendapatkan data yang diminta sebagaimana syntax yang di-input-kan melalui SQL Injection. Ada dua metode yang umum dikenal dalam serangan SQL Injection, yaitu :

18

1) Normal SQL Injection Normal SQL Injection yaitu memanfaatkan error yang dibuat oleh attacker untuk memperoleh informasi skema atau struktur dari database. 2) Blind SQL Injection Blind SQL Injection merupakan salah satu teknik serangan web yang menggunakan SQL Injection dengan tujuan utama adalah mendapatkan username dan password dari user administrator yang mengelola website, dengan demikian attacker bisa dengan mudah melakukan segala sesuatu terhadap websiet

korbanya.(Kurniawan 2010) d) Cross Site Scripting (XSS atau CSS) Suatu teknik serangan yang mempengaruhi kelemahan dalamcoding aplikasi web untuk memungkinkan penyerangan mengirimkan malicious content dari client dan mengumpulkan beberapa data dari korban. Ada dua jenis aksi yang biasa dilakukan dalam serangan ini, yaitu : 1) Direct action, merupakan injeksi kode yang dilakukan oleh attacker, tetapi hasil injeksinya hanya ditampilkan pada komputer user yang bersangkutan. 2) Stored action, merupakan injeksi kode yang dilakukan oleh attacker dan hasil injeksinya bisa dinikmati oleh banyak pengunjung web.(Saptono 2007)

19

e) Session Hijacking Suatu serangan yang memanfaatkan nilai cookies dan token session milik user atau client lain yang dicuri atau ditangkap lewat sniffer. Tujuanya agar attacker dapat mengakses halaman web yang sifatnya pribadi yang biasanya memerlukan proses login

(authentikasi)(Saptono 2007) f) Authentication Attack (Bruce Force Attack) Suatu serangan yang mencoba login ke suatu aplikasi web dengan menggunakan tools atau script yang melakukan percobaan login dengan account yang umum terdapat pada sistem (misalnya : root , guest, dan administrator). Cara pencegahan serangan ini bisa menggunakan validasi login yang menggunakan gambar

(captca).(Saptono 2007)

2.5.4 Catatan Kejadian Terkait KeamananBeberapa catatan kriminal yang terkait keamanan sebuah web maupun jaringan antara lain : a) 1988 : Exploitasi Sendmail oleh R.T.Morris yang menyebabkan lumpuhnya internet. Kerugian diperkirakan mencapai $100 juta. Morris dihukum denda $10.000. b) 1996, FBI National Computer Crime Squad : Kejahatan komputer yang terdeteksi kurang dari 15%, dan hanya 10% dari angka itu (1,5%) yang dilaporkan.

20

c) 1996, American Bar Association : Dari 1000 perusahaan, 48% telah mengalami computer fraud (penipuan) dalam kurun waktu lima tahun terakhir. d) 1996, NCC Information Security Breaches Survey, Inggris : Kejahatan komputer naik 950% dari tahun 1996 ke 1997, dan yangconvicted (dihukum) di pengadilan naik 88%. e) 10 Maret 1997, seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi sebuah bandara lokal (Worcester, Mass.) sehingga memutuskan komunikasi menara kendali dan mempersulit pesawat yang akan mendarat. f) Jumlah kelemahan (vulnerabilities) sistem informasi yang dilaporkan ke Bugtraq meningkat empat kali (quadruple) semenjak tahun 1998 sampai dengan tahun 2000. Dari 20 laporan perbulan menjadi 80 laporan per-bulan. g) 1999, Common Vulnerabilities and Exposure (cve.mitre.org)

mempublikasikan lebih dari 1000 kelemahan sistem. CVE terdiri dari 20 entitas keamanan. h) 2000, Ernst and Young Survey menunjukan bahwa 66% responder menganggap security dan privacy menghambat perkembangan ECommerce. i) 7-9 Februari 2000, terjadi Distributed Denial Of Service (DDOS) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. Diduga menggunakan program Trinoo, TFN. Sularso, Hendrarini dan ( Simamora 2009)

21

2.6 Regular ExpresionRegular expresion(regex) merupakan library open source yang berasal dari Pearl Compatible Regular Expresion (PCRE) yang dapat digunakan secara bebas. PCRE dapat ditemukan pada beberapa proyek seperti PHP, Java, Jacascript, dll. Regular expresion (regex) merupakan string yang berisi kombinasi dari karakter normal dan karakter spesial. Dengan regex dapat didefinisikan polapola general suatu string yang kemudian dapat menjadi pembanding kepada string lain untuk diproses lebih lanjut. Konstanta yang didefinisikan antara lain : a) Himpunan kosong, diberi notasi ; b) String kosong, diberi notasi ; c) Karakter, diberi notasi sesuai dengan karakter bahasa yang digunakan. Regular expresion umumnya digunakan oleh banyak pengolah kata dan peralatan lainya untuk mencari dan memanipulasi kalimat dengan berdasarkan suatu pola tertentu. Banyak bahasa pemrograman yang mendukung regex seperti PHP, Perl, VB, dan Tcl. Sebuah alasan yang sangat bagus untuk menggunakan regex karena regex sangatlah powerfull. Pada level rendah regex dapat mencari sebuah penggalan kata, sedangkan pada level tinggi regex mampu melakukan kontrol terhadap data (mencari, menghapus, dan merubah data). Beberapa pola yang umum digunakan dalam regex antara lain :

22

Tabel 2 3Contoh Pola Regex(Kurniawan 2010)

Pola []

Penjelasan Ekspresi kurung cocok dengan satu karakter yang berada dalam kurung, misalnyapattern a[bcd] aci , dan cocok dengan string abi ,

adi . Penggunaan range huruf dalam kurung

diperbolehkan, misalnyapattern [a-z] cocok dengan salah satu karakter antara a sampai z , sedangkan pattern [0-9] cocok dengan salah satu angka. Jika ingin mencari karakter - , maka karakter tersebut harus diletakan di depan atau di belakang kelompok, misalnya [abc-] . [^] Cocok dengan sebuah karakter yang tidak ada dalam kur ng, u berlawanan dengan pola [] , misalnya pattern [^abc] cocok dengan satu karakter apa saja kecuali a , b , dan c . ? Cocok dengan nol atau satu karakter sebelumnya, misalnya pattern died? cocok dengan string die dan died . + Cocok dengan satu atau lebih karakter sebelumnya, misalnya pattern yu-k cocok dengan yuk , yuuk , yuuuk , dst.

23

3

ANALISIS KEBUTUHAN DAN PERANCANGAN3.1 Analisis PerusahaanHairani Artdress adalah sebuah perusahaan perorangan milik HairaniUtami yang bergerak dibidang fashion. Usaha yang didirikan atas dasar hobi ini masih menggunakan jejaring sosial Facebook sebagai media pemasaranya . Hal inilah yang menjadi permasalahan yang dialami pemiliknya dalam mengelola usahanya ini, dimana setiap pesanan yang diterimanya harus melalui beberapa komunikasi manual hingga akhirnya pesanan tersebut benar-benar sukses (transaksi jual beli berhasil). Untuk mengatasi masalah tersebut, pemiliknya berencana menggunakan sebuah web E-Commerce sebagai media pemasaran dan pemesananya. Sedangkan untuk menambah fitur layanannya, web ini juga akan dilengkapi dengan layanan SMS Gateway sebagai media komunikasi antara penjual dan pembeli.

3.2 Kebutuhan Perangkat KerasPerangkat keras yang digunakan dalam pembuatan proyekakhir ini, yaitu :Tabel 3 1 Kebutuhan Perangkat Keras

Perangkat Keras

Spesifikasi Intel Core2 Duo Processor

Laptop Compaq 6520s

RAM 1 Gb DDR 2 Hard Drive 80 Gb

Modem USB Handphone Nokia 1202

-

24

3.3 Kebutuhan Perangkat LunakPerangkat lunak yang digunakan dalam pembuatan proyek akhir ini, yaitu :Tabel 3 2 Kebutuhan Perangkat Lunak

Perangkat Lunak Sistem Operasi Laptop Paket Web Server Aplikasi SMS Gateway CMS Browser Aplikasi Dokumentasi Aplikasi Editing Script

Spesifikasi Windows 7 Ultimate 32 bit XAMPP v.1.7.4 AT Command Opencart v.1.4.9.4 Internet Explorer 7 Ms. Office Word dan Visio 2007 Notepad ++ v.5.8.7

3.4 Perancangan SistemSistem yang dibangun pada proyek akhir ini terbagi menjadi dua bagian, yaitu sistem kerja dari SMS Gateway dan sistem kerja dari regular expresion. Berikut penjelasan sistem-sistem tersebut :

3.4.1 Sistem Kerja SMS GatewayGambaran sistem kerja dari SMS Gateway yang akan dibuat ialah sebagai berikut :

Handphone P embeli

Jaringan GS M

Modem US B

P C P enjual (Ter-install X AMP P dan Gammu )

Gambar 3 1 Sistem Kerja SMS Gateway

Pengujian yang akan dilakukan berupa pengiriman text SMS yang dilakukan oleh pembeli dengan format penulisan sebagai berikut :

25

Tabel 3 3 Format Penulisan SMS

Format Penulisan

Penjelasan

PEMBAYARANNO.ID Memberi konfirmasi kepada penjual bahwa pembeli telah melakukan pembayaran. STATUSNO.ID Memberikan layanan informasi mengenai status barang yang di perjualbelikan. RESINO.ID Memberikan layanan informasi mengenai no.resi dari pengiriman barang.

3.4.2 Sistem Kerja Regular ExpresionGambaran sistem kerja regular expresion yang akan dibuat ialah sebagai berikut :

Input Login

Request

Request

Validasi

PHP Scrip

User

Output Display

Gambar 3 2 Sistem Kerja Regex Keseluruhan

Pembatasan karakter yang dibuat denganregular expresion berupa : a) Inputan username pada form login administrator berupa kata admin , sehingga pengujianya dilakukan dengan mencoba

memasukan username selain admin dan beberapa karakter yang yang biasa digunakan dalam melakukan penyerangan SQL Injection.

SQL Statemen

Database

Service

Server

Service

Action

XAMP P

26

b) Inputan login pada form login konsumen berupa format E-Mail dengan karakter yang digunakan berupa huruf dan angka, sehingga pengujianya dilakukan dengan mencoba memasukan beberapa karakter selain huruf dan angka yang biasa digunakan dalam melakukan serangan SQL Injection.

3.5 Perancangan PengerjaanPengerjaan proyek akhir ini dilakukan melalui beberapa tahapan pengerjaan, dimana tahapan-tahapan itu adalah : a) Installasi Apache dan My SQL yang terdapat dalam XAMPP v.1.7.4 b) Membangun web E-Commerce menggunakan CMS Opencart v.1.4.9.4. c) Konfigurasi perangkat SMS Gateway dengan AT Command. d) Pengujian kinerja AT Command. e) Pembuatan script auto reply. f) Pengujian kinerja auto reply. g) Pembuatan script regular expresion pada script login web ECommerce yang telah dibuat. h) Pengujian kinerja regular expresion pada localhost mengunakan Internet Explorer 7.

27

4

REFERENSI

A.P, Freddy Syahrul. Serangan SQL Injection dan Pencegahanya. Paper, Palembang: Teknik Informatika Fakultas Ilmu Komputer Universitas Sriwijaya, 1998. Chabib, Ipnu. "Pemanfaatan Teknologi SMS Gateway Untuk Penyedia Layanan Informasi Akademik." Proyek Akhir, 2010. Departemen Elektro, Fakultas Teknik, Universitas Indonesia. AT Command. September 17, 2007. http://telekomui.org/?p=36 (accessed Juli 18, 2011) . itx. Regular Expression (Regex) dengan PHP. Maret 8, 2011.

http://itx.web.id/php/regular-expression-regex-dengan-php/ (accessed Juni 30, 2011). Kurniawan, Arik. "Implementasi Regular Expresion (regex) Untuk Pencegahan Serangan SQL Injection." Proyek Akhir, 2010. Lasantha. Keamanan Web. Maret 11, 2011.

http://www.situstarget.web.id/2011/03/keamanan-web.html (accessed Juni 30, 2011). Purnamasari, Chindie. "Implementasi SMS Gateway Dalam Solusi Penyediaan Laporan Peserta Didik Kursus." Proyek Akhir, 2010. Putranto, Bijak Fajar, Muhammad Nasir, and Fibie Roosadhy. E-Commerce Architecture dan Security. 15. Bandung: Telkom Polytechnic, 2009. Saptono, Henry. Web Security. Depok, Juni 07, 2007. Sularso, Anang, Nina Hendrarini, and Sihar N.M.P Simamora. Network Security. Bandung: Polytechnic Telkom, 2009.

28