Open Class: Web Hacking Penetration & Security

Kamis, 30 November 2017 bertempat di Aula Kelas BDK Pontianak diselenggarakan kegiatan open class dengan tema Web Hacking Penetration & Security. BDK Pontianak menyelenggarakan kegiatan ini untuk masyarakat umum yang ingin belajar tentang Web Hacking Penetration & Security. Peserta kegiatan ini direncanakan untuk 50 orang, tetapi yang daftar sebanyak 52 orang.

Mereka dari berbagai profesi dan pekerjaan selain pegawai Kementerian Keuangan diantaranya dari Universitas Tanjungpura, Politeknik Negeri Pontianak, Bank Indonesia, Guru, Pemprov Kalimantan Barat, IAIN Pontianak, Universitas Muhammadiyah Pontianak, Wiraswasta dan Masyarakat Umum. Pembicara adalah Bapak Ikhwan Ruslianto dosen Universitas Tanjungpura. Dalam materinya pembicara menjelaskan Penetration Testing Web adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap sebuah web (personal, instansi, maupun perusahaan) tertentu untuk menemukan kelemahan yang ada pada sistem, web atau server penyimpanan web (aplikasi) tersebut, orangnya disebut penetration tester (disingkat pentester). Ada dua Penetration Testing yaitu Overt Penetration Testing dan Covert Penetration Testing. Overt Penetration Testing artinya Pentester bekerja bersama dengan tim IT perusahaan sedangkan sedangkan Covert Penetration Testing Pentester melakukan kegiatan pentest tanpa sepengetahuan perusahaan. Tahapan Penetration Testing sebagai berikut:

  1. Information Gathering
    1. Mengumpulkan informasi sebanyak-banyaknye mengenai target.
    2. Proses pengumpulan informasi sendiri terbagi menjadi dua, yaitu passive information gathering dan active information gathering.
    3. Pengumpulan informasi menggunakan information gathering dapat menggunakan service WHOIS, DNS, Search Engine (Google), Website Analisis Security (netcraft) dan tools seperti Maltego, metagofil dan tracerout.
  2. Vulnerability Scanning
    1. Tujuan melakukan proses ini untuk mengidentifikasi kelemahan yang kemungkinan dapat dimanfaatkan untuk proses eksploitasi.
    2. Vulnerability Scanning dapat menggunakan Database-database vulnerabilites website seperti: CVE Database, SecurityFocus, Milis Bugtraq, Inesecure, cve.mitre.org, xforce.iss.net, packetstormsecurity.org, kb.cert.org/vuls.
    3. Selain menggunakan database vulnerabilites website, penggunaan tools dalam hal vulnerability Scanning juga dapat dilakukan dengan menggunakan software seperti: Nessus, Qualys, Fuzzing (Vunelrability Scanning Web Based), Nikto (Vunelrability Scanning Web Based), dan Web Inspect (Vunelrability Scanning Web Based).
  3. Enumeration
    1. Teknik yang biasanya dilakukan antara lain crack admin/crack password, brute-force dan rainbow tables.
    2. Langkah selanjutnya yang harus dilakukan biasanya yaitu dengan metode yang sering digunakan antara lain rootkits dan backdoor.
    3. Biasanya didalam Penetration Testing juga dilakukan untuk menguji ketahanan dan kekuatan server. Teknik yang dapat digunakan biasanya dengan melakukan DDoS (Distributed Denial of Service).
  4. Analysis
    1. Dari hasil pentesting, langkah terpenting dari seorang pentester adalah melakukan analisis terhadap permasalahan dan vulnerabities yang sudah berhasil di eksploitasi.
    2. Menemukan sebuah solusi/jalan keluar untuk menangani celah keamanan tersebut.
  5. Documentation
    1. Proses ini merupakan langkah terakhir dari proses Penetration Testing.
    2. Intisari dari dokumentasi Penetration Testing ialah untuk mengklasifikasikan vulnerabilities tersebut berada pada posisi mana apakah tergolong beresiko tinggi, beresiko menengah, ataupun tidak beresiko sama sekali.

Untuk menjadikan web lebih aman beberapa hal yang bisa dilakukan adalah:

1. Pastikan hosting atau server yang digunakan merupakan penyedia yang terpercaya.

2. Apabila menggunakan teknologi web CMS (Wordpress, drupal, joomla dll), pelajari anatomi nya dan lakukan antisipasi dengan mengubah nama folder atau menyembunyikan halaman administrator (ini juga dapat dilakukan pada web yang bukan CMS).

3. Apabila menggunakan CMS dan menggunakan banyak plugin, lakukan update rutin (baik CMS nya maupun plugin) atau hindari menggunakan plugin bajakan.

4. Jangan gunakan password yang mudah untuk ditebak, misalnya admin, admin1234, 12345678 dst.

5. Jangan menyimpan hasil kodingan web ditempat publik yang disertai dengan databasenya, walaupun dengan tujuan untuk membackup data.

6. Lakukan pentesting terhadap web atau aplikasi dengan tools-tools yang ada maupun secara manual.

7. Lakukan pembacaan log web (aplikasi) secara teratur sehingga dapat memantau perilaku pengguna yang mengakses web.

8. Lakukan hardening server, misalnya menggunakan Web Application Firewall ataupun IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System).

OC11OC12OC13OC14

Paling Banyak Dibaca

  • Penyiapan Tenaga Pendamping Penyusunan LK K/L +

    [Bogor, 4 Januari 2018] Pagi ini Pusdiklat Anggaran dan Perbendaharaan menyelenggarakan Lokakarya pertamanya di tahun 2018. Pembukaan lokakarya yang bernama Baca Selengkapnya
  • Diklat Pembuka di Awal Tahun 2018 +

    [Medan] Senin, 10 Januari 2018. Diklat Penyiapan Tenaga Pendamping Penyusunan Laporan Keuangan Kementerian/Lembaga Angkatan I dan Diklat Teknis Substantif Spesialisasi Baca Selengkapnya
  • Catatan 2017, Harapan 2018 +

    [Bandung] Jumat, 5 Januari 2018 – Mengawali tahun 2018 ini, Perwakilan Kementerian Keuangan Jawa Barat menyelenggarakan konferensi pers yang pertama kali Baca Selengkapnya
  • 1
  • 2

Eselon I Kementerian Keuangan

Direktorat Jenderal Perimbangan Keuangan
Direktorat Jenderal Perimbangan Keuangan
Inspektorat Jenderal
Sekretariat Jenderal
Direktorat Jenderal Bea Cukai
Direktorat Jenderal Pajak
Badan Kebijakan Fiskal
Direktorat Jenderal Anggaran
Direktorat Jenderal Perbendaharaan
Direktorat Jenderal Kekayaan Negara
Layanan Pengadaan Secara Elektronik
Call Center BPPK
Easylib
Wise
Indonesia Darurat Narkoba
APBN Kemenkeu 2016