Electronic Theses and Dissertation

SIMKULIAH merupakan website yang digunakan oleh mahasiswa maupun dosen pada Universitas Syiah Kuala untuk melakukan absensi ketika jam mata kuliah dimulai. Keamanan website SIMKULIAH harus benar-benar terjaga karena didalamnya terdapat data diri dari mahasiswa dan dosen yang dapat dimanfaatkan oleh penyerang untuk disalahgunakan. Selain data diri, penyerang juga dapat memanipulasi absensi yang ada pada website SIMKULIAH. Oleh karena itu, pendeteksian celah keamanan perlu dilakukan untuk meminimalisir terjadinya serangan. Penelitian ini bertujuan untuk mendeteksi celah keamanan, menganalisis tingkat celah keamanan, dan memberikan rekomendasi perbaikan terhadap celah keamanan yang terdeteksi untuk membantu pengembang dan pengelola website dalam meningkatkan keamanan website SIMKULIAH. Penelitian ini menggunakan teknik footprinting dengan memanfaatkan tools whois domain dan NMAP serta teknik vulnerability scanning dengan memanfaatkan tools OWASP-ZAP dan Acunetix. Penelitian ini dilakukan sebanyak 12 kali pengujian selama 4 minggu dan berhasil mendeteksi 39 celah keamanan dari semua tools yang digunakan. Analisis celah keamanan yang terdeteksi menggunakan metode DREAD menghasilkan total nilai 312 dengan nilai rata-rata 8,667 dan tingat risiko berada pada tingkat sedang atau medium. Celah keamanan yang memiliki nilai tertinggi adalah Content Security Policy (CSP) Header Not Set dengan nilai 11. Celah keamanan ini dapat mengakibatkan sulitnya pendeteksian serangan seperti Cross Site Scripting (XSS) dan serangan injeksi data. Rekomendasi perbaikan dari celah keamanan yang terdeteksi dan dapat menjadi referensi bagi pengelola dan pengembang adalah memastikan website menggunakan SSL/TLS, menggunakan metode port knocking, menerapkan firewall, menggunakan header keamanan, membatasi akses kedalam file/directory, mengamankan cookie, menggunakan JS library yang terbaru dan menggunakan TLS/SSL terbaru untuk memastikan keamanan pada website SIMKULIAH.

SIMKULIAH is a website used by students and lecturers at Syiah Kuala University to take attendance when the course starts. The security of the SIMKULIAH website must be properly maintained because it contains personal data from students and lecturers that can be utilized by attackers to be misused. In addition to personal data, attackers can also manipulate attendance on the SIMKULIAH website. Therefore, detection of security gaps needs to be done to minimize the occurrence of attacks. This research aims to detect security holes, analyze the level of security holes, and provide recommendations for improvements to the detected security holes to help website developers and managers improve the security of the SIMKULIAH website. This research uses footprinting techniques by utilizing whois domain and NMAP tools and vulnerability scanning techniques by utilizing OWASP-ZAP and Acunetix tools. This research was conducted 12 times for 4 weeks and successfully detected 39 security holes from all tools used. Analysis of security gaps detected using the DREAD method resulted in a total score of 312 with an average score of 8.667 and a risk level of medium. The security gap that has the highest value is Content Security Policy (CSP) Header Not Set with a value of 11. This security gap can make it difficult to detect attacks such as Cross Site Scripting (XSS) and data injection attacks. Recommendations for improving the detected security gaps and can be a reference for managers and developers are ensuring the website uses SSL / TLS, using the port knocking method, implementing a firewall, using security headers, limiting access to files / directories, securing cookies, using the latest JS library and using the latest TLS / SSL to ensure security on the SIMKULIAH website.