Untuk menguji
ketahanan website, kita tidak perlu menunggu hacker datang menyerang. Akan
lebih baik jika kita mengetahui lubang keamanan yang terdapat pada website kita
sebelum website tersebut dipublikasikan online dan dapat diakses publik.
Pengujian dapat dilakukan manual dengan mempraktekkan cara-cara hacker pada
website kita sendiri ataupun menggunakan tool yang dapat membantu menguji
ketahanan website. Banyak tool yang tersedia di Internet, dari yang berbayar
hingga yang gratis. Beberapa tool berikut ini, mungkin dapat mewakili cara
kerja umum tool untuk menguji ketahanan website Anda.
Sebelum
mempraktikkannya, sebaiknya Anda persiapkan terlebih dahulu backup website
karena jika terdapat celah keamanan bisa jadi tool tertentu akan mengubah isi
database.
Acunetix Scanner
Dengan alamat http://www.acunetix.com, Acunetix dapat melakukan scan lubang keamanan website dan
menampilkannya dalam report yang cukup lengkap. Untuk melakukan scan, kita
dapat men-download dan menginstall program Acunetix Web Vulnerability Scanner
yang tersedia dalam versi berbayar dan gratis/free edition. Perbedaan versi
berbayar dan gratis terletak pada banyaknya vulnerability yang mampu di scan.
N-Stalker Free Edition
Mirip dengan Acunetix, N-Stalker merupakan
aplikasi scanner untuk menemukan celah keamanan website. Versi gratisnya
di http://nstalker.com/products/free/download-free-edition dengan limitasi melakukan crawling pada seratus halaman dalam satu
aplikasi web/URL.
HTTrack
Fungsi Httrack (http://www.httrack.com) adalah untuk men-download keseluruhan website agar dapat ditelusuri
secara offline tanpa memerlukan koneksi internet. Tool ini melakukan crawling
website dan menyimpannya pada local disk. Bahkan, jika website tersebut merupakan
web dinamis, HTTrack akan menyimpannya dalam format HTML lengkap dengan image,
CSS, Javascript, file-file multimedia dan lain-lain. Dalam hubungannya dengan
siu keamanan, Anda dapat mencoba mendownload website Anda dengan HTTrack untuk
melihat apakah terdapat file-file yang seharusnya tidak diizinkan untuk
didownload atau tidak. Software lain yang memiliki fungsi yang mirip dengan
HTTrack adalah Wget dan ScrapBook yang merupakan Add-on Mozilla Firefox.
Google
Search Engine Google juga bisa menjadi salah satu
tool untuk menguji ketahanan website Anda. Pada software HTTrack, Anda dapat
mendownload halaman web dan melihat apakah terdapat file-file berisi informasi
sensitif seperti password, kartu kredit, dan lain-lain yang ikut terdownload,
sedangkan pada Google Anda dapat mencari apakah file-file tertentu yang
seharusnya tidak untuk publik dapat ditemukan oleh Google atau tidak. Waspadai
jika Google dapat menemukan dokumen berisi informasi sensitif karena itu
berarti siapa pun dapat menemukan dan mendapatkannya dari internet,
Firefox Web Developer
Karena web programmer sering bekerja dalam
lingkungan browser, beberapa tool menyediakan toolbar pada browser untuk
mempermudah pekerjaan mereka, termasuk untuk menguji ketahanan website. Salah
satunya adalah Add-on bagi web developer yang menggunakan firefox. Untuk
menginstalnya, Anda cukup mengakseshttps://addons.mozilla.org/en-us/firefox/addon/web-developer/ dengan Firefox dan mengeklik tombol Add to Firefix. Secara
otomatis, add-on tersebut akan diinstal pada browser Firefox Anda.
Firefox Web Developer menyediakan banyak sekali
fungsi untuk keperluan memeriksa halaman web, antara lain fungsi untuk
memeriksa kesalahan JavaScript dan CSS ataupun melakukan validasi HTML, Link,
ataupun Feed. Firefox Web Developer juga dapat digunakan untuk melihat source
of JavaScript, meta tag dan sebagainya.
Fiddler
Fiddler merupakan aplikasi gratis yang dapat
diakses di alamathttp://www.fiddler2.com/fiddler2/. Fungsinya sebagai web debugging yang merekam traffic jaringan yang
terjadi pada aplikasi browser (mendukung Internet Explorer, Mozilla Firefox,
dan berbagai browser populer lainnya). Fiddler membutuhkan .NET Framework 2.0
atau lebih tinggi agar dapat diinstal dan berjalan pada Windows.
Untuk menggunakannya, cukup jalankan aplikasi
Fiddler yang sudah terinstall dan selagi Anda mengakses berbagai website dengan
browser, layar fiddler akan menampilkan informasi-informasi detail. Fiddler
mendukung integrasi add-on untuk memperkaya fiturnya. Salah satu add-on Fiddler
yang berguna untuk pengujian ketahanan aplikasi web adalah Watcher (dari
website Casaba yang beralamatkan di http://websecuritytool.codeplex.com/). Cukup dengan mendownload dan menginstall Watcher (dengan catatan
Fiddler sudah terinstall), maka saat Anda akan membuka kembali aplikasi
Fiddler, akan terlihat tab baru dengan nama Watcher.
Exploit-Me
Exploit-Me merupakan add-on browser Mozilla
Firefox yang beralamatkan dihttp://labs.securitycompass.com/index.php/exploit-me/, terdiri atas tiga Add-on, yaitu:
Seusai namanya, add-on ini berfungsi untuk
menguji apakah terdapat exploit pada website kita atau tidak. XSS-Me akan
mendeteksi celah kemanan XSS, SQL inject-Me akan mendeteksi celah keamanan SQL
Injection, sedangkan Access-Me, akan memeriksa apakah terdapat celah keamanan
yang menyebabkan penyerang dapat mengakses resource tanpa melewati otentifikasi
atau tidak. Untuk menginstal ketiga add-on tersebut, Anda hanya mengakses
tiap-tiap URL XSS-Me, SQL Inject-Me, dan Access-Me dan ikuti petunjuk
penginstalannya. Setelah terinstal, berikut ini penjabaran penggunaan add-on
tersebut.
XSS-Me dan SQL Inject-Me
Karena terintegrasi dengan browser Firefox
sebagai add-on, penggunaan XSS-Me sangat mudah dilakukan. Karena XSS sering
memanfaatkan form input, arahkan browser pada form input yang terdapat pada
aplikasi web Anda. Klik kanan salah satu input text dan pilih menu Open XSS Me
Sidebar, maka akan tampil sidebar atau panel baru (XSS Me) di sebelah kiri.
Cara lain menampilkan panel ini adalah memilih menu Tools - XSS ME - Open XSS
Me Sidebar pada browser Firefox.
SQL Inject Me bekerja dengan cara yang sama
dengan XSS-Me. Aktifkan panel SQL Inject-Me dengan klik kanan input form dan
pilih menu Open SQL Inject Me Sidebar atau jika dari Firefox, pilih menu Tools
- SQL Inject Me - Open SQL Inject Me Sidebar.
Access-Me
Sedikit berbeda dengan dua Add-on sebelumnya,
Access-Me tampil pada toolbar Firefox walaupun bisa diakses juga melalui menu
Tools - Access Me melalui browser Firefox. Cara kerja Access-Me adalah
mengirimkan beberpa request pada halaman yang dites dengan tujuan menemukan
beberapa celah keamanan yang memungkinkan hacker memperoleh hak akses pada
resource website.
EmoticonEmoticon