4.3 Pengujian Sistem Secara Menyeluruh dan Hasil Blackbox testing
Data yang digunakan sistem untuk pengujian adalah data yang bersifat real time. Untuk mengetahui keberhasilan aplikasi peneliti memilih alamat website dan aplikasi
android untuk uji coba black-box testing. Data tersebut berupa alamat website yang telah dipastikan memiliki celah keamanan SSL dan juga berupa alamat website yang
sering dikunjungi yang mempunyai layanan SSL. Data yang digunakan juga dapat berupa os android dan beberapa jenis aplikasi android yang menggunakan OpenSSL.
Data tersebut kemudian akan dilakukan pengujian untuk mengetahui apakah aplikasi website atau aplikasi android tersebut memiliki celah keamanan atau tidak
dengan black-box testing. Contoh alamat situs website dan aplikasi android yang digunakan untuk diuji coba
dengan black-box testing dapat dilihat pada tabel 4.1 dan 4.2.
Tabel 4.1 sampel alamat website No
Alamat Website
1 https:www.mail.usu.ac.id
2 https:www.olx.co.id
3 https:www.its.ac.id
4 https:ww.worthytoshare.net
5 https:www.lazada.co.id
6 https:www.ugm.ac.id
7 https:www.ui.ac.id
8 https:www.koreabridge.net
9 https:www.kaskus.co.id
10 https:www.voobys.com
11 https:www.uns.ac.id
12 https:www.bukalapak.com
13 https:www.news.detik.com
Universitas Sumatera Utara
Tabel 4.2 sampel aplikasi android No
Aplikasi android
1 BBM
2 Facebook
3 Facebook messenger
4 Candy crush
5 Netflix
6 Instagram
7 Google play services
8 Getrich
9 Kakaotalk
10 Google Chrome
11 Mozilla Firefox
Pengujian dilakukan dengan meng-input alamat website atau dengan mengecek aplikasi yang terinstall pada android yang telah peniliti pilih sebelumnya. Untuk
memperjelas pengimplementasian black-box testing yang digunakan aplikasi contohnya kita pilih satu sampel untuk scan url dan beberapa sampel untuk scan
device sesuai dengan aplikasi yang terinstall di android yang punya OpenSSL. 4.3.1 Hasil Black-box Testing
Metode pada penelitian ini juga diuji dengan data alamat website yang benar-benar memiliki celah keamanan maupun tidak seperti sampel data alamat website, browser
dan aplikasi android pada tabel 4.3 sampai 4.5. Hal ini dilakukan untuk menunjukkan kemampuan aplikasi yang mengimplemenatasikan metode black-box testing untuk
mendeteksi celah keamanan pada aplikasi website ataupun aplikasi android yang rentan terhadap kelemahan terkait OpenSSL. Sampel data alamat website ataupun
aplikasi android tersebut telah peneliti uji dengan black-box testing untuk mengetahuo ada tidaknya celah keamanan. Hasil pengujian ini disajikan pada tabel
. Sehingga dapat
disimpulkan metode yang diajukan mampu untuk mendeteksi celah keamanan pad aplikasi web ataupun aplikasi android.
Universitas Sumatera Utara
Tabel 4.3 hasil pengujian terhadap aplikasi Website
No. Website
Heartbleed Validasi SSL
SHA1 Self Signed DHE
Support 1
https:www.mail.usu.ac.id -
-
2
https:www.olx.co.id -
- -
3
https:www.its.ac.id -
- -
4
https:worthytoshare.net
5
https:www.lazada.co.id -
- -
6
https:www.ugm.ac.id -
-
7
https:www.ui.ac.id -
-
8
https:www.koreabridge.net
9
https:www.kaskus.co.id -
- -
10
https:www.voobys.com
11
https:www.uns.ac.id -
12
https:www.bukalapak.com -
- -
- 13
https:www.news.detik.com -
-
Tabel 4.4 hasil pengujian terhadap aplikasi browser Browser
Versi Logjam
Google Chrome 1-43
44-48
- Mozilla Firefox
1.0-38
38.5-44 -
Tabel 4.5 sampel hasil pengujian terhadap aplikasi android Nama
aplikasi Versi
Versi OpenSL
Heaarbleed Logjam Cve 2015-
1793
BBM 2.1
1.0.1e
- -
2.2 1.0.1g
- -
-
Universitas Sumatera Utara
2.3 1.0.1h
- -
- 2.4-2.6
1.0.1i -
- -
2.7 1.0.1l
- -
- 2.8
1.0.1m -
- -
2.9 1.0.1o
- -
2.10-2.11
1.0.1p -
- -
Facebook Messenger
1.0-2.5 -
- -
- 2.7-3.2
1.0.1c
- -
3.3-9 1.0.1e
-
- 10-25
1.01h -
- -
Facebook 1.8-3.5
- -
- -
3.7-4.0 1.0.1c
-
- 6-10.0
1.0.1e
- -
11.0-28.0 1.0.1h
- -
- 29.0-30.0
1.0.2 -
-
31.0 1.0.2a
- -
-
Instagram 3.4-6.2
- -
- -
6.3.1 1.0.1e
-
- 6.4-6.18
1.0.1h -
- -
Candy crush Saga
1.0-1.15 1.0.0a
- -
- 1.16-1.31
1.0.1e
- -
1.32-1.33 1.0.1g
- -
- 1.34-1.66
1.0.1h -
- -
Kakaotalk 2.5
- -
- -
4.0-4.4 1.0.1e
-
- 4.5-5.3
1.0.1h -
- -
Netflix 3.2
1.0.0j -
- -
3.7.2-3.8.1 1.0.1g
- -
- 3.8.2-3.12
1.0.1i -
- -
3.13-3.16 1.0.1m
- -
- Google Play
4.3 1.0.1f
-
-
Universitas Sumatera Utara
Services 4.4-5.0
1.0.1g -
- 6.1-6.5
1.0.1h -
- -
6.7-7.0 1.0.1j
- -
- 7.3-7.5
1.0.1l -
- -
4.3.2 Hasil pengujian aplikasi web terhadap Heartbleed dan Validasi SSL Proses pengujian diawali dengan meng-input salah satu URL dari situs yang ada pada
tabel sampel 4.1, dari situs itu akan dilakukan proses koneksi dengan URL. Setelah dipastikan klien dan server terhubung, kemudian masuk ke tahap handshake dengan
mengirim pesan hello dalam format hex, setelah tahap handshake selesai, maka dilakukan pengiriman paket heartbleed. Hasil proses penyerangan ini diperoleh celah
keamanan dapat dilihat di tabel 4.3 yang rentan diserang Heartbleed. Berdasarkan proses pengujian serangan Heartbleed, disimpulkan sebuah
website vulnerable atau memiliki celah keamanan heartbleed, karena kesalahan penanganan request yang dilakukan ekstensi heartbeat OpenSSL. Ekstensi heartbeat
yang berfungsi untuk menjaga hubungan antara klien dan server, memiliki kelemahan dalam menanggapi respon yang dikirim klien ke server. Server tidak melakukan
pengecekan terhadap pesan dan panjang pesan yang di request oleh klien. Sehingga klien bebas mengakses memori server. Dengan kelemahan yang dimiliki server,
pengguna dapat meminta isi memori server yang bersifat rahasia sampai 64.000 karakter. Pada saat pengguna menginginkan untuk melakukan validasi SSL, maka
input berupa URL yang telah diberikan, akan dilakukan pengecekan jenis cipher yang digunakan, jenis verifikasi kunci dan cipher suite yang digunakan aplikasi.
Kemungkinan resiko yang disebabkan ketika aplikasi web diserang karena kelemahan di teknologi SSl adalah pembajakan data-data penting dengan mempengaruhi layanan
SSL untuk menampilkan data-data sensitif yang terdapat dalam aplikasi web seperti username, password, alamat, data-data keuangan, dan data pribadi lainnya. Untuk
hasil testing nya dapat dilihat pada gambar 4.6.
Universitas Sumatera Utara
Gambar 4.4 hasil testing heartbleed
Gambar diatas salah satu contoh aplikasi website www.voobys.com yang rentan terhadap heartbleed. Dimana payload sebanyak 16384 bytes yang diminta klien
diberikan server secara keseluruhan. Berbeda dengan aplikasi website yang tetap mengijinkan handshake namun tidak rentan terhadap heartbleed. Server hanya akan
memberikan respon tidak lebih dari panjang request yang dikirim klien, seperti gambar 4.5
Gambar 4.5 hasil testing tidak heartbleed
Universitas Sumatera Utara
Gambar 4.6 proses verifikasi SSLTLS server
4.3.3 Hasil pengujian aplikasi Mobile terhadap Kelemahan OpenSSl Setelah dilakukan scan otomatis oleh aplikasi dari sampel aplikasi mobile yang diuji,
dapat dilihat beberapa versi aplikasi dan versi OpenSSL yang dimiliki aplikasi serta jenis kelemahan versi OpenSSL yang dimiliki aplikasi yang diidentifikasi. Untuk
menjelaskan proses pengujian diambil beberapa sampel pada tabel 4.7, dilakukan pengujian untuk mendeteksi jenis kelemahan OpenSSL terhadap versi OpenSSL
aplikasi atau tidak. Proses pengujian dilakukan dengan pengecekan versi OpenSSL android,
dilanjutkan dengan proses pengecekan versi browser dan kemudian dilakukan pengecekkan versi OpenSSL aplikasi. Untuk hasilnya dapat dilihat pada tabel 4.9 dan
4.10. Berdasarkan proses menguji kelemahan OpenSSL, disimpulkan rentannya
OpenSSL yang dimiliki android dan aplikasi terinstall didalamnya dengan melakukan pengecekkan terhadap versi OpenSSL yang dimiliki.
Universitas Sumatera Utara
Gambar 4.6 hasil testing device
Universitas Sumatera Utara
BAB 5 KESIMPULAN DAN SARAN