PENGUJIAN WEBSITE DINAS SOSIAL SURABAYA MENGGUNAKAN METODE PENETRATION TESTING DAN OWASP TOP 10
DOI:
https://doi.org/10.36595/jire.v8i1.1375Keywords:
Penetration testing, OWASP Top 10, website, siber, kerentanan, keamananAbstract
Keamanan sistem informasi menjadi faktor penting dalam pengembangan teknologi informasi. Kemajuan teknologi membuat banyaknya potensi celah kemanan yang dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab. Dari hal tersebut dilakukan penelitian yang bertujuan untuk mengidentifikasi dan menganalisis kerentanan pada website Dinas Sosial Surabaya menggunakan metode penetration testing dengan pendekatan OWASP Top 10. Sebagai salah satu aplikasi pelayanan publik, website Dinas Sosial Surabaya memiliki potensi menjadi target serangan siber yang dapat mengancam keamanan data pengguna. Penelitian ini melibatkan lima tahap dalam metode penetration testing, yaitu information gathering, footprinting & scanning, vulnerability assessment, exploitation, serta analyze & report. Pendekatan OWASP Top 10 digunakan untuk mengevaluasi kerentanan, dengan fokus pada sepuluh kerentanan paling kritis yang dapat membahayakan aplikasi web. Hasil pengujian mengungkapkan enam kerentanan utama pada website ini, yaitu Browsable Web Directories, web.config File Information Disclosure, Content Security Policy (CSP) Header Not Set, Strict-Transport-Security Header Not Set, Timestamp Disclosure - Unix, dan X-Content-Type-Options Header Missing. Untuk mengatasi kerentanan tersebut, disarankan penerapan header keamanan seperti Content-Security-Policy (CSP), Strict-Transport-Security (HSTS), dan X-Content-Type-Options: nosniff. Selain itu, pengamanan terhadap direktori dan file konfigurasi sensitif perlu dilakukan untuk meminimalkan risiko kebocoran data. Penelitian ini memberikan wawasan penting dalam meningkatkan keamanan website pemerintah sehingga lebih terlindungi dari ancaman siber.
References
Y. W, R. Anto, D. Teguh Yuwono, and Y. Yuliadi, “Deteksi Serangan Vulnerability Pada Open Jurnal System Menggunakan Metode Black-Box,” J. Inform. dan Rekayasa Elektron., vol. 4, no. 1, pp. 68–77, 2021, doi: 10.36595/jire.v4i1.365.
A. M. I. W. Hidayat, “Analisis Perbandingan Sistem Autentikasi Port Knocking dan Single Packet Authorization pada Server Raspbian,” vol. 2, no. 1, pp. 28–37, 2019.
ITU, Global Cybersecurity Index 2020. International Telecommunication Union, 2020. [Online]. Available: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2021-PDF-E.pdf
F. Pratiwi, “BSSN Catat 370,02 Juta Serangan Siber ke Indonesia pada 2022 - Dataindonesia.id,” 2023. https://dataindonesia.id/internet/detail/bssn-catat-37002-juta-serangan-siber-ke-indonesia-pada-2022 (accessed Jun. 14, 2024).
BSSN, “Lanskap Keamanan Siber Indonesia,” no. 70, 2023, [Online]. Available: https://www.bssn.go.id/wp-content/uploads/2024/03/Lanskap-Keamanan-Siber-Indonesia-2023.pdf
Firda, S. Putri, Y. B. Utomo, and H. Kurniadi, “Analisa Celah Keamanan Pada Website Pemerintah Kabupaten Kediri Menggunakan Metode Penetration Testing Melalui Kali Linux,” Pros. SEMNAS INOTEK (Seminar Nas. Inov. Teknol., vol. 7, no. 1, pp. 52–59, 2023, [Online]. Available: https://proceeding.unpkediri.ac.id/index.php/inotek/article/view/3411
U. S. D. of the Interior, “Penetration Testing | U.S. Department of the Interior,” 2023. https://www.doi.gov/ocio/customers/penetration-testing (accessed Mar. 07, 2024).
M. F. F. Ikhsan, E. I. Alwi, and T. Hasanuddin, “Website vulnerability analysis PT . Sadikun Niaga Mas Raya Uses the Owasp Penetration Testing Method,” Int. J. Multidiscip. Res. Growth Eval., vol. 05, no. 01, pp. 418–425, 2024.
D. F. Priambodo, A. D. Rifansyah, and M. Hasbi, “Penetration Testing Web XYZ Berdasarkan OWASP Risk Rating,” Teknika, vol. 12, no. 1, pp. 33–46, 2023, doi: 10.34148/teknika.v12i1.571.
Y. Armando and R. Rosalina, “Penetration Testing Tangerang City Web Application With Implementing OWASP Top 10 Web Security Risks Framework,” JISA(Jurnal Inform. dan Sains), vol. 6, no. 2, pp. 105–109, 2023, doi: 10.31326/jisa.v6i2.1656.
I. Odun-Ayo et al., “Evaluating Common Reconnaissance Tools and Techniques for Information Gathering,” J. Comput. Sci., vol. 18, no. 2, pp. 103–115, 2022, doi: 10.3844/jcssp.2022.103.115.
M. F. Safitra, M. Lubis, and A. Widjajarto, “Security Vulnerability Analysis using Penetration Testing Execution Standard (PTES): Case Study of Government’s Website,” ACM Int. Conf. Proceeding Ser., pp. 139–145, 2023, doi: 10.1145/3592307.3592329.
Y. Khera, D. Kumar, S. Sujay, and N. Garg, “Analysis and Impact of Vulnerability Assessment and Penetration Testing,” Proc. Int. Conf. Mach. Learn. Big Data, Cloud Parallel Comput. Trends, Prespectives Prospect. Com. 2019, no. May, pp. 525–530, 2019, doi: 10.1109/COMITCon.2019.8862224.
M. Mada, “Install Bettercap di Kali Linux 2020.x | by Muhammad Mada | MADATECH | Medium,” Jan. 21, 2021. https://medium.com/madatech/install-bettercap-di-kali-linux-20-x-fa2600ff381f (accessed Nov. 06, 2024).
“sqlmap: automatic SQL injection and database takeover tool.” https://sqlmap.org/ (accessed Jun. 14, 2024).
F. Heiding, E. Süren, J. Olegård, and R. Lagerström, “Penetration testing of connected households,” Comput. Secur., vol. 126, 2023, doi: 10.1016/j.cose.2022.103067.
G. Kusuma, “Implementasi Owasp Zap Untuk Pengujian Keamanan Sistem Informasi Akademik,” J. Teknol. Inf. J. Keilmuan dan Apl. Bid. Tek. Inform., vol. 16, no. 2, pp. 178–186, 2022, doi: 10.47111/jti.v16i2.3995.
“Nessus Vulnerability Scanner.” https://www.tenable.com/products/nessus (accessed Jun. 14, 2024).
Additional Files
Published
How to Cite
Issue
Section
License
Semua tulisan pada jurnal ini menjadi tanggungjawab penuh penulis.