PENERAPAN INFORMATION GATHERING BERDASARKAN

Transcription

PENERAPAN INFORMATION GATHERING BERDASARKANOWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITESCRIPTISkripsiWD KUolehTOAR LUKKI ROGI22084503PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASIUNIVERSITAS KRISTEN DUTA WACANA2015

PENERAPAN INFORMATION GATHERING BERDASARKANOWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITESCRIPTISkripsiWDKUDiajukan kepada Program Studi Teknik Informatika Fakultas Teknologi InformasiUniversitas Kristen Duta WacanaSebagai Salah Satu Syarat dalam Memperoleh GelarSarjana Komputer Disusun olehTOAR LUKKI ROGI22084503PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASIUNIVERSITAS KRISTEN DUTA WACANA2015

SLIAN SKRIPSIPERNYATAAN KEASLIAN SKRIPSISaya menyatakan dengan sesungguhnya bahwa skripsi dengan judul:PENERAPAN INFORMATION GATHERING BERDASARKANOWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITESCRIPTIWDyang saya kerjakan untuk melengkapi sebagian persyaratan menjadi Sarjana Komputerpada pendidikan Sarjana Program Studi Teknik Informatika Fakultas Teknologi InformasiUniversitas Kristen Duta Wacana, bukan merupakan tiruan atau duplikasi dari skripsikesarjanaan di lingkungan Universitas Kristen Duta Wacana maupun di Perguruan Tinggiatau instansi manapun, kecuali bagian yang sumber informasinya dicantumkansebagaimana mestinya.KUJika dikemudian hari didapati bahwa hasil skripsi ini adalah hasil plagiasi atau tiruan dariskripsi lain, saya bersedia dikenai sanksi yakni pencabutan gelar kesarjanaan saya. Yogyakarta, 28 Januari 2016TOAR LUKKI ROGI22084593HALAMAN PERSETUJUAN

HALAMAN PERSETUJUANJudul Skripsi: PENERARAPAN INFORMATION GATHERINGBERDASARKAN OWASP TESTING GUIDE 2014 V4.4STUDI KASUS WEBSITE SCRIPTINama Mahasiswa: TOAR LUKKI ROGINIM: 22084503Matakuliah: Skripsi (Tugas Akhir)Kode: TIW276Semester: GasalTahun Akademik: 2015/2016 KUWDTelah diperiksa dan disetujui diYogyakarta,Pada tanggal 28 Januari 2016Dosen Pembimbing IDosen Pembimbing IIWilly Sudiarto Raharjo, SKom.,M.Cs.Budi Susanto, Skom.,M.T.

HALAMAN PENGESAHANPENERAPAN INFORMATION GATHERING BERDASARKANOWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITESCRIPTIOleh: TOAR LUKKI ROGI / 22084503WDDipertahankan di depan Dewan Penguji SkripsiProgram Studi Teknik Informatika Fakultas Teknologi InformasiUniversitas Kristen Duta Wacana - YogyakartaDan dinyatakan diterima untuk memenuhi salah satu syarat memperoleh gelarSarjana Komputerpada tanggal 7 Januari 2016Dewan Penguji: KUYogyakarta, 28 Januari 2016Mengesahkan,1. Willy Sudiarto Raharjo, SKom.,M.Cs. 2. Budi Susanto, SKom.,M.T. 3. Lukas Chrisantyo, S.Kom., M.Eng. 4. Gani Indriyanta, Ir. M.T. Dekan(Gloria Virginia, Ph.D.)(Budi Susanto, SKom.,M.T.)Ketua Program Studi

KATA PENGANTARPuji syukur penulis panjatkan ke hadirat Tuhan Yesus Kristus atas anugerah,berkat, rahmat, dan karunianya sehingga penulis dapat menyelesaikan Tugas Akhirdengan judul “Penerapan Information Gathering Berdasarkan OWASP Testing guide2014 V4.0 Studi Kasus Website Scripti” dengan baik.Penulisan laporan ini merupakan kelengkapan dan pemenuhan dari salah satusyarat dalam memperoleh gelar Sarjana Komputer. Selain itu, penulisan laporan TugasAkhir ini juga bertujuan untuk melatih mahasiswa agar dapat menghasilkan suatu karyaWDKUyang dapat dipertanggungjawabkan secara ilmiah, sehingga dapat bermanfaat bagipenggunanya.Dalam menyelesaikan penelitian dan laporan Tugas Akhir ini, penulis telahbanyak menerima bimbingan, saran, dan masukkan dari berbagai pihak, baik secaralangsung maupun secara tidak langsung. Untuk itu dengan segala kerendahan hati, padakesempatan ini penulis menyampaikan ucapan terima kasih kepada :1. Tuhan Yesus Kristus yang telah menyertai penulis untuk menyelesaikanpenelitian dan penyusunan Laporan Tugas Akhir.2. Bapak Willy Sudiarto Raharjo, S.Kom.,M.Cs. selaku dosen pembimbing I yang telah sabar dalam membimbing penulis dalam mengerjakanpenelitian dan penyusunan laporan Tugas Akhir.3. Bapak Budi Susanto, SKom.,M.T. selaku dosen pembimbing II yangselalu sabar dan baik membimbing penulis dalam mengerjakan penelitiandan penyusunan laporan Tugas Akhir.4. Keluarga dan saudara yang selalu memberikan doa dan semangat kepadapenulis dalam menyelesaikan Tugas Akhir.5. Yonathan Bambang dan Tisa Indah Nugraheni selaku bapak gembala danibu gembala yang senantiasa memberikan dukungan kepada penulis dalammenyelesaikan Tugas Akhir.6. Rekan-rekan sepelayanan Gereja Behany Magelang yang dengan tulusmemberikan dukungan, saran, dan, sharing dalam pengerjaan Tugas Akhirmaupun penulisan laporan Tugas Akhir.vi

7. Rekan-rekan penulis yang dengan senang hati memberikan arahan, saran,dan, sharing dalam pengerjaan Tugas Akhir maupun penulisan laporanTugas Akhir.8. Pihak lain yang tidak dapat penulis sebutkan satu per satu, sehingga TugasAkhir ini dapat terselesaikan dengan baik.Penulis menyadari bahwa penelitian dan laporan Tugas Akhir ini masih jauh darisempurna. Oleh karena itu, penulis sangat mengharapkan kritik dan saran yangmembangun dari pembaca sekalian.Akhir kata penulis meminta maaf bila ada kesalahan dalam penyusunan laporanWDKUmaupun sewaktu penulis melakukan penelitian Tugas Akhir. Semoga penelitian danlaporan Tugas Akhir ini dapat berguna bagi kita semua.Yogyakarta,28 Januari 2016Penulis vii

INTISARIInformation Gathering merupakan tahapan bagi seorang penetration testingdalam melakukan pengujian terhadap sistem atau aplikasi. Information Gatheringberperan sebagai pijakan awal sebelum penguji melanjutkan ke tahapan ekspoitasi ataupenyerangan terhadap sistem atau aplikasi yang menjadi target. Information Gatheringpada penelitian ini menggunakan panduan OWASP Testing Guide V4.0 yangmemberikan beberapa kontrol yang secara umum dilakukan untuk mendapatkan sebanyakmungkin informasi penting yang berguna bagi penguji untuk melakukan eksploitasi padasistem atau aplikasi target.Penelitian ini bertujuan untuk menggali informasi sebanyak mungkinWDKUterkait dengan semua hal dapat diperoleh dari website scripti.ukdw.ac.id.melaluibeberapa metode yang telah dipaparkan melalui OWASP Testing Guide V4.0dengan melibutkan cara secara langsung dan menggunakan beberapa tool yangmemiliki fungsi untuk scanning dan fingerprinting akan teknologi yang ada padawebsite scripti.ukdw.ac.id.Hasil dari analisa dengan menggunakan metode tersebut memberikaninformasi penting mengenai beberapa kelemahan yang memiliki potensi sebagaicelah keamanan aplikasi website tersebut salah satunya ialah versi aplikasi yang digunakan teridentifikasi memiliki fitur yang yang berpotensi sebagai celahkelemahan, selain itu penelitian ini memberikan rekomendasi atau saran aplikasiwebsitescripti.ukdw.ac.id. Penelitian ini memberikan manfaat bagi pengelola dalammemberikan gambaran terkini mengenai keamanan website scripti.ukdw.ac.id,celah maupun kelemahan yang berpotensi di kemudian hari dapat diantisipasidengan hasil analisa yang telah dilakukan pada penelitian ini.Kata Kunci : Information Gahtering, OWASP, Penetration Testing, Securityviii

DAFTAR ISIHALAMAN JUDUL .iPERNYATAAN KEASLIAN SKRIPSI .iiiHALAMAN PERSETUJUAN.ivHALAMAN PENGESAHAN.vKATA PENGANTAR .viWDKUINTISARI .viiiDAFTAR ISI.ixDAFTAR TABEL.xiiDAFTAR GAMBAR .xivBAB IPENDAHULUAN .11.1Latar Belakang .11.2Rumusan Masalah .21.31.41.61.7 Batasan Masalah .2Tujuan Penelitian .2Metodologi Penelitian .3Sistematika Penulisan .3BAB II TINJAUAN PUSTAKA . 52.1Tinjauan Pustaka. .52.2Landasan Teori .62.2.1 OWASP .62.2.2 (OTG-INFO-001) Conduct Search Engine Discoveryix

and Reconnaissance for Information Leakage.72.2.3 (OTG-INFO-002) Fingerprint Web Server.82.2.4 (OTG-INFO-003) Review Webserver MetafilesInformation Leakage .92.2.5 (OTG-INFO-004) Enumerate Application Webserver .92.2.6 (OTG-INFO-005) Review Webpage Comments andMetadata for Information Leakage .102.2.7 (OTG-INFO-006) Identify Application Entry Points .10WDKU2.2.8 (OTG-INFO-007) Map Execution Paths ThroughApplication .102.2.9 (OTG-INFO-008) Fingerprint Web ApplicationFramework .112.2.10 (OTG-INFO-009) Fingerprint Web Application .112.2.11 (OTG-INFO-010) Map Application Architecture .12 BAB III PERANCANGAN SISTEM .3.13.213Kebutuhan Sistem .133.1.1 Kebutuhan Perangkat Lunak .133.1.2 Kebutuhan Perangkat Keras .143.1.3 Arsitektur Pengujian Information Gahtering .14Kontrol dan Proses .163.2.1 Conduct Search Engine Discovery/Reconnaissance forInformation Leakage .163.2.2 Fingerprint Web Server .173.2.3 Review Webserver Metafiles for Information Leakage .18x

3.2.4 Enumerate Application on Webserver .193.2.5 Review Webpage Comments and Metadata forInformation Leakage .203.2.6 Identify Application Entry Points.203.2.7 Map Execution Paths Through Application .203.2.8 Fingerprint Web Application Framework.213.2.9 Fingerprint Web Application .213.2.10 Map Application Architecture.22BAB IV ANALISIS SISTEM INFORMATION GATHERING .234.1WDKUAnalisis Sistem Kontrol Conduct Search Engine Discovery/Reconnaisance for Information Leakage .4.1.1Informasi yang Diperoleh dari Mesin Pencari(Search Engine) . 4.1.223Informasi yang Diperoleh dengan MenggunakanTools.27Analisis Informasi yang Diperoleh .30Analisis Sistem Kontrol Fingerprint Web Server .324.1.34.2234.2.1 Mengidentifikasi Web Server Dengan Tools . . 324.3Analisis Sistem Kontrol Review Webserver Metafiles forInformation Leakage .4.4Analisis Sistem Kontrol Enumerate Application onWebserver4.536.39Analisis Sistem Kontrol Review Webpage Comments andxi

Metadata for Information Leakage .444.6Analisis Sistem Kontrol Identify Application Entry Points .474.7Analisis Sistem Kontrol Map Execution Paths ThroughApplication4.854Analisis Sistem Kontrol Fingerprint Web ApplicationFramework.56Analisis Sistem Kontrol Identify Application Entry Points .584.10 Analisis Sistem Kontrol Map Application Architecture .61KESIMPULAN DAN SARAN .635.1Kesimpulan . .635.2Saran4.9Bab V.WDKU . . 64DAFTAR PUSTAKA . .65 xii

DAFTAR TABELTabel 4.1 Hasil Keluaran Mesin Pencari .30Tabel 4.2 Urutan Hasil Keluaran Tiap Mesin Pencari .30Tabel 4.3 Hasil Scan Port Dengan NMap V7.00 .40Tabel 4.4 Daftar Vulnerability Tool Nikto .41Tabel 4.5 Deskripsi Referensi ID Open Source Vulnerability Database.44WDKUTabel 4.6 Informasi Detil Request dan Response .49 xiii

DAFTAR GAMBARGambar 2.1 Proses Penetration Testing .7Gambar 2.2 Kontrol yang Digunakan Untuk Menguji Selama PengkajianPada Information Gathering .7Gambar 3.1 Proses Penetration Testing .14Gambar 3.2 Proses Information Gathering .14WDKUGambar 4.1 Hasil Keluaran Mesin Pencari Google .24Gambar 4.2 Hasil Keluaran Mesin Pencari Google .24Gambar 4.3 Hasil Keluaran Mesin Pencari Bing .25Gambar 4.4 Hasil Keluaran Mesin Pencari Bing .25Gambar 4.5 Hasil Keluaran Mesin Pencari Duck Duck Go .26Gambar 4.6 Hasil Keluaran Mesin Pencari Duck Duck Go .26Gambar 4.7 Hasil Keluaran Mesin Pencari Ixquick.27 Gambar 4.8 Hasil Keluaran Mesin Pencari Ixquick.27Gambar 4.9 Hasil Menggunakan Tool FoundStone SiteDigger V3.0 .28Gambar 4.10 Hasil Menggunakan Tool GoogleHacker 101 .28Gambar 4.11 Hasil Menggunakan Tool GoogleHacker 101 .29Gambar 4.12 Hasil Menggunakan Tool GoogleHacker 101 .29Gambar 4.13 Hasil Fingerprint Httprint .32Gambar 4.14 Hasil Fingerprint Httprint dalam HTML .33Gambar 4.15 Hasil Fingerprint Httprecon .33Gambar 4.16 Hasil Fingerprint Httprecon .34Gambar 4.17 Hasil Fingerprint Netcraft.34xiv

Gambar 4.18 Hasil Fingerprint Desenmascarame .35Gambar 4.19 CVE Vulnerabiltiy Statistic Web Server Apache 2.4.16 .35Gambar 4.20 Mendapatkan robots.txt Dengan WGET .36Gambar 4.21 Mendapatkan robots.txt Dengan CURL .37Gambar 4.22 Mendapatkan robots.txt Dengan Web Browser .37Gambar 4.23 Cek robots.txt Web Based Application.38Gambar 4.24 NMap Scanning Command Line .39Gambar 4.25 Nikto Scanning Command Line .41WDKUGambar 4.26 PHP 5 ChangeLog . 42Gambar 4.27 Bug#70748 PHP 5.4.45 .43Gambar 4.28 First and End Line Page Source scripti.ukdw.ac.id .45Gambar 4.29 Metadata Dari Web Based Application Desenmascarame .46Gambar 4.30 Monitoring Request Method OWASP ZAP.47Gambar 4.31 Monitoring Request Method OWASP ZAP.48 Gambar 4.32 Informasi Request dan Response.49Gambar 4.33 Identifikasi Web Application Wappalyzer .56Gambar 4.34 Identifikasi Framework Dari Review Page Source .57Gambar 4.35 Fingerprinting Application Whatweb Running OnKalilinux VMWare . 58Gambar 4.36 Deskripsi Parameter Apache .58Gambar 4.37 Deskripsi Parameter Country dan HTML5.59Gambar 4.38 Deskripsi Parameter HTTP Server, IP, dan JQuery .59Gambar 4.39 Deskripsi Parameter OpenSSL, PHP, dan SVN .59Gambar 4.40 Deskripsi Parameter Script, Title, X-Power-By, X-UA-xv

Compatible.60Gambar 4.41 Map Application Architecture .61WDKU xvi

INTISARIInformation Gathering merupakan tahapan bagi seorang penetration testingdalam melakukan pengujian terhadap sistem atau aplikasi. Information Gatheringberperan sebagai pijakan awal sebelum penguji melanjutkan ke tahapan ekspoitasi ataupenyerangan terhadap sistem atau aplikasi yang menjadi target. Information Gatheringpada penelitian ini menggunakan panduan OWASP Testing Guide V4.0 yangmemberikan beberapa kontrol yang secara umum dilakukan untuk mendapatkan sebanyakmungkin informasi penting yang berguna bagi penguji untuk melakukan eksploitasi padasistem atau aplikasi target.Penelitian ini bertujuan untuk menggali informasi sebanyak mungkinWDKUterkait dengan semua hal dapat diperoleh dari website scripti.ukdw.ac.id.melaluibeberapa metode yang telah dipaparkan melalui OWASP Testing Guide V4.0dengan melibutkan cara secara langsung dan menggunakan beberapa tool yangmemiliki fungsi untuk scanning dan fingerprinting akan teknologi yang ada padawebsite scripti.ukdw.ac.id.Hasil dari analisa dengan menggunakan metode tersebut memberikaninformasi penting mengenai beberapa kelemahan yang memiliki potensi sebagaicelah keamanan aplikasi website tersebut salah satunya ialah versi aplikasi yang digunakan teridentifikasi memiliki fitur yang yang berpotensi sebagai celahkelemahan, selain itu penelitian ini memberikan rekomendasi atau saran aplikasiwebsitescripti.ukdw.ac.id. Penelitian ini memberikan manfaat bagi pengelola dalammemberikan gambaran terkini mengenai keamanan website scripti.ukdw.ac.id,celah maupun kelemahan yang berpotensi di kemudian hari dapat diantisipasidengan hasil analisa yang telah dilakukan pada penelitian ini.Kata Kunci : Information Gahtering, OWASP, Penetration Testing, Securityviii

BAB 1PENDAHULUAN1.1Latar BelakangKeamanan sebuah sistem atau aplikasi merupakan salah satu faktorterpenting yang perlu dirancang sedemikian rupa demi melindungi informasipenting yang menjadi tujuan dilancarkannya serangan oleh pihak tertentu gunamemperoleh suatu informasi dalam sistem atau aplikasi tersebut atau bahkanmemiliki motivasi yang bersifat merugikan yakni untuk melumpuhkan sistem atauaplikasi agar tidak dapat beroperasi. Bagi seorang penyerang untuk bisaWDKUmelakukan sebuah serangan yang ditujukan kepada sebuah sistem tentunya perlumengetahui terlebih dahulu informasi apakah yang dimiliki oleh sistem yangmenjadi target. Dari proses pengumpulan informasi inilah penyerang menganalisadan memperoleh kesimpulan mengenai celah atau kelemahan sistem tersebut yangselanjutnya berlanjut pada teknik Penetration Testing.Proses pengumpulan informasi tersebut dapat dilakukan dengan berbagaicara yakni dengan menggunakan tools yang umum seperti search engine, scanner,dengan mengirimkan request HTTP sederhana, atau request khusus yangmemungkinan aplikasi tersebut membocorkan informasi. Misalnya dengan memberikan umpan balik berupa pesan kesalahan atau memaparkan versi danteknologi yang digunakan pada aplikasi tersebut. Sedangkan penetration testinglebih fokus pada sejauh apakah seorang penyerang dapat menyerang dan masukke suatu sistem dengan memanfaatkan beragam kelemahan atau celah yangditemukan, salah satunya dengan menggali lebih dalam beragam informasi yangtelah diperoleh dari target yang telah berhasil di eksploitasi.Dalam kasus ini penulis akan melakukan proses pengumpulan informasi(Information Gathering) dari website scripti.ukdw.ac.id yang menjadi studi kasusuntuk melancarkan Information Gathering berdasarkan pada The Open WebApplication Securty Project (OWASP) Testing Guide 2014 V4.0.1

1.2Rumusan MasalahBerdasarkan latar belakang yang telah dikemukakan di atas, makapenulis akan melakukan penelitian terkait dengan:1. Informasi penting terkait dengan kelemahan website scripti.ukdw.ac.idyang dapat digali dengan penggunaan metode Information Gatheringberdasarkan OWASP 2014 V.4.1.3Batasan SistemPenulis membatasi masalah yakni langkah apa saja yang diperlukanWDKUdalam proses penelitian ini. Penulis diasumsikan sebagai penguji (tester)dari pihak luar, bukan pihak dalam yang memiliki akun yang teregistrasipada website scripti. Waktu pengujian yang dilakukan oleh penulis dimulaipada 12 Oktober 2015 dan berakhir pada 17 Desember 2015.1.4Tujuan PenelitianPenulisan tugas akhir ini bertujuan untuk :1. Mengetahui proses pengumpulan informasi (Information Gathering)berdasar OWASP Testing Guide V4.0. 2. Menilai tingkat kerentanan (vulnerability) pada sebuah aplikasi websitesetelah dilakukan metode OWASP Tesing Guide V4.0 yaitu padawebsite scripti.ukdw.ac.id.3. Memberikan rekomendasi kepada pengelola layanan scripti menghadapikelemahan yang dimiliki website scripti.ukdw.ac.id tersebut.Dengan mengacu pada penelitian ini diharapkan dapat memberikankontribusi bagi pihak pengelola website scripti.ukdw.ac.id dan jugagambaran akan hal-hal yang perlu diperhatikan dalam membangun sebuahaplikasi website yang handal dalam mengantisipasi ketika terdapatserangan berdasar OWASP Testing Guide V4.0.2

1.5Metodologi PenelitianMetode penelitian yang akan digunakan dalam penelitian ini adalah:1. Metode yang digunakan untuk mengumpulkan data dan informasidalam tugas akhir ini dengan studi kasus website scripti.ukdw.ac.idialah dengan mempelajari metode Information Gathering bedasarkanOWASP Testing Guide 2014 V4.0, selanjutya penulis melakukanproses pengumpulan informasi secara langsung terhadap website yangsudah ditentukan.2. Konsultasi dengan dosen pembimbing dari awal proses dilakukannyaWDKUpenelitian sampai selesainya laporan yang dikerjakan.1.6Sistematika penulisanSistematika laporan tugas akhir ini secara garis besar dapat dituliskansebagai berikut:BAB 1 : PendahuluanBerisi latar belakang beserta batasan masalah, tujuan tugas akhirdan sistematika penulisan. BAB 2 : Landasan TeoriBerisi teori-teori yang mendasari topik yang telah ditentukanbeserta ilmu-ilmu lain yang mendukung.BAB 3 : Perancangan SistemBerisi tentang langkah yang akan dilakjkan dalam prosesInformation Gathering secara umum mulai dari tahap analisakontrol awal sampai pada tahap peniliaian dari hasil analisapenerapan proses Information Gathering terhadap websitescripti.ukdw.ac.id.3

BAB 4 : AnalisisBerisi tentang proses Information Gathering secara umum mulaidari tahap kontrol awal analisa sampai pada tahap kontrol pti.ukdw.ac.id.BAB 5: Kesimpulan dan SaranBerisi kesimpulan dari hasil analisa menggunakan metodepenerapan Information Gathering berdasarkan OWASP 2014V.4.0.WDKU 4

BAB VKESIMPULAN DAN SARAN5.1. adapwebsitescripti.ukdw.ac.id dengan metode Information Gathering sesuai dengan OWASPTesting Guide V4.0, maka diambil kesimpulan sebagai berikut :WDKU1. Secara umum website scripti.ukdw.ac.id pada saat diakses tanpamelakukan login sistem tidak ditemukan masalah atau kelemahanterkait keamanannya, karena informasi penting yang lebih detil danfitur-fitur mengenai sistem hanya dapat diakses lebih lanjut ketikapenguji sudah melakukan login ke dalam sistem tersebut.2. Informasi mengenai versi PHP 5.4.45 yang digunakan websitescripti.ukdw.ac.id terdapat bug yang telah teridentifikasi dan telahdiumukan melalui situs resminya. Informasi tersebut menjadi sangatpenting karena dapat menjadi celah keamanan bagi aplikasi website. 63

5.2. SaranBerdasarkan hasil penelitian Information Gathering yang diperoleh,adapun saran bagi pengelolaan website scripti.ukdw.ac.id :1. Melakukan upgrade versi PHP 5.4.45 yang saat ini masih digunakanuntuk mengantisipasi terjadi kerusakan di kemudian hari.2. Mengikuti update yang telah dilakukan oleh tim OWASP untukselanjutnya hasil penelitian tersebut dapat digunakan untuk mengujikeamanan sistem atau aplikasi yang dimiliki oleh universitas .WDKU3. Melakukan pengujian berkala terhadap sistem atau aplikasi yangdigunakan oleh pihak universitas, karena hanya dibutuhkan satu celahuntuk dapat merusak suatu sistem atau aplikasi. Keamanan sistem atauaplikasi merupakan proses yang harus terus dilakukan. 64

DAFTAR PUSTAKAHuang, Y.-W., Huang, S.-K.,Lin, T.-P., Tsai, Ch.-H. (2003) Web applicationsecurityassessment by fault injection and behavior monitoring. In:Proceedings of the 12th international conference on World Wide Web,May 20-24 (2003).Hutahaean, I.H. (2004). Program Bantu Pencarian Kerentanan Web ServerDengan Memanfaatkan Aplikasi Cgi. (Undergraduate thesis, Duta WacanaWDKUChristian University, 2004). Retrieved from http://sinta.ukdw.ac.idMullins, M. (2005). Choose the Best Penetration Testing Method for yourCompany. Diakses pada tanggal 24 September 2014, diambil dari mpany/5755555Nilasari, E.S. (2014). Studi Standar Keamanan Sistem Informasi Berdasarkan Iso1799. (Undergraduate thesis, Duta Wacana Christian University, 2014). Retrieved from http://sinta.ukdw.ac.idNovianto, W.P. (2011). Owasp Testing Guide Berbasis Web. (Undergraduatethesis, Duta Wacana Christian University, 2011). Retrieved fromhttp://sinta.ukdw.ac.idOWASP. (2014. OWASP Testing Guide 2014 V.4). [Versi eb:https://www.owasp.org.65

Shewmaker, J. (2008). Introduction to Penetration Testing [Versi eWeb:http://www.dts.ca.gov/pdf/news events/SANS InstituteIntroduction to Network Penetration Testing.pdf, accessed on Nov. 23,2011Su, Zh., Wassermann, G. (2006). The essence of command injection attacks inweb applications. In: ACM SIGPLAN Notices, vol. 41, no.1, pp. 372-382.Syafrizal, M. (2005). Pengantar Jaringan Komputer. ANDI offset,Yogyakarta.WDKUWiegenstein, A., Weidemann, F., Schumacher, M., Schinzel, S. (2006). WebApplication Vulnerability Scanners - a Benchmark. Virtual Forge GmbH. 66

OWASP TESTING GUIDE 2014 V4.0 STUDI KASUS WEBSITE . SCRIPTI. Oleh: TOAR LUKKI ROGI / 22084503 . Dipertahankan di depan Dewan Penguji Skripsi . Program Studi Teknik Informatika Fakultas Teknologi Informasi . Universitas Kristen Duta Wacana - Yogyakarta . Dan dinyatakan diterima untuk memen