Vulnerability Assessment pada Website


Vulnerability assessment, juga dikenal sebagai vulnerability analysis, adalah tindakan sadar yang bertujuan untuk mendefinisikan, mengidentifikasi, dan mengklasifikasikan kerentanan keamanan di komputer, jaringan, atau seluruh infrastruktur komunikasi. Selanjutnya, vulnerability assessment dapat digunakan untuk memperkirakan efektivitas tindakan pencegahan yang diusulkan dan mengevaluasi efektivitas aktualnya setelah diterapkan.

Kenapa Vulnerability Assessment penting?

Vulnerability assessment biasanya merupakan langkah pertama yang diambil untuk memperkuat Keamanan Informasi organisasi. Karena memberikan gambaran tentang pintu atau lubang terbuka di lanskap keamanan, penilaian kerentanan dapat menjadi titik awal dalam merasionalisasi strategi keamanan, kebijakan, dll. Pada akhirnya, data yang dikumpulkan dan dirasionalisasikan mendorong seluruh proses Manajemen Risiko.

  • Vulnerability assessment Penilaian biasanya dilakukan sesuai dengan langkah-langkah berikut:
  • Mendaftarkan aset dan kemampuan (sumber daya) dalam suatu sistem.
  • Menetapkan nilai terukur (atau setidaknya urutan tingkat) dan pentingnya sumber daya tersebut
  • Mengidentifikasi kerentanan atau potensi ancaman terhadap setiap sumber daya
  • Memitigasi atau menghilangkan kerentanan untuk sumber daya yang paling berharga

 

Jenis-Jenis Vulnerability Assessment

  • Network-based scans atau pemindaian berbasis jaringan merupakan penilaian keamanan untuk mengidentifikasi kemungkinan serangan pada keamanan jaringan.
  • Host-based scans atau pemindaian berbasis host dilakukan untuk menemukan dan mengidentifikasi kerentanan yang ada di server, workstations, atau host jaringan lainnya.
  • Wireless network scans digunakan untuk memindai jaringan WiFi perusahaan yang biasanya akan berfokus pada titik serangan di infrastruktur jaringan nirkabel.
  • Application scans atau pemindaian aplikasi digunakan untuk mengidentifikasi kerentanan keamanan dan konfigurasi yang salah dalam web application serta source code yang digunakan.
  • Database scans atau pemindaian database dilakukan untuk mengidentifikasi titik lemah dalam database. Pada database scans, database serta sistem big data akan dipindai untuk mengetahui kerentanan dan kesalahan konfigurasi, mengidentifikasi database berbahaya, serta mengklasifikasikan data sensitif untuk ditingkatkan keamanannya.

Praktik Vulnerability Assessment pada Website

Disini penulis melakukan vulnerabilty assessment pada sebuah website yang dimana website yang digunakan adalah website kampus dan dengan menggunkan 3 tool yaitu Nikto, Whois, dan Robtex serta menggunakan sistem operasi Kali Linux.

1. Nikto

Nikto adalah perangkat lunak Open Source yang ditulis dalam bahasa Perl yang digunakan untuk memindai server web dari kerentanan yang dapat dieksploitasi dan dapat membahayakan server. Itu juga dapat memeriksa detail versi lama dari 1200 server dan dapat mendeteksi masalah dengan detail versi spesifik lebih dari 200 server.

Hasil yang didapatkan dari Nikto untuk website siakad.um.ac.id adalah sebagai berikut:

Didapatkan bahwa website siakad.um.ac.id menggunakan server nginx dan website ini tidak terlihat adanya kerentanan. Berbeda dengan website polri.go.id seperti berikut:


Masih terdapat kerentanan pada Clickjacking attack dimana Clickjacking adalah serangan yang membodohi pengguna dengan berpikir bahwa mereka mengklik satu hal ketika mereka benar-benar mengklik yang lain.


2. Whois

WHOIS adalah protokol kueri dan respons yang banyak digunakan untuk membuat kueri basis data yang menyimpan pengguna terdaftar dari sumber daya Internet, seperti nama domain atau blok alamat IP, tetapi juga digunakan untuk berbagai informasi lain yang lebih luas.

Hasil yang didapatkan dari Whois untuk website siakad.um.ac.id adalah sebagai berikut:

Disini diketahui berbagai informasi dari website yang discan yaitu berupa IP address, nama website, alamat, penanggung jawab website serta email addressnya. 


3. Robtex.com

Robtex adalah jenis layanan yang digunakan untuk mengumpulkan informasi publik seperti router, nama host, nama domain, alamat IP, sistem otonom dan banyak lagi. Setelah itu, ia menggunakan database besar untuk mengindeks data dan kemudian menggunakannya agar kita dapat mengakses data dengan bebas.

Hasil yang didapatkan dari Robtex untuk website siakad.um.ac.id adalah sebagai berikut:


Dapat dilihat bahwa siakad.um.ac.id adalah sub domain dari um.ac.id dimana memiliki IP adalah 202.52.137.1 dan 202.52.137.2 dan nama servernya adalah kalingga.um.ac.id dan singosari.um.ac.id. 


Kesimpulan

Dari hasil yang didapatkan dari 3 tools diatas yaitu Nikto, Whois, dan Robtex dapat disimpulkan bahwa website siakad.um.ac.id memiliki tingkat keamanan yang tinggi. Seperti sudah dijelaskan dimuka bahwa VA adalah suatu bentuk kontrol preventif sebagaimana antivirus yang mencegah terjadi insiden terhadap sistem, maka tujuan VA sebenarnya adalah untuk meningkatkan kesadaran akan pentingnya keamanan informasi, yang seringkali menjadi prioritas kesekian dalam sebuah institusi. Dengan hasil pengukuran ini diharapkan Vulnerability Assessment untuk Meningkatkan Kesadaran Pentingnya Keamanan Informasi perusahaan dapat berbenah dan melaksanakan proses keamanan informasi dengan lebih baik.




Comments

Post a Comment

Popular posts from this blog

Akuisisi Bukti Digital

Image
  Apa itu akuisisi dalam forensik digital? Akuisisi data dalam forensik digital mencakup semua prosedur yang terlibat dalam pengumpulan bukti digital termasuk kloning dan penyalinan bukti dari sumber elektronik apa pun. Ini melibatkan pembuatan gambar forensik dari perangkat digital termasuk CD ROM, hard drive, hard drive yang dapat dilepas, smartphone, thumb drive, konsol game, server, dan teknologi komputer lainnya yang dapat menyimpan data elektronik. Dalam investigasi forensik digital, akuisisi data mungkin merupakan tahap yang paling kritis dan melibatkan rencana yang menuntut, menyeluruh, dan dibuat dengan baik untuk memperoleh bukti digital. Informasi menyeluruh harus disimpan dan dipelihara, serta semua ketentuan perangkat lunak dan perangkat keras, media komputer yang digunakan selama proses penyelidikan, dan bukti forensik sedang dipertimbangkan. Cara pengumpulan bukti forensik digital sangat penting. Bukti di bidang ini mudah berubah dan rapuh. Perlu dicatat bahwa karena pen
Read more

Analisa Anatomi Serangan IoT

Image
  Konsep "internet of things" (IoT) mengacu pada integrasi teknologi seperti sensor dan perangkat lunak ke dalam objek fisik dengan tujuan memungkinkan komunikasi, koneksi, dan pertukaran data antara objek tersebut dan perangkat lain yang terhubung. Internet of things (IoT) adalah salah satu teknologi paling serbaguna yang ada saat ini. Keberadaan internet di mana-mana, peningkatan kapasitas koneksi jaringan, dan keragaman perangkat yang terhubung membuat IoT dapat diskalakan dan mudah beradaptasi. Produksi makanan, manufaktur, keuangan, perawatan kesehatan, dan energi hanyalah beberapa industri yang telah direvolusi oleh IoT   khususnya melalui perluasannya, industrial internet of things (IIoT). Pada saat yang sama, itu juga mengarah pada realisasi smart home, building, dan city. Anatomi perangkat IoT Untuk memahami apa yang membuat perangkat IoT rentan terhadap serangan, ada baiknya melihat secara mendetail apa yang terjadi di baliknya. Perangkat IoT adalah perangkat tuju
Read more

Referensi Jurnal Project

     Pada kesempatan kali ini penulis ingin membagikan Literature Review tentang Network Forensics yang akan digunakan sebagai referensi untuk tugas akhir kegiatan Magang Merdeka Cybersecurity Analyst dengan mitra Kementerian Komunikasi dan Informatika. Berikut adalah literature reviewnya: No Judul Paper Utama Metode Penelitian Kesimpulan 1 ANALISIS SERANGAN ROUTER DENGAN SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) DAN IMPLIKASINYA PADA INDEKS KEAMANAN INFORMASI Citra Arfanudin, Bambang Sugiantoro, Yudi Prayudi Security Information And Event Management (SIEM) Penggunaan SIEM di Dinas Komunikasi dan Informatka Kota Tegal meningkatkan kemampuan Monitoring dan Audit semua aset di Lingkunagn Dinas Komunikasi dan Informatika Kota Tegal. 2 NETWORK FORENSICS UNTUK MENDETEKSI SERANGAN FLOODING PADA PERANGKAT INTERNET OF THINGS (IoT) RANDI RIZAL
Read more