Uploaded by User37188

Makalah

advertisement
PENGENALAN APLIKASI OWASP ZAP
MAKALAH
Makalah ini disusun untuk memenuhi salah satu tugas
mata kuliah Keamanan Jaringan Komputer
di Politeknik Negeri Lhokseumawe
Oleh :
Nama
:NailusSakdah
NIM
:1657301089
PROGRAM STUDI TEKNIK INFORMATIKA
JURUSAN TEKNOLOGI INFORMASI DAN KOMPUTER
KEMENTRIAN RISET TEKNOLOGI DAN PENDIDIKAN
TINGGI POLITEKNIK NEGERI LHOKSEUMAWE
2019
Kata Pengantar
Puji syukur kami panjatkan kehadirat Allah SWT yang telah memberikan
rahmat serta karunia-NYA kepada saya sehingga saya berhasil menyelesaikan
Tugas Makalah ini dengan tepat waktunnya yang berjudul “ Pengenalan Aplikasi
Owasp “.
Makalah ini memuat tentang pentingnya keamanan web beserta sub – sub
bagiannya. Keamanan website di ciptakan oleh programmer-programer handal
untuk mengamankan setiap website. Karena dengan tanpa adanya pengamanan
dalam website akan memberikan peluang besar kepada cracker untuk mencuri
bahkan mencari kelemahan dalam website itu sehingga kemungkinan terjadinya
kehilangan dokumen-dokumen yang penting tidak bisa dihindarkan lagi. Lebih
tragisnya lagi apabila tanpa adanya keamanan yang terprogram bisa-bisa website
itu dapat diblokir oleh cracker.
Akhir kata penulis ucapkan terimakasih kepada semua pihak yang telah
membantu dalam penyelesaian makalah ini. Kritik dan saran pembaca sangat
penulis harapkan untuk penyempurnaan makalah ini dimasa mendatang.
i
ABSTRAKSI
Makalah ini dibuat untuk memenuhi salah satu tugas PRAKTIKUM
KEAMANAN JARINGAN
KOMPUTER yang
berjudul
PENGENALAN
APLIKASI OWASP. Isi dalam makalah ini membahas langkah – langkah untuk cara
menggunnakan aplikasi owasp, dan makalah ini juga dibahas dimana letak kelemahan
sebuah website dan menerangkan bagaimana mengurangi ruang gerak bagi cracker atau
hacker di dunia maya.
ii
DAFTAR ISI
ABSTRAKSI......................................................................................................................... ii
DAFTAR ISI ........................................................................................................................ iii
1.1. Latar Belakang ...................................................................................................... 1
1.2. Tujuan ................................................................................................................... 1
BAB II PEMBAHASAN ........................................................................................................ 2
2.1. ZAP Scanner GUI ................................................................................................. 2
2.1.2. Empat Mode pada OWASP ZAP ..................................................................... 3
2.1.3. File yang Menginstuksikan Search Engine ...................................................... 5
2.1.4. Direktori Mengandung Banyak Gambar .......................................................... 5
2.1.5. Transport dan Cookie yang Tidak Aman ......................................................... 6
2.1.6. Cross – Site Scripting (CSS/XSS) ................................................................... 6
2.1.7. Website yang Diluar Jangkauan....................................................................... 7
2.1.8 Metode Permintaan HTTP................................................................................ 7
2.1.9. Fitur lainnya pada ZAP Scanner ....................................................................... 8
BAB III KESIMPULAN ...................................................................................................... 10
DAFTAR PUSTAKA ......................................................................................................... 11
iii
BAB
PENDAHULUAN
1.1. Latar Belakang
OWASP Zed Attack Proxy (ZAP) adalah salah satu alat pengujian keamanan aplikasi web
paling populer di dunia. Ini tersedia secara gratis sebagai proyek sumber terbuka, dan
dikontribusikan dan dikelola oleh OWASP. Proyek Keamanan Aplikasi Web Terbuka
(OWASP) adalah kelompok suka relawan non-profit vendor yang didedikasikan untuk
membuat aplikasi web lebih aman. Alat OWASP ZAP dapat digunakan selama
pengembangan aplikasi web oleh pengembang web atau oleh pakar keamanan
berpengalaman selama tes penetrasi untuk menilai aplikasi web untuk kerentanan. OWASP
Zed Attack Proxy adalah alat berbasis Java yang dilengkapi dengan antarmuka grafis
intuitif, memungkinkan penguji keamanan aplikasi web untuk melakukan fuzzing,
scripting, spidering, dan proksi untuk menyerang aplikasi web. Menjadi alat Java berarti
dapat berjalan di sebagian besar sistem operasi yang mendukung Java. ZAP dapat
ditemukan secara default dalam Sistem Operasi Pengujian Penetrasi Kali Linux, dan
dijalankan pada OS yang memiliki Java yang diinstal. Proxy OWASP ZAP meminjam
banyak dalam tampilan GUI dari alat pengujian keamanan Aplikasi Web Ringan Paros
Proxy.
1.2. Tujuan
Makalah ini dibuat untuk memenuhi tugas mata kuliah PRAKTIKUM
KEAMANAN JARINGAN KOMPUTER. Selain itu agar para mahasiswa atau
yang membaca makalah ini bisa tau akan pentingnya keamanan dalam website
dengan baik. Serta sebagai wawasan pengetahuan perkembangan keamanan di
dunia maya dan memberi pengetahuan baru bagi para pembaca, khususnya bagi
penulis tentang pentingnya sebuah keamanan website.
1
BAB II
PEMBAHASAN
2.1. ZAP Scanner GUI
OWASP (Open Web Application Security Project) Zap. Zed Attack Proxy (
ZAP) adalah aplikasi untuk melakukan pentest untuk menemukan vulnerabilities dalam
suatu web applications dengan cara mudah, ZAP menyediakan scanner automatis sebaik
bila kita menggunakan tool untuk menemukan vulnerabilities secara manual.
BAGIA
N
KANAN
BAGIAN
KIRI
1
2
BAGIAN
BAWAH
3
Gambar 1. Tampilan OWASP ZAP
Keterangan :
Bagian kiri :
Bagian kiri jendela ZAP menunjukkan tombol dropdown “Konteks” dan “Situs”. Kadangkadang, beberapa situs web dapat ditargetkan untuk pemindaian dan muncul di bawah dropdown
“Situs”. Namun, situs web tertentu mungkin menarik. Dalam kasus khusus ini, harus ditentukan
di bawah bagian "Konteks". Anggap ini sebagai ruang lingkup pengujian.
Bagian Kanan:
Di sini, disediakan bagian URL di mana kita harus menentukan target untuk pemindaian.
Tombol "Serang" memulai serangan pada target dan tombol "Stop" menghentikan serangan.
Seorang penguji keamanan mungkin tertarik secara manual menyelidiki situs web untuk
kerentanan. ZAP memungkinkannya meluncurkan browser pilihan dengan URL yang dimuat
untuk pengujian manual. Ini dapat dicapai dengan mengklik "Luncurkan Browser" di bawah
URL. Masalah yang terdeteksi masih dicatat dan dikirim ke bagian bawah.
2
Bagian bawah:
Bagian ini berisi enam tab yang sangat vital dalam menunjukkan aktivitas yang terjadi selama
pemindaian kerentanan. Di bawah tab adalah bilah kemajuan yang menampilkan progres
pemindaian, jumlah permintaan yang dikirim, dan memungkinkan untuk mengekspor detail
dalam format CSV. Tab "History" menampilkan situs web yang sedang diuji. Dalam hal ini
menguji hanya satu target, sehingga catatan riwayat akan menunjukkan satu entri.
2.1.1.
Memulai Menggunakan OWASP ZAP
Untuk memulai serangan di server web, cukup buka frame 2 dan klik Automated Scan. Dan
masukkan URL server web yang ingin diserang seperti gambar 2 kemudian klik Attack.
Gambar 2. Tampilan Automated Scan
2.1.2.
Empat Mode pada OWASP ZAP
Menjalankan standard Zap scanner bagaimanapun akan menghasilkan ‘noise’ terhadap
webserver, noise disini dimaksudkan bahwa korban akan mengetahui bahwa seseorang sedang
mescan web server mereka. Untuk memastikan hal itu, maka dari itu OWASP ZAP memiliki 4
mode yang berbeda.
3

Gambar 3. Mode pada OWASP ZAP
Safe Mode: Adalah mode scan yang pasif dan tidak menghasilkan ‘noise’, yang
mematikan semua fitur berbahasa ketika sedang discan.

Protected Mode : Adalah mode scan yang hanya mescan webserver dengan
jangkauan yang khas atau khusus saja. Pada mode ini mengurangi istilah ‘noise’.

Standard Mode : Adalah mode scan yang mescan apa saja yang dianggap
bersangkut paut atau relevan.

Attack Mode: Adalah mode scan yang mescan secara aktif dalam jangkauan
yang penuh. Termasuk kepada mode scan yang yang paling menghasilkan
‘noise’.
Saya sangat merekomendasikan pengguna untuk menggunakan mode scan yang
‘protected mode’. Jika kamu ingin memaksimalkan jarak penglihatan web server, maka
gunakanlah ‘standard mode’. Hanya mengingatkan kedua mode yaitu ‘safe mode’ dan
‘protected mode’ akan ditiadakan dalam fitur kedepan.
Terdapat isitilah yang ada pada keamanan jaringan, yaitu :

Spider crawling

Fuzzing

Force browsing

Breaking

Resending requests
4
2.1.3.
File yang Menginstuksikan Search Engine
Setelah memulai penyerangan terhadap web server, kamu akan mendapatkan pemberitahuan
sebuah file text yang bernama robots.txt. File tersebut adalah untuk mengatakan pada search
engine direktori mana atau file mana yang tidah harus didaftarkan.
Gambar 4. File robots.txt
2.1.4.
Direktori Mengandung Banyak Gambar
Bisa diketahui setelah penyerangan banyak direktori yang mengandung banyak gambar.
Gambar 5. Direktori yang mengandung banyak gambar
5
2.1.5.
Transport dan Cookie yang Tidak Aman
Setelah melihat pada tab peringatan untuk web server yang mudah diserang.Kita akan lihat
pada sebuah Cookie NoHttpOnly Flag.
Gambar 6. Alert Cookie NoHttpOnly Flag
Tab "Alerts" memberikan detail lebih lanjut tentang masalah yang ditemukan pada target yang
sedang dipindai. Masalah diurutkan berdasarkan tingkat keparahannya, dengan "Kritis" dianggap
tertinggi pada indeks risiko dan diberi warna merah, "Tinggi" dengan risiko tinggi dan oranye
berbayang, "Sedang" dengan risiko agak tinggi dan kuning berbayang, "Rendah" dari yang bisa
menyebabkan risiko tinggi atau sedang, paparan informasi sensitif atau kompromi target, dan
teduh biru.seperti yangterlihat pada gambar 6. Ada 8 masalah yang ditemukan
2.1.6.
Cross – Site Scripting (CSS/XSS)
Webserver
yang
diserang
bisa
diasumsikan
mudah
diserang
menggunakan
XSS.Dikarenakan tidak adanya keamanan dari XSS itu sendiri
Gambar 7. Alert XSS
6
2.1.7.
Website yang Diluar Jangkauan
Istilah Spider crawls terkadang pada suatu website yang mana ditemukan tidak dalam
jangkauan.
Gambar 8. Website yang tidak dalam jangkauan
Tab "Spider" menunjukkan file yang dirayapi (ditemukan) dalam aplikasi web. Spidering dapat
disamakan dengan Fuzzing, di mana direktori dan file yang berada di situs web ditemukan dan
dicatat untuk pemindaian kerentanan aktif selanjutnya.Spidering penting dalam menemukan titik
masuk ke dalam aplikasi web dan tautan apa yang berada di luar jangkauan serangan. Bilah
progres penting dalam menunjukkan kemajuan spidering juga.
2.1.8
Metode Permintaan HTTP
Terdapat 2 tipe dari metode permintaan HTTP yaitu POST dan GET. Metode ini
digunakan untuk mengirimkan informasi yang relevan terhadap webserverseperti
username, password, halaman id, dan lain - lain. Perbedaan utama antara GET dan POST
adalah :

Get meminta sebuah URL penuh dengan informasi yang bisa diditandai dan
bisa dieksekusi ulang nantinya.

POST meminta sebuah URL tanpa informasi yang tidak bisa ditandai dan
tidak bisa dieksekusi ulang nantinya.Contoh dari GET dan POST untuk
mengirimkan halaman id :

(GET) http://example.com/page.php?id=2

(POST) http://example.com/page.php
Untuk kenyamanan penggunaan, Metode GET lebih baik dari pada metode POST.
Bagaimanapun, dari sudut pandang keamanan, metode GET kurang aman daripada
method POST, yang mana method post itu sendiri tidak akan pernah menyimpan
parameter ke jejak browser atau log pada webserver. Metode GET bisa gunakan untuk
7
mengajukan data yang tidak sensitive seperti id halaman, yang mana pada method POST
harus digunakan pada saat mengirimkan data yang sensitive seperti username dan
password.
2.1.9. Fitur lainnya pada ZAP Scanner
Kamu bisa mengoperasikan scan atau menyerang dengan detail lagi terhadap websiter
tertentu. Klik kanan pada “Site” lalu pilih lah aksinya.
Gambar 9. Fitur lain pada ZAP Scanner
8
Dalam hal lain, kamu juga bisa melakukan scan laporan penuh di format HTML
yang sudah disuguhkam untuk masa yang akan dating, terkhususnya jika kamu adalah
seorang pentester.
Gambar 10. Laporan Penuh dalam Format HTML
Gambar 11. Laporan Dalam Format .html
Laporan tersebut berisi informasi penting, termasuk ringkasan peringatan yang diklasifikasikan
menurut tingkat keparahannya, deskripsi masing-masing kerentanan, URL yang terpengaruh,
metode yang digunakan untuk mendapatkan file yang terpengaruh, parameter yang dapat
disuntikkan di mana muatan diterapkan, dan, akhirnya , muatan berbahaya.
9
BAB III
KESIMPULAN
OWASP Zed Attack Proxy (ZAP) adalah salah satu alat pengujian keamanan aplikasi web paling
populer di dunia.bersadarkan uraian diatas dapat kita lihat bahawa dengan menggunakan alat ini
kita dapat mengetahui kelemahan atau kerentanan dari situs web Alat ini menggabungkan
kemampuan untuk melakukan pemindaian otomatis serta pentester untuk pengujian keamanan
manual.
10
DAFTAR PUSTAKA
https://www.embeddedhacker.com/2019/08/hacking-tutorial-rp-web-scanning/
https://resources.infosecinstitute.com/introduction-owasp-zap-web-application-securityassessments/#gref
11
Download