Pengujian perangkat lunak merupakan suatu tahapan penting dalam rekayasa perangkat lunak dengan salah satu pengujiannya ialah unsur non-fungsional dan salah satu aspeknya yaitu keamanan. Pengujian keamanan dilakukan dengan vulnerability scan tools, tetapi tanpa pemahaman yang jelas tentang cakupan dan tingkat kerentanan dari vulnerability scan tool sulit untuk menilai relevansi hasil yang diberikan sehingga pada artikel ini akan membahas analisis kinerja vulnerability scan tools dengan melakukan penetration testing sebagai pembuktian hasil yang dberikan.
Apa itu vulnerability
scan tools dan penetration testing?
Vulnerability scan tools
merupakan sebuah software alat bantu untuk menganalisis dan melaporkan
kerentanan keamanan dalam sistem komputer, jaringan, atau aplikasi. Alat
tersebut dapat membantu dalam menemukan sebuah kerentanan yang dapat dimanfaatkan
oleh orang tak bertanggung jawab untuk melakukan hal ilegal yang dapat
merugikan. Terdapat berbagai macam vulnerability scan tools diantaranya yang
populer ialah OWASP ZAP.
Penetration testing merupakan
proses mensimulasikan serangan oleh penguji untuk menilai keamanan suatu sistem
dengan melibatkan pengiriman data atau permintaan yang tidak valid atau
berbahaya ke sistem untuk melihat apakah dapat dieksploitasi. Penetration
testing dapat dianggap sebagai bentuk pengujian ketangguhan yaitu menguji
kemampuan sistem untuk menahan serangan, sehingga pengujian ini dapat membantu
mengidentifikasi kerentanan yang dapat dieksploitasi oleh penyerang dan dapat
diperbaiki sebelum serangan terjadi.
Metode Menganalisis
Performa Vulnerability Scan Tools
Dalam melakukan analisis
performa vulnerability scan tools dibagi menjadi 3 tahapan besar sebagai
berikut.
1. Tahap
Persiapan
Pada tahap pertama ini dilakukan
penggalian kebutuhan alat pengujian yang akan digunakan yaitu Owasp Zap,
kemudian dilanjutkan dengan persiapan pengujian yaitu memasang alat dan membuat
prosedur pelaksanaan.
2. Tahap
Eksekusi
Tahap kedua yaitu mulai melakukan
pengujian keamanan dengan vulnerability scan tools yaitu Owasp Zap dan setelah
mendapatkan hasil laporan dilanjutkan melakukan penetration testing dengan 5
kerentanan yaitu SQL Injection, XSS, CSRF Command Injection dan Directory
Traversal.
3. Tahap
Evaluasi
Kemudian pada tahap terakhir ini dilakukan
perbandingan antara hasil vulnerability scan tools Owasp Zap dengan penetration
tesing dan dilakukan analisis performas dari vulnerability scan tools.
Hasil Penelitian
Owasp Zap memberikan
laporan kerentanan yang berjumlah 16 laporan, dan dari laporan tersebut
diantaranya Owasp Zap tidak melaporkan adanya kerentanan SQL Injection, Command
Injection dan Directory Traversal. Tetapi Owasp Zap melaporkan tiga penyebab
terjadinya XSS dua penyebab terjadinya CSRF. Kemudian pada penetration testing
memberikan hasil bahwa tidak adanya kerentanan kerentanan SQL Injection, Command
Injection dan Directory Traversal. Teatapi memberikan hasil bahwa terdapat tiga
penyebab yang dapat menjadi penyebab XSS dan memberikan hasil bahwa adanya
kerentnan CSRF dengan dua jenis.
Kesimpulan
Owasp Zap memberikan hasil laporan kerentanan yang sangat baik karena memiliki kesesuaian hasil dari penetration testing dengan 5 kerentanan yang benar-benar tepat dalam mendeteksi kerentanan. Sehingga dari hasil tersebut Owasp Zap memberikan hasil yang sangat baik dan sesuai dengan penetration testing.
"Penelitian dilakukan oleh Achmad Muhaimin Irzan Mahasiswa UNUSA, Fakultas Ekonomi Bisnis dan Teknologi Digital, Prodi Sistem Informasi"
No comments:
Post a Comment