PENGENALAN APLIKASI OWASP ZAP MAKALAH Makalah ini disusun untuk memenuhi salah satu tugas mata kuliah Keamanan Jaringan Komputer di Politeknik Negeri Lhokseumawe Oleh : Nama :NailusSakdah NIM :1657301089 PROGRAM STUDI TEKNIK INFORMATIKA JURUSAN TEKNOLOGI INFORMASI DAN KOMPUTER KEMENTRIAN RISET TEKNOLOGI DAN PENDIDIKAN TINGGI POLITEKNIK NEGERI LHOKSEUMAWE 2019 Kata Pengantar Puji syukur kami panjatkan kehadirat Allah SWT yang telah memberikan rahmat serta karunia-NYA kepada saya sehingga saya berhasil menyelesaikan Tugas Makalah ini dengan tepat waktunnya yang berjudul “ Pengenalan Aplikasi Owasp “. Makalah ini memuat tentang pentingnya keamanan web beserta sub – sub bagiannya. Keamanan website di ciptakan oleh programmer-programer handal untuk mengamankan setiap website. Karena dengan tanpa adanya pengamanan dalam website akan memberikan peluang besar kepada cracker untuk mencuri bahkan mencari kelemahan dalam website itu sehingga kemungkinan terjadinya kehilangan dokumen-dokumen yang penting tidak bisa dihindarkan lagi. Lebih tragisnya lagi apabila tanpa adanya keamanan yang terprogram bisa-bisa website itu dapat diblokir oleh cracker. Akhir kata penulis ucapkan terimakasih kepada semua pihak yang telah membantu dalam penyelesaian makalah ini. Kritik dan saran pembaca sangat penulis harapkan untuk penyempurnaan makalah ini dimasa mendatang. i ABSTRAKSI Makalah ini dibuat untuk memenuhi salah satu tugas PRAKTIKUM KEAMANAN JARINGAN KOMPUTER yang berjudul PENGENALAN APLIKASI OWASP. Isi dalam makalah ini membahas langkah – langkah untuk cara menggunnakan aplikasi owasp, dan makalah ini juga dibahas dimana letak kelemahan sebuah website dan menerangkan bagaimana mengurangi ruang gerak bagi cracker atau hacker di dunia maya. ii DAFTAR ISI ABSTRAKSI......................................................................................................................... ii DAFTAR ISI ........................................................................................................................ iii 1.1. Latar Belakang ...................................................................................................... 1 1.2. Tujuan ................................................................................................................... 1 BAB II PEMBAHASAN ........................................................................................................ 2 2.1. ZAP Scanner GUI ................................................................................................. 2 2.1.2. Empat Mode pada OWASP ZAP ..................................................................... 3 2.1.3. File yang Menginstuksikan Search Engine ...................................................... 5 2.1.4. Direktori Mengandung Banyak Gambar .......................................................... 5 2.1.5. Transport dan Cookie yang Tidak Aman ......................................................... 6 2.1.6. Cross – Site Scripting (CSS/XSS) ................................................................... 6 2.1.7. Website yang Diluar Jangkauan....................................................................... 7 2.1.8 Metode Permintaan HTTP................................................................................ 7 2.1.9. Fitur lainnya pada ZAP Scanner ....................................................................... 8 BAB III KESIMPULAN ...................................................................................................... 10 DAFTAR PUSTAKA ......................................................................................................... 11 iii BAB PENDAHULUAN 1.1. Latar Belakang OWASP Zed Attack Proxy (ZAP) adalah salah satu alat pengujian keamanan aplikasi web paling populer di dunia. Ini tersedia secara gratis sebagai proyek sumber terbuka, dan dikontribusikan dan dikelola oleh OWASP. Proyek Keamanan Aplikasi Web Terbuka (OWASP) adalah kelompok suka relawan non-profit vendor yang didedikasikan untuk membuat aplikasi web lebih aman. Alat OWASP ZAP dapat digunakan selama pengembangan aplikasi web oleh pengembang web atau oleh pakar keamanan berpengalaman selama tes penetrasi untuk menilai aplikasi web untuk kerentanan. OWASP Zed Attack Proxy adalah alat berbasis Java yang dilengkapi dengan antarmuka grafis intuitif, memungkinkan penguji keamanan aplikasi web untuk melakukan fuzzing, scripting, spidering, dan proksi untuk menyerang aplikasi web. Menjadi alat Java berarti dapat berjalan di sebagian besar sistem operasi yang mendukung Java. ZAP dapat ditemukan secara default dalam Sistem Operasi Pengujian Penetrasi Kali Linux, dan dijalankan pada OS yang memiliki Java yang diinstal. Proxy OWASP ZAP meminjam banyak dalam tampilan GUI dari alat pengujian keamanan Aplikasi Web Ringan Paros Proxy. 1.2. Tujuan Makalah ini dibuat untuk memenuhi tugas mata kuliah PRAKTIKUM KEAMANAN JARINGAN KOMPUTER. Selain itu agar para mahasiswa atau yang membaca makalah ini bisa tau akan pentingnya keamanan dalam website dengan baik. Serta sebagai wawasan pengetahuan perkembangan keamanan di dunia maya dan memberi pengetahuan baru bagi para pembaca, khususnya bagi penulis tentang pentingnya sebuah keamanan website. 1 BAB II PEMBAHASAN 2.1. ZAP Scanner GUI OWASP (Open Web Application Security Project) Zap. Zed Attack Proxy ( ZAP) adalah aplikasi untuk melakukan pentest untuk menemukan vulnerabilities dalam suatu web applications dengan cara mudah, ZAP menyediakan scanner automatis sebaik bila kita menggunakan tool untuk menemukan vulnerabilities secara manual. BAGIA N KANAN BAGIAN KIRI 1 2 BAGIAN BAWAH 3 Gambar 1. Tampilan OWASP ZAP Keterangan : Bagian kiri : Bagian kiri jendela ZAP menunjukkan tombol dropdown “Konteks” dan “Situs”. Kadangkadang, beberapa situs web dapat ditargetkan untuk pemindaian dan muncul di bawah dropdown “Situs”. Namun, situs web tertentu mungkin menarik. Dalam kasus khusus ini, harus ditentukan di bawah bagian "Konteks". Anggap ini sebagai ruang lingkup pengujian. Bagian Kanan: Di sini, disediakan bagian URL di mana kita harus menentukan target untuk pemindaian. Tombol "Serang" memulai serangan pada target dan tombol "Stop" menghentikan serangan. Seorang penguji keamanan mungkin tertarik secara manual menyelidiki situs web untuk kerentanan. ZAP memungkinkannya meluncurkan browser pilihan dengan URL yang dimuat untuk pengujian manual. Ini dapat dicapai dengan mengklik "Luncurkan Browser" di bawah URL. Masalah yang terdeteksi masih dicatat dan dikirim ke bagian bawah. 2 Bagian bawah: Bagian ini berisi enam tab yang sangat vital dalam menunjukkan aktivitas yang terjadi selama pemindaian kerentanan. Di bawah tab adalah bilah kemajuan yang menampilkan progres pemindaian, jumlah permintaan yang dikirim, dan memungkinkan untuk mengekspor detail dalam format CSV. Tab "History" menampilkan situs web yang sedang diuji. Dalam hal ini menguji hanya satu target, sehingga catatan riwayat akan menunjukkan satu entri. 2.1.1. Memulai Menggunakan OWASP ZAP Untuk memulai serangan di server web, cukup buka frame 2 dan klik Automated Scan. Dan masukkan URL server web yang ingin diserang seperti gambar 2 kemudian klik Attack. Gambar 2. Tampilan Automated Scan 2.1.2. Empat Mode pada OWASP ZAP Menjalankan standard Zap scanner bagaimanapun akan menghasilkan ‘noise’ terhadap webserver, noise disini dimaksudkan bahwa korban akan mengetahui bahwa seseorang sedang mescan web server mereka. Untuk memastikan hal itu, maka dari itu OWASP ZAP memiliki 4 mode yang berbeda. 3 Gambar 3. Mode pada OWASP ZAP Safe Mode: Adalah mode scan yang pasif dan tidak menghasilkan ‘noise’, yang mematikan semua fitur berbahasa ketika sedang discan. Protected Mode : Adalah mode scan yang hanya mescan webserver dengan jangkauan yang khas atau khusus saja. Pada mode ini mengurangi istilah ‘noise’. Standard Mode : Adalah mode scan yang mescan apa saja yang dianggap bersangkut paut atau relevan. Attack Mode: Adalah mode scan yang mescan secara aktif dalam jangkauan yang penuh. Termasuk kepada mode scan yang yang paling menghasilkan ‘noise’. Saya sangat merekomendasikan pengguna untuk menggunakan mode scan yang ‘protected mode’. Jika kamu ingin memaksimalkan jarak penglihatan web server, maka gunakanlah ‘standard mode’. Hanya mengingatkan kedua mode yaitu ‘safe mode’ dan ‘protected mode’ akan ditiadakan dalam fitur kedepan. Terdapat isitilah yang ada pada keamanan jaringan, yaitu : Spider crawling Fuzzing Force browsing Breaking Resending requests 4 2.1.3. File yang Menginstuksikan Search Engine Setelah memulai penyerangan terhadap web server, kamu akan mendapatkan pemberitahuan sebuah file text yang bernama robots.txt. File tersebut adalah untuk mengatakan pada search engine direktori mana atau file mana yang tidah harus didaftarkan. Gambar 4. File robots.txt 2.1.4. Direktori Mengandung Banyak Gambar Bisa diketahui setelah penyerangan banyak direktori yang mengandung banyak gambar. Gambar 5. Direktori yang mengandung banyak gambar 5 2.1.5. Transport dan Cookie yang Tidak Aman Setelah melihat pada tab peringatan untuk web server yang mudah diserang.Kita akan lihat pada sebuah Cookie NoHttpOnly Flag. Gambar 6. Alert Cookie NoHttpOnly Flag Tab "Alerts" memberikan detail lebih lanjut tentang masalah yang ditemukan pada target yang sedang dipindai. Masalah diurutkan berdasarkan tingkat keparahannya, dengan "Kritis" dianggap tertinggi pada indeks risiko dan diberi warna merah, "Tinggi" dengan risiko tinggi dan oranye berbayang, "Sedang" dengan risiko agak tinggi dan kuning berbayang, "Rendah" dari yang bisa menyebabkan risiko tinggi atau sedang, paparan informasi sensitif atau kompromi target, dan teduh biru.seperti yangterlihat pada gambar 6. Ada 8 masalah yang ditemukan 2.1.6. Cross – Site Scripting (CSS/XSS) Webserver yang diserang bisa diasumsikan mudah diserang menggunakan XSS.Dikarenakan tidak adanya keamanan dari XSS itu sendiri Gambar 7. Alert XSS 6 2.1.7. Website yang Diluar Jangkauan Istilah Spider crawls terkadang pada suatu website yang mana ditemukan tidak dalam jangkauan. Gambar 8. Website yang tidak dalam jangkauan Tab "Spider" menunjukkan file yang dirayapi (ditemukan) dalam aplikasi web. Spidering dapat disamakan dengan Fuzzing, di mana direktori dan file yang berada di situs web ditemukan dan dicatat untuk pemindaian kerentanan aktif selanjutnya.Spidering penting dalam menemukan titik masuk ke dalam aplikasi web dan tautan apa yang berada di luar jangkauan serangan. Bilah progres penting dalam menunjukkan kemajuan spidering juga. 2.1.8 Metode Permintaan HTTP Terdapat 2 tipe dari metode permintaan HTTP yaitu POST dan GET. Metode ini digunakan untuk mengirimkan informasi yang relevan terhadap webserverseperti username, password, halaman id, dan lain - lain. Perbedaan utama antara GET dan POST adalah : Get meminta sebuah URL penuh dengan informasi yang bisa diditandai dan bisa dieksekusi ulang nantinya. POST meminta sebuah URL tanpa informasi yang tidak bisa ditandai dan tidak bisa dieksekusi ulang nantinya.Contoh dari GET dan POST untuk mengirimkan halaman id : (GET) http://example.com/page.php?id=2 (POST) http://example.com/page.php Untuk kenyamanan penggunaan, Metode GET lebih baik dari pada metode POST. Bagaimanapun, dari sudut pandang keamanan, metode GET kurang aman daripada method POST, yang mana method post itu sendiri tidak akan pernah menyimpan parameter ke jejak browser atau log pada webserver. Metode GET bisa gunakan untuk 7 mengajukan data yang tidak sensitive seperti id halaman, yang mana pada method POST harus digunakan pada saat mengirimkan data yang sensitive seperti username dan password. 2.1.9. Fitur lainnya pada ZAP Scanner Kamu bisa mengoperasikan scan atau menyerang dengan detail lagi terhadap websiter tertentu. Klik kanan pada “Site” lalu pilih lah aksinya. Gambar 9. Fitur lain pada ZAP Scanner 8 Dalam hal lain, kamu juga bisa melakukan scan laporan penuh di format HTML yang sudah disuguhkam untuk masa yang akan dating, terkhususnya jika kamu adalah seorang pentester. Gambar 10. Laporan Penuh dalam Format HTML Gambar 11. Laporan Dalam Format .html Laporan tersebut berisi informasi penting, termasuk ringkasan peringatan yang diklasifikasikan menurut tingkat keparahannya, deskripsi masing-masing kerentanan, URL yang terpengaruh, metode yang digunakan untuk mendapatkan file yang terpengaruh, parameter yang dapat disuntikkan di mana muatan diterapkan, dan, akhirnya , muatan berbahaya. 9 BAB III KESIMPULAN OWASP Zed Attack Proxy (ZAP) adalah salah satu alat pengujian keamanan aplikasi web paling populer di dunia.bersadarkan uraian diatas dapat kita lihat bahawa dengan menggunakan alat ini kita dapat mengetahui kelemahan atau kerentanan dari situs web Alat ini menggabungkan kemampuan untuk melakukan pemindaian otomatis serta pentester untuk pengujian keamanan manual. 10 DAFTAR PUSTAKA https://www.embeddedhacker.com/2019/08/hacking-tutorial-rp-web-scanning/ https://resources.infosecinstitute.com/introduction-owasp-zap-web-application-securityassessments/#gref 11