Analisis Celah Keamanan dan Mitigasi Website E-learning Itera Menggunakan Owasp Zed Attack Proxy

Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira
{"title":"Analisis Celah Keamanan dan Mitigasi Website E-learning Itera Menggunakan Owasp Zed Attack Proxy","authors":"Ilham Firman Ashari, Leonard Rizta Anugrah P, Nazla Andintya W, Siraz Tri Denira","doi":"10.20884/1.dr.2023.19.1.533","DOIUrl":null,"url":null,"abstract":"Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.","PeriodicalId":31510,"journal":{"name":"Dinamika Rekayasa","volume":"34 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2023-03-24","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Dinamika Rekayasa","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.20884/1.dr.2023.19.1.533","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
引用次数: 0

Abstract

Website kuliah atau E-Learning ITERA merupakan sistem yang mewadahi proses belajar mengajar antara dosen dan mahasiswa. Keamanan informasi dari sistem ini sangat penting mengingat banyaknya data terkait nilai ataupun materi perkuliahan yang ada pada website e-learning ITERA. Default password pada e-learning ITERA sendiri sudah ditetapkan. Kredensial pasti juga sudah ditetapkan setiap pengguna yaitu email ITERA. Percobaan ini bertujuan mengetahui celah keamanan menggunakan reverse brute force attack dengan tools OWASP ZAP. Adapun beberapa serangan yang teridentifikasi sebanyak 9 celah keamanan yaitu Cross-Domain JavaScript Source File Inclusion, Incomplete or No Cache-control Header Set, Cookies without SameSite Attribute, Timestamp Disclosure – Unix, Absence of Anti-CSRF Tokens, X-Content-Type-Options Header Missing, Cookies No HttpOnly Flag, SQL Injection, .htaccess Information Leak, Absence of Anti-CSRF Tokens, Cookies No HttpOnly Flag. Hasil pengujian membuktikan bahwa website e-learning ITERA berhasil diserang dengan metode reverse brute force attack dengan pembuktian terdapat 3 URI dengan kerentanan yang beresiko tinggi dengan serangan SQL Injection setelah dipindai menggunakan OWASP ZAP. Hasil mitigasi untuk risiko ini adalah dengan menggunakan query sql dan filter input ke database. Kerentanan Resiko high memerlukan penanganan secepat mungkin karena memiliki resiko yang sangat signifikan kepada sistem. Kerentanan resiko medium juga perlu ditangani secepatnya karena dapat menyebabkan berbagai data yang seharusnya tidak terlihat oleh pengguna dapat diakses. Begitu pula pada kerentanan resiko low perlu ditangani karena dapat memicu celah – celah keamanan lain yang lebih besar, misalnya pada Absence of Anti CSRF Token dapat memicu serangan berupa brute force.
使用 Owasp Zed 攻击代理对 Itera 电子学习网站的安全漏洞进行分析和缓解
ITERA 电子学习网站是一个容纳讲师和学生之间教学过程的系统。考虑到 ITERA 在线学习网站上与成绩或授课材料有关的数据量,该系统的信息安全非常重要。ITERA 在线学习系统本身已设置了默认密码。此外,还为每个用户设置了准确的凭据,即 ITERA 电子邮件。本实验旨在利用 OWASP ZAP 工具的反向暴力攻击确定安全漏洞。确定了 9 种攻击,即跨域 JavaScript 源文件包含、不完整或无 Cache-control 标头设置、Cookie 无 SameSite 属性、时间戳泄露 - Unix、无 Anti-CSRF 标记、X-Content-Type-Options 标头缺失、Cookie 无 HttpOnly 标记、SQL 注入、.htaccess 信息泄露、无 Anti-CSRF 标记、Cookie 无 HttpOnly 标记。测试结果证明,ITERA 电子学习网站在使用 OWASP ZAP 扫描后,成功受到反向暴力攻击方法的攻击,并证明有 3 个 URI 存在 SQL 注入攻击的高风险漏洞。针对这一风险的缓解措施是使用 sql 查询和数据库输入过滤器。高风险漏洞需要尽快解决,因为它们对系统有非常大的风险。中度风险漏洞也需要尽快处理,因为它们会导致用户访问各种不应可见的数据。同样,低风险漏洞也需要处理,因为它们会引发其他更大的安全漏洞,例如,缺少反 CSRF 令牌会引发暴力攻击。
本文章由计算机程序翻译,如有差异,请以英文原文为准。
求助全文
约1分钟内获得全文 求助全文
来源期刊
自引率
0.00%
发文量
11
审稿时长
24 weeks
×
引用
GB/T 7714-2015
复制
MLA
复制
APA
复制
导出至
BibTeX EndNote RefMan NoteFirst NoteExpress
×
提示
您的信息不完整,为了账户安全,请先补充。
现在去补充
×
提示
您因"违规操作"
具体请查看互助需知
我知道了
×
提示
确定
请完成安全验证×
copy
已复制链接
快去分享给好友吧!
我知道了
右上角分享
点击右上角分享
0
联系我们:info@booksci.cn Book学术提供免费学术资源搜索服务,方便国内外学者检索中英文文献。致力于提供最便捷和优质的服务体验。 Copyright © 2023 布克学术 All rights reserved.
京ICP备2023020795号-1
ghs 京公网安备 11010802042870号
Book学术文献互助
Book学术文献互助群
群 号:481959085
Book学术官方微信