AUDIT SISTEM KEAMANAN SERVER WEB SESUAI STANDAR PERMENKOMINFO TENTANG

KEAMANAN SERVER WEB PEMERINTAHAN

(Studi Kasus Situs Resmi Pemerintah Daerah Kabupaten Kotawaringin Timur http://beta.kotimkab.go.id)
Andy Ismail, S.Kom
Fakultas Ilmu Komputer, Universitas Darwan Ali
andy@unda.ac.id

ABSTRAK
Saat ini, internet sudah merupakan suatu kebutuhan bagi sebagian besar masyarakat. Bersumber dari internet inilah
berbagai kemudahan akan sebuah informasi bisa didapatkan. teknologi internet kemudian dimanfaatkan dalam berbagai
bidang salah satunya dalam pemerintahan. Hampir seluruh Pemerintah Daerah di Indonesia saat ini telah memiliki situs
web resmi Pemerintah Daerah, misalnya web site Pemerintah Daerah Kabupaten Kotawaringin Timur bisa diakses
melalui alamat beta.kotimkab.go.id. Agar web site Pemerintah Daerah bisa menjadi media informasi yang yang efektif,
tentunya segala sesuatu yang berkaitan dengan kelangsungan hidup sebuah situs web harus dipenuhi, bukan hanya
menghabiskan biaya setiap tahun untuk membayar sewa ISP dan web hosting sedangkan pengelolaanya diabaikan.
Sebuah web tentunya harus dikelola sehingga mampu untuk memenuhi tuntutan terhadap perubahan-perubahan yang
harus dilakukan, baik dari segi isi dari web site tersebut maupun keamanannya. Oleh sebab itu audit keamanan untuk
server web beserta aplikasi didalamnya khususnya pada sebuah server web Pemerintah Daerah sangat diperlukan,
berhubung saat ini situs web adalah bagian dari identitas dan kredibiltas Teknologi yang dimiliki oleh Daerah tersebut.
Adapun audit yang dilakukan berlandaskan standar keamanan server web yang di tetapkan dalam peraturan
Kementerian Komunikasi dan Informatika Republik Indonesia dengan menggunakan teknik one-way webhacking, yaitu
suatu teknik yang mengandalkan pada lalu lintas HTTP untuk menyerang dan menembus web server dan aplikasi server.
Teknik ini diformulasikan untuk menunjukkan bahwa memiliki firewall ketat atau SSL tidak terlalu penting ketika datang
ke serangan aplikasi web. Premis one-way adalah bahwa hanya permintaan HTTP yang valid yang diijinkan dan hanya
merespon HTTP yang diperbolehkan keluar dari firewall. Tahapan yang dilakukan yaitu melakukan penyamaran
identitas, pengintaian untuk mengumpulkan data, kemudian mencari kemungkinan kelemahan dan memetakan
kelemahan yang ada.
Dari hasil penelitian yang telah dilakukan diperoleh kesimpulan hasil audit keamanan server web dan aplikasi
didalamnya membutuhkan perawatan dan penanganan khusus terutama di bagian-bagian yang memiliki kelemahan
keamanan, sehingga pengembangan situs web dan layanan internet didalamnya menjadi sesuai dengan standar peraturan
keamanan server web oleh kementerian komunikasi dan informatika dan menjadikan server web lebih aman dari
gangguan perentas di dunia maya.

Kata Kunci : audit server web, Hacking Web, dan Teknik One-Way Web Hacking.

ABSTRACT
Currently, the Internet is a necessity for most people. Based from the internet will ease a variety of information that
can be obtained. Internet technology utilized in various fields, one of them is in the government. Almost all local
governments in Indonesia now has an official website, for example the web site of East Kotawaringin District
Government can be accessed through the address beta.kotimkab.go.id. For Local Government web site can be an
effective medium of information, of course all things related to the survival of a website must be achieved, not only cost
each year to pay ISP and Web hosting while its maintenance is ignored. A web should be managed so as to to meet the
demands of the changes that must be done, both in terms of the content of the web site as well as security. Therefore,
security audits for web servers and applications in it, especially on a local government web server is needed, since the
current web site is part of the identity and credibility of Technology is owned by the Region.
The audits are conducted based on web server security standards defined in the regulations in the Ministry of
Communication and Information of the Republic Indonesia by using one-way webhacking, is a technique which relies
purely on HTTP traffic to attack and penetrate web servers and application servers. This technique was formulated to
demonstrate that having tight firewalls or SSL does not really matter when it comes to web application attacks. The
premise of the one-way technique is that only valid HTTP requests are allowed in and only valid HTTP responses are
allowed out of the firewall. Steps being taken is to do undercover identity, reconnaissance to gather data, then look for
possible weaknesses and map out the existing weaknesses.
From the results of research conducted, concludes the audit security in web servers and applications require special
care and handling, especially on the section that has a security weakness, so that the website development and internet
services in it in accordance with standard web server security regulations by the ministry of communication and
informatics and make the web server more secure from tampering by hackers in cyberspace.

Key Word : Web Server Audit, Web Hacking, and One-Way Web Hacking Technique.
1. PENDAHULUAN
Situs web didalam server web merupakan
salah satu sistem informasi yang digunakan sebagai
media informasi yang yang efektif . Beberapa fungsi
dan manfaat dari adanya website atau situs remi
Pemerintah Daerah ini, antara lain :
a. Memperkenalkan dan mempromosikan kelebihan
yang ada baik sumber daya alam maupun produk hasil
bumi suatu daerah tertentu, agar dapat diketahui secara
luas baik dalam skala nasional maupun internasional
karena dapat diakses oleh siapapun melalui internet,
agar dapat menarik minat investor dalam negeri atau
investor asing menanamkan modal di wilayah
Pemerintah Daerah.
b. Memperlihatkan secara nyata kegiatan atau aktivitas
yang dilakukan oleh Pemerintah Daerah dalam
melaksanakan urusan pemerintahan kepada masyarakat
umum secara luas.
c. Tersedianya sarana interaksi langsung antara
Pemerintah Daerah dan masyarakat, baik dalam
wilayah Pemerintah Daerah maupun diluar wilayah
Pemerintah Daerah, terutama para perantau dari daerah
asal yang ingin memperoleh informasi secara langsung
akan perkembangan pembangunan di daerah asalnya
dengan tersedianya konten berita ( News ) dan forum.
d. Memberitakan produk-produk hukum yang
dikeluarkan oleh Pemerintah Daerah dalam bentuk
Peraturan Daerah ( Perda ) yang dapat dilihat oleh
masyarakat umum.
e. Menjadi indikator dan barometer bagi pembangunan
daerah dari suatu Pemerintah Daerah tertentu dengan
Pemerintah Daerah lainnya, sehingga tiap daerah
terpacu untuk membangun wilayah daerahnya masing-
masing, dan memperluas wawasan Pemerintah Daerah
akan informasi-informasi baru dari daerah lainnya.
Dari beberapa fungsi di atas, dapat diketahui
bahwa informasi yang cepat dan tepat mempengaruhi
perkembangan suatu daerah dalam skala regional,
nasional maupun internasional.
Namun website tidak bisa terlepas dari segi
keamanan. Tetapi kebanyakan para pengelola hanya
mengutamakan tampilan dan topik apa yang harus
disediakan supaya menarik pengunjung sebanyak-
banyaknya. Padahal jika seorang pengelola
mengabaikan keamanan suatu situs web, maka yang
dirugikan adalah pengelola itu sendiri serta institusi
pemilik dari situs web tersebut.
Keamanan suatu situs web atau web security
systems merupakan salah satu prioritas yang sangat
utama bagi seorang pengelola web. Jika pengelola web
mengabaikan keamanan suatu situs web, maka hacker
dapat mengambil data-data penting pada suatu situs
web dan bahkan pula dapat merusak data yang ada.
Beberapa faktor timbulnya serangan :
a. Scripting
Kesalahan dalam scripting pembuatan web
adalah hal terbanyak yang dimanfaatkan oleh para
attacker, sehingga rata-rata web yang berhasil diserang
melalui lubang ini. Kelemahan-kelemahan scripting
yang ditemukan pada proses vulnerabilities scanning
misalnya, XSS, SQL Injection, PHP Injection, HTML
Injection, dan lain sebagainya. Begitu pula pada CMS
semisal Mambo, Joomla, WordPress, dan lainnya. CMS
tersebut memiliki banyak komponen pendukung di
internet yang bisa kita download, install dan
konfigurasi. Sehingga sangat memungkinkan sekali
terdapat bug pada scriptingnya. Langkah terbaik
tentunya melakukan pembedahan terhadap script serta
melakukan pengujian sebelum komponen tersebut kita
gunakan pada web yang sebenarnya.
b. Lubang pada Situs Tetangga
Ini merupakan salah satu faktor yang jarang
mendapat perhatian. Sebagian webmaster kadang tidak
begitu peduli ketika web lain yang satu hosting direntas.
Mereka berpikiran, “Ah, bukan web saya yang kena.”
Padahal justru di sinilah letak kesalahannya. Logikanya,
misal web ditempatkan pada perusahaan hosting A. itu
artinya web bertetangga dengan web milik orang lain
yang berada dalam 1 hosting. Jika web tetangga
tersebut memiliki celah fatal, sehingga penyerang bisa
menanam program yang dijadikan backdoor. Dengan
backdoor inilah penyerang bisa masuk ke dalam web
lainnya. Bukan itu saja, tidak mustahil attacker
melakukan perusakan massal.
c. Tempat Hosting yang Bermasalah
Pada beberapa kasus justru tempat hosting
yang bermasalah menjadi sebab direntasnya banyak
situs yang berada di bawah pengelolaannya.
Kenyataannya, justru web hosting itu yang tidak pernah
di administrasi dengan baik, jarang diupdate, dan jarang
di patch, sehingga mudah terkena serangan. Dengan
model pengelolaan yang seperti ini jangan berharap
web akan aman. Karena itu, pastikan tempat hosting
yang digunakan benar-benar memperhatikan tingkat
keamanan bagi pelanggannya.
Adapun standar dan ketentuan pengamanan
server web milik pemerintahan baik pemerintah pusat
maupun pemerintah daerah telah di tetapkan dalam
sebuah Peraturan yang ditetapkan oleh Kementerian
Komunikasi dan Informatika sebagai berikut :
PERTAMA: Bahwa dalam rangka melindungi HAM
tersebut dan melayani publik, maka situs pemerintah
haruslah dihargai dan diberikan perlindungan,
khususnya terhadap otentisitas, keutuhan, dan
ketersediaan Informasi demi kepentingan publik itu
sendiri, sehingga diperlukanlah upaya untuk melindungi
situs pemerintah dari segala tindakan tersebut.
KEDUA: Bahwa keamanan atas situs pemerintah
haruslah terjaga dengan baik demi akuntabilitas dan
kepercayaan publik terhadap substansi informasi yang
disediakan, dan telah menimbulkan permasalahan yang
serius jika tampilan situs dirusak, layanan publik
terhenti dan informasi yang bersifat sensitif jatuh
ketangan pihak yang salah.
KETIGA: Sistem Informasi berikut sistem keamanan
yang baik adalah sistem yang dapat memberikan
kejelasan informasi bagi penyelenggara dan pengguna,
tidak membuat ketergantungan terhadap penggunaan
jenis teknologi tertentu, serta dapat memberikan
kemandirian bagi penyelenggara negara untuk
mengembangkan sendiri lebih lanjut sistem tersebut
sesuai dengan perkembangan organisasi penyelenggara
negara dari waktu ke waktu;
KEEMPAT: Keamanan terhadap situs informasi dan
web-server harus dirumuskan dalam satu kebijakan
internal dalam setiap instansi pemerintah yang memuat
kejelasan proses pengembangan dan
pengimplementasian sistem informasi yang mencakup
kejelasan rancangan dan penerapan serta
pengoperasiannya serta telah memperhitungkan insiden
ataupun kejadian-kejadian tak tentu yang tidak
dikehendaki.
KELIMA: Untuk penyelenggaraan yang baik maka
Penyelenggara Negara yang bertanggung jawab
terhadap Penyelenggaraan Informasi (Chief Information
Officer) yang berkewajiban menyelenggarakan
keterbukaan informasi publik mempunyai kewajiban
kehatian-hatian (duty of care) terhadap penyediaan atau
penyajian informasi kepada publik. Tim pengelola situs
pemerintah (Web management teams) harus
berkonsultasi dengan instansi yang terkait dalam
menentukan kebijakan keamanannya.
KEENAM: Jika situs resmi pemerintah dikelola oleh
pihak ketiga (Internet Service Provider (ISP)/hosting
service), Penyelenggara Negara harus menjalankan
Sistem Manajemen Keamanan Informasi dan mengikat
secara kontraktual pihak ketiga dan menyediakan
pengamanan terhadap webserver serta infrastruktur
terkait sesuai dengan tingkat yang ditentukan. Standar
umum tentang sistem keamanan untuk situs non
pemerintah pada umumnya (contoh antara lain
kelompok ISO 27000 atau yang setara) dapat digunakan
sebagai acuan untuk pengembangan dan pengelolaan
untuk situs pemerintah.
Dengan landasan peraturan tersebut maka
auditing dilakukan demi memenuhi setiap aspek standar
yang sudah ditentukan.
Karena situs web Kotawaringin Timur dalam
proses pengembangan (baru meluncurkan situs versi
beta dengan alamat beta.kotimkab.go.id) mendorong
peneliti melakukan audit khususnya diaspek-aspek
keamanan server web sesuai standar keamanan server
web yang sudah ditetapkan oleh aturan menteri yang
masih berlaku.
2. DASAR TEORI
2.1 Web Hacking
2.1.1 Pendahuluan
Situs web dimiliki oleh sebagian besar
Pemerintah daerah di Indonesia dengan aturan standar
keamanan pada web servernya yang telah diatur dalam
peraturan Menteri Komunikasi dan Informatika.
Standar tersebut selayaknya dipenuhi oleh pengembang
server web yang didalamnya terdapat situs web dan
aplikasi pendukungnya. Untuk itu audit dilakukan
dengam menggunakan beberapa metode yang terdapat
dalam teknik one-way web hacking.
Istilah Hacking dalam web hacking
mengandung pengertian aktivitas penyusupan ke dalam
sebuah sistem komputer ataupun jaringan dengan tujuan
untuk menyalahgunakan ataupun merusak sistem yang
ada, Zackary [Basic of Hacking]. Definisi dari kata
“menyalahgunakan” memiliki arti yang sangat luas, dan
dapat diartikan sebagai pencurian data rahasia, serta
penggunaan e-mail yang tidak semestinya seperti
spamming ataupun mencari celah jaringan yang
memungkinkan untuk dimasuki.
2.1.2 Pengertian
Audit atau pemeriksaan dalam arti luas
bermakna evaluasi terhadap suatu organisasi, sistem,
proses, atau produk. Audit dilaksanakan oleh pihak
yang kompeten, objektif, dan tidak memihak, yang
disebut auditor. Tujuannya adalah untuk melakukan
verifikasi bahwa subjek dari audit telah diselesaikan
atau berjalan sesuai dengan standar, regulasi, dan
praktik yang telah disetujui dan diterima (Wikipedia,
2011).
2.1.3 Tahapan Audit Server Web
1. Melakukan penyamaran identitas Internet
Protocol / IP Spoofing, sebab web server
biasanya memiliki aplikasi pendeteksi
kegiatan dan perilaku hacking yang
dianggap berbahaya bagi server, dan
secara otomatis melakukan pemblokiran
atas Internet Protocol / IP pengakses.
2. Web Application discovery, melakukan
pencarian data aplikasi yang tertanam
didalam server web untuk dipelajari titik
lemah dari tiap-tiap aplikasi yang dimiliki
server web kemudian memetakannya.
3. Memberi saran solusi perbaikan dari
kelemahan yang telah ditemukan.
2.1.4 Aspek Audit Server Web
Aspek-aspek yang dianalisis meliputi:
1. Site Structure, adalah pemetaan struktur
situs web yang terdapat di server web,
seperti susunan folder dan file yang ada
didalamnya.
2. Port Scan, adalah pemetaan Port yang
terbuka pada server web.
3. Network Alerts, adalah pemetaan celah
keamanan pada jaringan keluar masuk
data pada server web.
4. Web Alerts, adalah pemetaan
kemungkinan celah keamanan yang ada
pada aplikasi web di server web.
5. Knowledge Base, adalah pemetaan
service yang sedang berjalan pada server
web.
2.2 Web
2.2.1 Definisi Web
World Wide Web atau “Web” adalah sebuah
system dari keterhubungan, dokumen hypertext yang
berjalan dalam internet. Dengan browser web, seorang
pengguna melihat halaman-halaman web yang berisi
teks, gambar, dan multimedia; dan menghubungkan
anatara mereka menggunakan hyperlink.
World Wide Web adalah kombinasi dari empat hal
dasar:
 1. Hypertext.
2. Resource Indentifers.
3. Model Client-Server.
4. Markup Language.
Dalam World Wide Web, aplikasi client
menerima informasi, seperti halaman Web atau file
komputer lainnya, dari web server menggunakan URL.
Jika aplikasi client tersebut adalah browser web, maka
ia akan menampilkan informasi tersebut pada komputer
pengguna. Pengguna kemudian dapat menggunakan
hyperlink dalam tiap halaman web untuk navigasi ke
informasi dalam web lainnya. (Wikipedia, 2008)
2.3 Software yang Digunakan Dalam Audit
Server Web
Dalam audit server web ini, digunakan
undaOS sebagai Operating System dengan aplikasi
penunjang yaitu nmap.
2.3.1 Linux undaOS
undaOS Sistem Operasi berbasis Open Source
Linux yang dikembangkan oleh Team Pengembang
Sistem Universitas Darwan Ali, yang dikembangkan
dari Linux Ubuntu dan Linux Backtrak. undaOS
dikembangkan untuk tujuan kemudahan bermigrasi
dari Sistem Operasi Windows dan juga memiliki
kelebihan dibidang keamanannya terutama dalam
memenuhi keamanan bertransaksi e-commerce dan e-
banking.
2.3.2 Nmap
Nmap (Network Mapper) adalah scanner
keamanan yang aslinya ditulis oleh Gordon Lyon (juga
dikenal dengan nama samaran Fyodor Vaskovich)
digunakan untuk menemukan host dan service di
jaringan komputer, sehingga menciptakan peta jaringan
(Wikipedia, 2011).
2.3.3 Mozilla Firefox Web Browser
Mozilla Firefox (aslinya bernama Phoenix dan
kemudian untuk sesaat dikenal sebagai Mozilla
Firebird) adalah penjelajah web antar-platform gratis
yang dikembangkan oleh Yayasan Mozilla dan ratusan
sukarelawan. Versi 3.0 dirilis pada 17 Juni 2008
(Wikipedia, 2011).
2.4 Server Web
Server web adalah sebuah perangkat lunak
server yang berfungsi menerima permintaan HTTP atau
HTTPS dari klien yang dikenal dengan browser web
dan mengirimkan kembali hasilnya dalam bentuk
halaman-halaman web yang umumnya berbentuk
dokumen HTML. Server web yang terkenal diantaranya
adalah Apache dan Microsoft Internet Information
Service (IIS). Apache merupakan server web antar-
platform, sedangkan IIS hanya dapat beroperasi di
sistem operasi Windows.
Server web juga dapat berarti komputer yang
berfungsi seperti definisi di atas (Wikipedia, 2011).
2.4.1 Komponen Server Web
Ada empat komponen dalam sistem aplikasi
web, yaitu klien yang biasanya web browser, web front-
end server, aplikasi server dan untuk sebagian besar
aplikasi, database server. Diagram berikut
memperlihatkan bagaimana komponen bekerja.
Gambar 2.1 Komponen Server Web
Aplikasi server web memiliki semua aplikasi,
yang dapat berupa script, tools atau file binary. Web
server front-end bertindak sebagai antarmuka aplikasi
ke dunia luar, menerima masukan dari klien web
melalui form HTML dan HTTP, dan memberikan
output yang dihasilkan oleh aplikasi dalam bentuk
halaman HTML. Secara internal, aplikasi antarmuka
dengan database server back-end untuk melakukan
transaksi. Firewall diasumsikan dikonfigurasi ketat,
sehingga apa yang masuk dan keluar dimonitor dan
dibatasi.
3. PERENCANAAN AUDIT SERVER WEB
Perencanaan merupakan suatu sketsa langkah-
langkah awal yang akan dilakukan dalam melakukan
kegiatan audit server web.
3.1 Identifikasi
3.1.1 Identifikasi Kebutuhan Fungsional
Untuk mengetahui kebutuhan fungsi apa saja
yang harus ada saat melakukan kegiatan audit server
web, diperoleh spesifikasi fungsi sebagai berikut :
1. Akses internet dengan kecepatan
broadband 512kbps. Pada dasarnya
semakin cepat akses internet yang dimiliki,
semakin cepat pula audit diselesaikan.
2. Proxy, dengan Koneksi Proxy digunakan
untuk mengganti Internet Protocol / IP
sebagai cara untuk menyamarkan identitas
diri saat melakukan analisa celah keamanan
server web. adapun proxy adalah adalah
sebuah [peladen [(komputasi)peladen]]
(sistem komputer atau aplikasi) yang
bertindak sebagai perantara permintaan dari
klien mencari sumber daya dari server lain.
Klien A terhubung ke peladen perantara,
meminta beberapa servis, seperti berkas,
koneksi, halaman web, atau sumber daya
lainnya, yang tersedia dari peladen yang
berbeda (Wikipedia, 2011).
Gambar 3.1 Kerja Proxy
3.1.2 Indentifikasi Kebutuhan Aplikasi
Identifikasi kebutuhan aplikasi dilakukan
untuk mengetahui konten dan media yang digunakan
dalam audit server web.
1. Indentifikasi Analisa Keamanan Server Web
Berbagai macam cara untuk menganalisa
server web dan aplikasi didalamnya sehingga
dalam penelitian ini menggunakan beberapa
analisa tersebut, yaitu:
a. Pada aspek Site Stucture, analisa yang
dilakukan adalah analisa Web Scanning
yaitu pada lingkungan aplikasi Web
yang ada pada server web. Terbagi
menjadi dua bagian, yaitu :
- Crawling, adalah teknik menganalisa
struktur folder dan file yang tersedia di
aplikasi web.
- Scanning, adalah teknik menganalisa
folder dan file yang ada kemudian
mencari kelemahan keamanan didalam
sourcecode.
b. Pada aspek Port Scan, analisa yang
dilakukan yakni analisa memetakan
Port yang terbuka pada server web.
c. Pada Aspek Network Alert, analisa yang
dilakukan yakni mencatat kelemahan
jaringan yang terhubung ke server web.
d. Target Finding, adalah sebuah
penelusur port yang memungkinkan
Anda untuk mencari server web (port
80, 443) dalam rentang alamat IP
tertentu. Jika web server ditemukan,
pemindai juga akan menampilkan
header respon server dan perangkat
lunak server.
e. Sub Domain Scanning, Menggunakan
berbagai teknik dan menebak-nebak
nama sub domain umum, Sub domain
scanner memungkinkan identifikasi
yang cepat dan mudah ke sub domain
aktif.
f. Blind SQL Injection, Ideal untuk
penguji penetrasi, Blind SQL injection
adalah sebuah teknik ekstraksi basis
data bertujuan untuk menganalisis lebih
lanjut dan melaporkan kemungkinan
kelemahan injeksi SQL. bekerja dengan
cara menghitung database, tabel, data
dump dan juga membaca file tertentu
pada sistem file dari web server jika
eksploitasi SQL injection ditemukan.
g. HTTP Editing, memungkinkan untuk
membuat permintaan HTTP dan
melakukan debug HTTP baik
permintaan dan tanggapan. Ini juga
mencakup sebuah encoding dan
decoding alat untuk encode / decode
teks dan URL untuk hash MD5, UTF-7
format dan banyak format lainnya.
h. HTTP Fuzzy, Dengan HTTP Fuzzy
dapat meluncurkan serangkaian tes
fuzzy, untuk menguji aplikasi web
dalam menangani data acak, tidak valid
dan tak terduga. Sebuah contoh akan
menjadi URL berikut:
http://www.test.com/berita.php?idberita=1
Menggunakan HTTP Fuzzy dapat membuat
aturan yang secara otomatis akan
mengganti bagian terakhir dari URL '1
'dengan angka antara 1 dan 999. Hanya
hasil yang valid akan dilaporkan. Tingkat
otomatisasi ini memungkinkan untuk
dengan cepat menguji hasil dari 1000 query
tanpa harus melakukan satu per satu.
i. Authentication Tester, adalah melakukan
dictionary attack terhadap halaman login
yang menggunakan kedua HTTP (NTLM
v1, v2 NTLM, digest) atau bentuk
berdasarkan otentikasi. Biasa
menggunakan dua file teks standar (kamus)
yang berisi daftar nama pengguna umum
dan password. Dapat pula menambahkan
sendiri kombinasi untuk file-file teks.
2. Identifikasi Kebutuhan Hardware
Kebutuhan hardware yang dicantumkan sesuai
dengan hardware yang digunakan peneliti
dalam melakukan penelitian ini, yaitu :
a. Perangkat Laptop AXIOO NEON
MNW dengan spesifikasi Processor
Core2Duo 2 GHz, Memory 2GHz, VGA
SIS Mirage 3 128Mb
b. Modem Broadband TPLINK untuk
Sambungan Internet Broadband Telkom
Speedy.
4. MEMULAI ANALISA SERVER WEB
Analisa dilakukan secara langsung melalui
internet (online realtime) dimulai pada tanggal 7 April
2011 jam 21:45:00 dan diselesaikan tanggal 8 April
2011 jam 08:55:25, selama 11 jam 10 menit. Karena
status situs pemkab saat penelitian berlangsung masih
dalam status pengembangan (beta), maka bisa terjadi
hasil pemetaan celah keamanan bisa berubah-ubah dan
menyebabkan hasil penelitian menjadi tidak valid lagi
dalam waktu tertentu.
4.1 Penyamaran Identitas
Untuk menyamarkan identitas dalam
melakukan audit server web, diperlukan penggantian
Internet Protocol/IP yang dimiliki dengan mengganti IP
milik proxy. berikut penerapannya menurut
http://wazem.blogspot.com/2008/01/how-to-change-
gnome-proxy-settings-on.html:
a. Cek IP sebenarnya dapat dilakukan dengan
cara mengakses situs http://ip-adress.com
terlihat IP sebenarnya milik klien adalah
beserta ISP asal IP
Gambar 4.1 IP klien sebenarnya
b. Pada Network Proxy Ubah IP dengan IP
milik Proxy
 250-server42307.masterweb.net
f. SMTP server running A SMTP server is
running on TCP port 587. Information
gathered from this service:
250-server42307.masterweb.net
g. SSH server running A SSH server is
running on TCP port 22. SSH server
information: SSL server running [443]
A SSL3 server is running on TCP port 443.
SSL server information:
Version: SSL2,SSL3,TLS1
Certificate:
Gambar 4.2 Menggunakan Proxy pada Country Name: US
undaOS Organization Name: Equifax
C. Periksa kembali IP klien dengan cara Organizational Unit Name: Equifax Secure
mengakses http://ip-adress.com , jika IP sudah Certificate Authority:
berubah maka penyamaran identitas berhasil. Serial Number:
R-7YzbIknW3djPY/OsKMChOTTGz-8nsh
Country Name: ID
Organization Name: *.masterweb.net
Organizational Unit Name: GT70027190
Gambar 4.3 IP klien yang tampil setelah Organizational Unit Name:
menggunakan Proxy See www.rapidssl.com/resources/cps (c)10
Organizational Unit Name:
4.2 Web Application Discovery Domain Control Validated - RapidSSL(R)
4.2.1 Port Scan dan Knowledge Base Common Name: *.masterweb.net
Port Scan dilakukan untuk menganalisa port version: 2 number:
dan service yang terbuka pada server web, dengan 0fd0d3
menggunakan fasilitas pada nmap untuk melakukan print:
analisa port dengan cara penggunaannya dapat dilihat di bc2fa580dafb46267a47f00f118daaa6
alamat http://nmap.org/bennieston-tutorial/ dan hasil ID:
yang diperoleh, port yang terbuka pada server web 1.2.840.113549.1.1.5 start:Fri Mar 12
http://beta.kotimkab.go.id adalah : 03:51:17 UTC+0700 2010 end:Thu Mar 12
a. Open Port 25 / smtp 13:43:30 UTC+0700 2015 in:1434 days
b. Open Port 22 / ssh A TLS1 server is running on TCP port 443.
c. Open Port 21 / ftp SSL server information:
d. Open Port 80 / http Version: SSL2,SSL3,TLS1
e. Open Port 110 / pop3 Certificate:
f. Open Port 143 / imap Country Name: US
g. Open Port 443 / https Organization Name: Equifax
h. Open Port 587 / submission Organizational Unit Name: Equifax Secure
i. Open Port 873 / rsync Dari analisa port dan service yang
j. Open Port 993 / imaps 4.2.2 Informasi Server Web
k. Open Port 995 / pop3s Dalam pengujian mencari informasi server
l. Open Port 3306 / mysql web diketahui beberapa informasi penting, yaitu :
Dapat dilihat bahwa port yang terbuka selain Queried whois.apnic.net with "119.235.18.102"
http juga https, database yang digunakan mysql, terlihat inetnum: 119.235.18.0 - 119.235.18.255
dari port mysql yang terbuka, begitu pula terdapat port netname: MWN-INET-ID
email. Selanjutnya menganalisa service yang aktif pada descr: PT. Master Web Network
server web. hasil yang didapat adalah : descr: IT Solution Company
a. FTP server running An FTP server is descr: Gd. Cyber Lt. 5 Jl. Kuningan Barat
running on TCP port 21. No. 8 Jakarta Selatan 12710
b. Whois lookup Whois result for IP address country: ID
119.235.18.102: admin-c: SH1061-AP
c. IMAP server running An IMAP server is tech-c: SH1061-AP
running on TCP port 143. status: ASSIGNED NON-PORTABLE
d. POP3 server running A POP3 server is remarks: Send Spam & Abuse report to:
running on TCP port 110. support@masterwebnet.com
e. SMTP server running A SMTP server is mnt-by: MAINT-ID-INET
running on TCP port 25. Information changed: hostmaster@inet.net.id 20090902
gathered from this service:
changed: hostmaster@idnic.net 20100215 Systems (CMS) Joomla. Selanjutnya untuk analisa versi
source: APNIC Joomla yang digunakan yaitu dengan melihat struktur
route: 119.235.18.0/24 script pada file index.php.
descr: Route object of PT. Master Web
Network
descr: IT Solution Company
descr: Jakarta
country: ID
origin: AS24532
mnt-by: MAINT-ID-INET
changed: hostmaster@idnic.net 20090709
source: APNIC
person: Santoso Halim
Facebook: http://www.facebook.com/
profile.php?id=579811729
address: Pluit Permai 8 No.3A Gambar 4.2 Struktur Script pada File index.php
address: Jakarta-Utara Dapat diketahui bahwa versi Joomla yang
address: Indonesia digunakan adalah versi 1.5. Tahap selanjutnya adalah
country: ID menganalisis komponen pihak ketiga yang ditanamkan
phone: +62-21-30047799 pada script joomla.
fax-no: +62-21-30047798
e-mail: hostmaster@inet.net.id
nic-hdl: SH1061-AP
mnt-by: MAINT-ID-INET
changed: halim@inet.net.id 20061020
source: APNIC
NS1: dns3.masterwebnet.com
NS2: dns1.masterwebnet.com
Server: Apache Gambar 4.3 Struktur komponen tambahan
OS: Debian 5 Komponen pihak ketiga yang ditanamkan pada
Location: http://beta.kotimkab.go.id script Joomla adalah :
Informasi yang didapatkan diatas a. com_easybookreloaded oleh
menunjukkan bahwa situs beta.kotimkab.or.id dikelola http://joomla-extensions.kubik-
oleh pihak ketiga yaitu perusahaan hosting PT. Master rubik.de/ebr-easybook-reloaded, adalah
Web Network (www.masterwebnet.com) beralamat di komponen yang berfungsi sebagai modul
Jakarta-Utara, dengan atas nama Santoso Halim. buku tamu pada laman
Dipastikan server web ditempatkan di Jakarta Utara. http://beta.kotimkab.go.id/index.php?optio
4.2.3 Site Structure n=com_easybookreloaded&view=easyboo
Pemetaan struktur situs yang didapatkan dari kreloaded&Itemid=144
hasil web crawling adalah sebagai berikut : b. com_eventlist oleh http://www.schlu.net
adalah komponen yang berfungsi sebagai
modul pengaturan agenda kegiatan,
digunakan pada laman
http://beta.kotimkab.go.id/index.php?optio
n=com_eventlist&view=eventlist&Itemid=
139
c. com_phocadownload oleh
http://www.phoca.cz/phocadownload
adalah komponen yang berfungsi sebagai
modul yang memberikan fasilitas untuk
mengunduh berkas, digunakan pada laman
http://beta.kotimkab.go.id/index.php?optio
n=com_phocadownload&view=sections&It
emid=121
d. com_phocagallery oleh
http://www.phoca.cz/phocagallery adalah
komponen yang berfungsi sebagai modul
Gambar 4.1 Struktur Folder Utama album foto, digunakan pada laman
Dari pemetaan struktur folder situs http://beta.kotimkab.go.id/index.php?optio
beta.kotimkab.go.id dapat diketahui bahwa situs n=com_phocagallery&view=categories&It
menggunakan sebuah script Content Management emid=122
 Kemudian memetakan dan menganalisa modul
dan templat pihak ketiga yang digunakan pada situs
beta.kotimkab.go.id.
Gambar 4.4 Struktur Modules dan Templates
Modul pihak ketiga yang digunakan adalah :
a. mod_hot_image_slider oleh
http://www.hotjoomlatemplates.com adalah
modul yang berfungsi menampilkan gambar
secara berotasi, digunakan pada halaman
index situs.
b. mod_news_pro_gk4 oleh
http://tools.gavick.com/newshowpro.html
adalah modul yang berfungsi mengatur
tampilan berita pada situs, digunakan pada
halaman index situs.
c. mod_vvsit_counter oleh
http://vinaora.com adalah modul yang
berfungsi menghitung jumlah pengunjung
pada situs.
Templat pihak ketiga yang berfungsi sebagai
tampilan atau layout situs beta.kotimkab.go.id adalah
menggunakan jsn epic pro yang dapat di beli melalui
http://www.joomlashine.com/?task=view
Gambar 4.5 Templat jsn epic pro
Gambar 4.6 Templat jsn epic pro pada situs
beta.kotimkab.go.id
4.3 Analisa Celah Keamanan pada Aplikasi
Server Web
4.3.1 Celah Keamanan Jaringan
4.3.1.1 Network Alert
Port 8080 yang menjalankan layanan proxy
server terbuka untuk umum dapat diakses melalui
beta.kotimkab.go.id:8080, sehingga proxy server dapat
digunakan untuk terhubung ke port server web tanpa
terikat firewall.
Tingkat ancaman keamanan : Tinggi.
Potensi serangan :
proxy ini memungkinkan setiap orang untuk melakukan
permintaan untuk port HTTP sewenang-wenang, seperti
membuka email dan telnet/ssh.
4.3.2 Celah Keamanan Aplikasi Web
4.3.2.1 Blind SQL Injection
Menggunakan analisa pada aplikasi web yang
berhubungan dengan database SQL khususnya MySQL
yang terpasang pada server web beta.kotimkab.go.id.
adapun teknik penggunaannya dapat dilihat pada laman
http://packetstormsecurity.org/files/95588/Tutorial-
Blind-SQL-Injection-Referensi.html
SQL injection merupakan kerentanan yang
memungkinkan penyerang untuk mengubah data
melalui backend SQL dengan memanipulasi input
pengguna. Sebuah SQL injection terjadi ketika aplikasi
web menerima input pengguna yang langsung
ditempatkan dalam sebuah pernyataan SQL dan tidak
menyaring karakter yang berbahaya.
Request 1:
POST
/index.php?Itemid=139&option=com_eventlist
&view=eventlist HTTP/1.1
Content-Length: 84
Content-Type: application/x-www-form
--------dipotong untuk menyingkat--------------
Host: beta.kotimkab.go.id:80
Connection: Keep-alive
Accept-Encoding: gzip,deflate
--- dipotong untuk menyingkat--------------
filter=&filter_order=%24%7bCELAH_KEA
MANAN_DISINI%7d&filter_order_Dir=&fil
ter_type=title&limit=5
HTML Response 1:
Gambar 4.5 Celah Keamanan pada Modul Agenda
 Request 2:
POST
/index.php?Itemid=139&option=com_eventlist
&view=eventlist HTTP/1.1
Content-Length: 91
Content-Type: application/x-www-form-
urlencoded
--- dipotong untuk menyingkat--------------
Host: beta.kotimkab.go.id:80
Connection: Keep-alive
Accept-Encoding: gzip,deflate
--- dipotong untuk menyingkat--------------
filter=&filter_order=a.dates&filter_order_Dir=
%24%7bCELAH_KEAMANAN_DISINI%7
d&filter_type=title&limit=5
HTML Response2:
Gambar 4.6 Celah Keamanan pada Modul Agenda
Dari hasil percobaan menggunakan teknik
SQL Injection, ditemukan beberapa celah keamanan
khususnya pada modul Agenda yang merupakan
komponen untuk joomla dari pihak ketiga bernama
com_eventlist oleh http://www.schlu.net. Berikut untuk
kasus keamanan serupa menyangkut komponen
tersebut:
a. http://www.cvedetails.com/cve/CVE-2007-
4509/
b. http://www.milw0rm.com/exploits/4309
Tingkat ancaman keamanan : Sedang.
Potensi serangan : 4.3.2.2.3 Templat Joomla
Penyerang dapat melakukan modifikasi beberapa file
sistem atau informasi, tetapi penyerang tidak memiliki
kendali atas apa yang dapat dimodifikasi. Tetapi jika
diimplikasikan pada link
Layanan Pengadaan Secara Elektronik (LPSE)
http://beta.kotimkab.go.id/index.php?option=com_bann
ers&task=click&bid=4 milik Kabupaten Kotawaringin
Timur (http://lpse.kotimkab.go.id/eproc/app), maka
potensi pemalsuan terhadap halaman (web spoofing,
http://en.wikipedia.org/wiki/Website_spoofing)
Layanan Pengadaan Secara Elektronik (LPSE) bisa
terjadi dan kerugian yang diakibatkannya pun bisa
menjadi sangat besar.
4.3.2.2 Web Scanning
4.3.2.2.1 Berkas yang Usang
Ditemukan beberapa file yang tidak memiliki
fungsi / tidak pernah terhubung dengan file lainnya,
yaitu index2.php, dapat diakses pada
http://beta.kotimkab.go.id/index2.php
Tingkat ancaman keamanan : kecil
Potensi ancaman keamanan :
File usang atau tidak terhubung dengan file lainnya
biasanya terjadi saat pengembang melakukan backup
file, terkadang dapat berisikan informasi yang sensitif
seperti informasi koneksi database atau informasi
penting lainnya.
4.3.2.2.2 Broken Link
Ditemukan beberapa broken link / link rusak
yang didapat dari penelusuran sourcecode navigasi tiap-
tiap file, yaitu:
/index.php?Itemid=26&option
=com_contact&view=contact
Request :
GET
/index.php?Itemid=26&option=com_contact&
view=contact HTTP/1.1
Pragma: no-cache
--------------dipotong-------------------------
Host: beta.kotimkab.go.id
Connection: Keep-alive
Response :
Gambar 4.7 Broken Link pada Situs
Tingkat ancaman keamanan : Rendah
Potensi ancaman keamanan :
Broken link terkadang dapat berisikan informasi yang
sensitif seperti informasi database atau informasi
penting lainnya.
Script pada situs beta.kotimkab.go.id
menggunakan CMS Joomla versi 1.5 dengan
menambah templat bernama jsn epic pro yang dapat di
beli melalui http://www.joomlashine.com/?task=view ,
hasil analisa source code pada file index.php, templat
merupakan versi berbayar / non-free tetapi tampak
dalam sourcecode templat tidak mencantumkan kode
lisensinya.
Gambar 4.8 templat JSN Epic Pro tanpa lisensi
Tingkat ancaman keamanan : Tinggi
Potensi ancaman keamanan :
Jika templat yang digunakan situs beta.kotimkab.go.id
memang tidak memiliki kode lisensi, maka hal ini dapat
digolongkan dalam pembajakan/pelanggaran atas hak
cipta.
4.4 Solusi Perbaikan Atas Celah Keamanan
Hasil dari analisa dan penemuan atas celah
keamanan, maka solusi perbaikan yang disarankan
peneliti dipaparkan menjadi beberapa bagian.
4.4.1 Solusi Celah Keamanan Jaringan
4.4.1.1 Solusi Network Alert
Konfigurasi Proxy Server yang
berdampingan dengan server web beta.kotimkab.go.id
tergolong sebagai open public proxy
(http://en.wikipedia.org/wiki/Open_proxy),yang artinya
setiap orang dapat terhubung dan menggunakan layanan
proxy tersebut. Untuk server web milik
beta.kotimkab.go.id yang bukan sebagai layanan publik
seharusnya melakukan konfigurasi proxy menjadi
reverse proxy
(http://id.wikipedia.org/wiki/Proxy_server) sehingga
service seperti email dan telnet/ssh menjadi lebih aman
dan bebas dari penyalahgunaan IP proxy. Rujukan cara
konfigurasi revese proxy terdapat pada laman
http://emka.web.id/linux/ubuntu/2010/panduan-
menginstall-varnish-web-acceleratorreverse-proxy-di-
debianubuntu/
4.3.2 Solusi Celah Keamanan Aplikasi Web
4.3.2.1 Solusi Blind SQL Injection
Blind SQL Injection dapat dilakukan bila pesan
error / warning pada script diaktifkan, sehingga perusak
bisa mengetahui informasi penting seperti nama
database, tabel dan kolom yang digunakan pada situs.
jika pesan error dan warning tidak tampak, maka akan
mempersulit kerja dari teknik Blind SQL Injection
tersebut. untuk menonaktifkan pesan error dan warning
pada php dapat dilakukan dengan cara:
a. Menambah kode error_reporting(0); pada
sourcecode
Gambar 4.9 Error terjadi pada mysql.php
tempatkan kode error_reporting(0); di baris
awal php pada error yang terdapat pada file
mysql.php. Rujukan untuk cara penggunaan
error_reporting(0) dapat diakses pada
http://www.w3schools.com/PHP/func_error_re
porting.asp
b. Konfigurasi php.ini, set display_errors =
Off. sehingga setiap error dan warning yang
terjadi pada setiap script php otomatis tidak
ditampilkan dilayar.
Cara lain mengatasi celah keamanan ini adalah
dengan tidak menggunakan sama sekali untuk
komponen com_eventlist dan mengganti komponen lain
yang fungsinya sama, daftar komponen pengganti
com_eventlist dapat dilihat di
http://extensions.joomla.org/extensions/calendars-a-
events
4.3.2.2 Solusi Web Scanning
4.3.2.2.1 Solusi Berkas yang Usang
Seluruh berkas yang sifatnya adalah berkas
usang atau tidak berfungsi dalam situs seharusnya
dihapus untuk mencegah kelalaian yang menyebabkan
potensi kebocoran informasi penting pada server web.
Hapus berkas index2.php dari folder web
beta.kotimkab.go.id.
4.3.2.2.2 Solusi Broken Link
Seluruh link yang sifatnya adalah broken link
dalam sourcecode seharusnya dihapus untuk mencegah
kelalaian yang menyebabkan potensi kebocoran
informasi penting pada server web. Hapus link
/index.php?Itemid=26&option=com_contact&view=co
ntact pada index.php.
4.3.2.2.3 Solusi Templat Joomla
Templat yang digunakan oleh
beta.kotimkab.go.id tidak memiliki kode lisensi, jadi
tambahkan kode lisensi yang didapatkan saat pembelian
atau ganti templat dengan yang lain yang sifatnya tidak
melanggar hak paten atau gratis.
4.3.2.2.4 Solusi Lain-lain
Joomla saat ini (April 2011) telah
meluncurkan versi terbaru yakni versi 1.6 dengan
tingkat keamanan yang lebih baik. Sebaiknya selalu
upgrade Joomla dengan versi yang terbaru, sehingga
mengurangi potensi ancaman keamanan. Cara
melakukan upgrade dapat dilihat pada rujukan
http://docs.joomla.org/Tutorial:Migrating_from_Joomla
_1.5_to_Joomla_1.6
Begitu juga untuk setiap modul dan komponen
yang digunakan, lakukan upgrade versi secara berkala
untuk menjamin keamanan sourcecode dari bug pada
script tersebut.
5. KESIMPULAN DAN SARAN
5.1 Kesimpulan
Kesimpulan dari Penelitian yang berjudul “ AUDIT
SISTEM KEAMANAN SERVER WEB SESUAI
STANDAR PERMENKOMINFO TENTANG
KEAMANAN SERVER WEB PEMERINTAHAN”
adalah sebagai berikut :
1. Situs Web milik Pemerintah baik Pemerintah
Pusat maupun Pemerintah Daerah yang di
hosting pada server web memiliki standar
keamanan yang telah diatur oleh Peraturan
Kementerian KOMINFO, sehingga dalam
pembangunan dan pemeliharaannya harus
berdasarkan standar yang telah ditetapkan
tersebut .
2. Server web dan situs web milik Kabupaten
Kotawaringin Timur di hosting diluar
Kabupaten Kotawaringin Timur dan
dikembangkan oleh perusahaan umum
pengelola jasa web hosting sebagai pihak
ketiga.
3. Server web tempat situs dihosting dan situs
web masih belum memenuhi standar
keamanan server web untuk Pemerintahan
 yang telah diatur Peraturan Kementerian [4] Wardhana, D., 2007, Arsitektur Dan Prototipe
KOMINFO. Keamanan Database Multilevel,
4. Templat yang digunakan oleh situs web Institut Teknologi Bandung.
beta.kotimkab.go.id tidak memiliki kode [5] http://www.depkominfo.go.id
lisensi yang mengakibatkan potensi [6] http://www.wikipedia.com
pelanggaran atas hak cipta / menggunakan [7] http://www.google.com
templat bajakan. [8] http://wazem.blogspot.com/2008/01/how-to-
5. Analisa dilakukan secara langsung melalui change-gnome-proxy-settings-on.html
internet (online realtime) dimulai pada tanggal [9] http://www.ip-adress.com
7 April 2011 jam 21:45:00 dan diselesaikan [10] http://nmap.org/bennieston-tutorial
tanggal 8 April 2011 jam 08:55:25, selama 11 [11] http://joomla-extensions.kubik-rubik.de/ebr-
jam 10 menit. Karena status situs pemkab saat [12] http://easybook-reloaded
penelitian berlangsung masih dalam status [13] http://www.schlu.net
pengembangan (beta), maka bisa terjadi hasil [14] http://www.phoca.cz
pemetaan celah keamanan bisa berubah-ubah [15] http://www.hotjoomlatemplates.com
dan menyebabkan hasil penelitian menjadi [16] http://tools.gavick.com/newshowpro.html
tidak valid lagi dalam waktu tertentu. [17] http://vinaora.com
[18] http://packetstormsecurity.org/files/95588/
5.2 Saran Tutorial-Blind-SQL-Injection-Referensi.html
Saran yang perlu diperhatikan adalah sebagai [19] http://www.joomlashine.com
berikut : [20] http://joomla.org
1. Jika situs web di hosting pada server web [21] http://www.w3schools.com/PHP/
komersil / perusahaan umum sebagai pihak func_error_reporting.asp
ketiga, maka sebaiknya perusahaan tersebut
mengetahui dengan benar standar keamanan
server web untuk Pemerintahan yang diatur
oleh Peraturan Kementeri KOMINFO.
2. Ada baiknya server web yang menghosting
situs Pemerintah di bendakan baik dari segi
konfigurasi software ataupun bisa dari
hardware sever web itu sendiri. Tidak
mencampurkan user penyewa hosting umum
dengan user pemerintahan.
3. Lakukan audit, upgrade software dan
hardware secara berkala, pemeliharaan server
web sama pentingnya dengan pengadaan
server web dan situs web itu sendiri.
4. Sangat disarankan situs Pemerintahan seperti
kotimkab.go.id di hosting sendiri, dengan
server web sendiri yang diolah oleh
Pemerintah Daerahnya sendiri, karena situs
web merupakan cerminan identitas dan
kredibilitas teknologi yang dimiliki oleh
Daerah tersebut.

DAFTAR PUSTAKA

[1] Saumil Shah . (2003, Desember 8). One-way

Web Hacking: http://net-
square.com/papers/one_way/one_way.html
[2] Tedjaprawira, Y., 2007, Keamanan Sistem
Informasi, Institut Teknologi Bandung,
Bandung
[3] National Computer Security Center, A Guide
To Understanding Discretionary Access
Control in Trusted Systems, Version 1,
National Computer Security Center, 30
September 1987.