PENGUJIAN KEAMANAN PERANGKAT LUNAK PADA FAKTOR BROKEN AUTHENTICATION DAN SECURITY MISCONFIGURATION

Abstract

Pengujian perangkat lunak adalah proses mengeksekusi program atau aplikasi dengan maksud untuk menemukan bug dari suatu perangkat lunak yang dibuat. Pada penelitian ini, perangkat lunak akan diuji coba apakah sistem yang ada pada perangkat lunak berjalan dengan baik atau masih ditemukannya masalah agar nantinya perangkat lunak siap digunakan tanpa ada masalah. Penelitian ini mengambil studi kasus system KPTA FTI UII. Secara umum pengujian keamanan perangkat lunak digunakan untuk mengecek keamanan sistem dan penanggulangan resiko yang akan terjadi sewaktu – waktu pada sistem. Pengujian ini mengikuti panduan OWASP top 10-2017. OWASP memiliki daftar 10 web application security risks pada tahun 2017. Dengan daftar tersebut, penguji akan mengkaji daftar apa saja yang cocok untuk mengecek kemanan pada sistem. Pada studi kasus Sistem KPTA FTI UII terdapat informasi dan status pengguna dalam melakukan tugas akhir. Data tersebut sangat penting dan harus dilindungi. Sebagai contoh profil user yang sudah terdaftar, informasi tersebut harus dilindungi seperti pemeriksaan keamanan jika ada aktivitas login dari perangkat lain dengan mengirimkan email verifikasi kemanan apakah yang melakukan login adalah pengguna asli atau orang lain. Penelitian ini berhasil menemukan cara bagaimana melakukan pengujian pada faktor broken authentication dan security misconfigurration. Pengujian keamanan perangkat lunak pada faktor broken authentication dan security misconfiguration berhasil dilakukan dengan tepat sehingga sistem menjadi jauh lebih aman daripada sebelum dilakukan pengujian. Sebelum melakukan pengujian sistem KPTA FTI UII banyak ditemukan kesalahan pada sistem keamanan yang berakibat fatal jika celah tersebut diketahui oleh banyak orang. Dengan OWASP pengujian sistem KPTA FTI UII lebih spesifik dalam melakukan pengujian keamanan. Pada pengujian broken authentication ditemukan lima tahap pengujian yakni insecure login login form, logout management, password attack, weak password dan akses view. Pada pengujian security misconfiguration ditemukan dua tahap pengujian yakni denial of service dan pengecekan setiap path pada sistem.