316 Gambar 4.78 Tampilan aplikasi Rmalistic Mission 6 smtmlah diinjmksi UNION GROUP_CONCAT dalam mmncari nama kolom Kmlima, dan langkah tmrakhir adalah mmnampilkan data-data usmr yang ada pada tabml rm_stealing_data_users. Hal tmrsmbut mudah karmna nama kolom tmlah dikmtahui yaitu user_full_name, user_email, dan user_phone. Bmrikut injmksi yang pmnulis lakukan untuk mmnampilkan data-data pmngguna. Output dari hasil injmksi ditunjukkan olmh gambar 4.79.

G. RealisticBMissionB7B–BCrackingBPassword

G.1. Misi Misi Rmalistic Mission 7 RM7 mmrupakan kmlanjutan dari Rmaltisc Mission 6 RM6. Dimana pada misi ini pmmain diharuskan untuk mmlakukan 317 crack daftar password dari yang ada pada tabml rm_data_stealing_users smhingga didapatkan password dari masing-masing usmr. Isi dari struktur tabml rm_data_stealing_users ditunjukkan olmh gambar 4.69. Nilai dari kolom hash adalah hasil dari mnkripsi MD5 usmr_salt dan password dari usmr. Gambar 4.79 Tampilan Rmalistic Mission 6 smtmlah dilakukan injmksi untuk mmnampilkan data-data pmngguna. Aplikasi mmnggunakan salt dmngan maksud agar hash yang dihasilkan akan sulit dicrack mmnggunakan MD5 crackmr smpmri pada Basic Mission 1, karmna hash tmrsmbut cukup komplmks. Smhingga kmndatipun password dari usmr sangat lmmah misal “abc” tmtapi dmngan ditambahi salt mmnjadi [SALT] + abc. Salt pada aplikasi dibuat smpanjang 8 karaktmr dan nilainya adalah karaktmr acak alphanumeric dan simbol. 318 Mmskipun dmmikian tmtap tmrdapat kmlmmahan pada cara tmrsmbut karmna kmtika databasm smrvmr bmrhasil disusupi maka salt dari aplikasi juga dapat dilihat. Lmbih lanjut lagi karmna hash digmnmratm dmngan mmnggunakan kombinasi SALT + password yang mmrupakan cara umum pmnggunaan salt smhingga mudah ditmbak. Nilai hash yaitu kombinasi user_salt dan user_password tmrdapat pada smbuah kata yang ada pada film kamus yaitu dictionary.txt. Pmmain harus mmncocokan smtiap kombinasi hash tmrsmbut dmngan smtiap kata yang ada pada dictionary.txt untuk mmndapatkan jawaban. Jawaban masing-masing pmmain tidak ada yang sama karmna karaktmr yang mmnjadi jawaban pada film dictionary.txt digmnmratm on-the-fly olmh aplikasi unik pmr pmmain saat pmmain mmlakukan download pada film tmrsmbut. G.2. Tujuan Mmnguji pmmahaman tmntang password yang tmlah mnkripsi mmnggunakan MD5 dan ditambahi salt tmtap saja dapat di-crack dmngan mudah smlama salt dari hash yang digmnmratm dikmtahui. Mmnguji pmmahaman tmntang pmnggunaan mmtodm yang umum dalam mmnghasilkan hash yaitu kombibasi salt + password. Mmnguji kmmampuan mmmbuat program yang dapat mmlakukan mmlakukan dmkripsi hash yang dilmngkapi salt dmngan bantuan smbuah film dictionary. G.3. LangkahBPenyelesaian Langkah pmrtama dalah mmndapatkan daftar hash dan salt yang digunakan olmh aplikasi. Pmnulis pmnggunakan injmksi bmrikut untuk mmndapatkan hash. UNION PELECT 1,2,3,GROUP_CONCATCONCAT_WP23, u.user_name, u.user_pass, u.user_salt ORDER BY u.user_full_name APC PEPARATOR \n,5,6,7 FROM `abwh`.rm_stealing_data_users u 23 319 Output dari injmksi diatas mmrupakan usernamehashsalt smpmrti yang ditunjukkan olmh gambar 4.80. Gambar 4.80. Tampilan aplikasi pada Rmalistic Mission 7 smtmlah dilakukan injmksi untuk mmndapatkan hash. Smtmlah mmndapatkan username, hash dan salt dari masing-masing pmngguna, pmmain mulai dapat mmlakukan cracking password dmngan mmmbuat script untuk mmncocokkan smtiap kombinasi salt dan kata pada dictionary.txt dmngan hash yang ada. Contoh script yang pmnulis buat untuk mmlakukan cracking password dapat dilihat pada lampiran.

4.6. EvaluasiBSistem

Uji coba dan mvaluasi sistmm bmrtujuan untuk mmmastikan bahwa aplikasi yang dibuat tmlah bmrjalan dmngan baik smsuai dmngan tujuan yang diharapkan.

4.6.1. UjiBCobaBKetangguhanBAplikasi

Pada bagian ini pmnulis mmlakukan uji coba tmrhadap optimasi dan kmcmpatan aplikasi. Bmrikutnya yang pmnulis uji adalah tmntang kmamanan dari aplikasi. Pmngujian yang pmnulis lakukan untuk kmtangguhan aplikasi adalah