Pada tanggal 2 – 6 Juni 2013, Kementerian Kominfo Ditjen Aplikasi Telematika, Direktorat Keamanan Informasi mengadakan workshop tentang vulnerability assesment untuk para web administrator di lingkungan internal Kominfo termasuk Monumen Pers Nasional. Workshop tersebut dilaksanakan di hotel Novotel jalan Cihampelas Bandung, Jawa Barat selama 5 hari. Merujuk pada kasus-kasus peretasan di beberapa website milik pemerintah beberapa tahun terakhir, pihak Kementerian Kominfo merasa perlu diadakannya workshop tersebut dengan tujuan dapat meningkatkan kemampuan teknis para web administrator yang mengelola aplikasi internal berbasis web di lingkungan Kominfo. Workshop tersebut dibuka oleh Bapak Bambang Heru Tjahjono selaku Direktur Direktorat Keamanan Informasi DitJen Aplikasi Telematika Kementerian Kominfo dan pemateri diisi oleh dua orang narasumber dari OWASP(Open Web Application Security Project) Indonesia.
Berbagai macam serangan yang bisa dilakukan untuk menyerang website pemerintah dijabarkan oleh para narasumber. Mulai dari serangan Phising, Spam, Virus dan lain-lain. Dari seluruh macam serangan yang dimungkinkan, narasumber memilih dua materi serangan yang di kupas lebih dalam dan bagaimana cara penangkalannya. Tipe serangan tersebut adalah serangan SQL Injection dan XSS (Cross Side Script). SQL Injection adalah serangan yang memanfaatkan syntax-syntax query database yang dimasukkan oleh peretas kedalam aplikasi berbasis web yang memiliki celah keamanan. Selain itu, narasumber juga mendemonstrasikan bagaimana berbahayanya efek serangan SQL Injection terhadap database aplikasi berbasis web yang diserang. Dengan beberapa perintah SQL Injection, para peretas, dapat memanipulasi database yang dimiliki aplikasi web tersebut dari jarak jauh (remote attack), tak ketinggalan serangan yang menggunakan metode XSS juga di demonstrasikan oleh para narasumber. Tipe serangan XSS ini mirip dengan serangan SQL Injection, dimana peretas melakukan injeksi script atau kode-kode program ke dalam aplikasi web melalui celah yang ada pada aplikasi-aplikasi milik pemerintah. Dengan metode ini, peretas sanggup mengambil alih seluruh kendali server dari celah aplikasi web yang telah di analisa sebelumnya.Dari seluruh materi serangan yang telah dijabarkan, para narasumber juga memberikan solusi bagaimana cara untuk menangkal serangan dari para peretas tersebut. Untuk SQL Injection dan XSS, ada dua metode yang dapat digunakan untuk menangkalnya, yaitu dengan cara perbaikan (patching) kode sumber aplikasi web yang telah dibuat dan dikembangkan. Perbaikan yang dilakukan adalah dengan melakukan validasi setiap input di dalam aplikasi. Validasi yang dimaksud adalah melakukan penolakan terhadap input pada form aplikasi yang memiliki karakter khusus seperti yang umum digunakan pada script pemrogramanan atau perintah query SQL. Metode yang kedua adalah melakukan konfigurasi pada server web dengan menambahkan firewall aplikasi seperti modsecurity pada web server yang digunakan. Di Workshop itu, narasumber juga menjelaskan bagaimana cara mengaudit sebuah aplikasi web dan server web dengan memakai tool Zap, Burb dan nikto. Ketiga aplikasi tersebut berbasis opensource dan atau bersifat free sehingga kita tidak perlu mengeluarkan biaya pembelian lisensi untuk menggunakannya.
Sebagai penutup, narasumber juga menyarankan kepada para web administrator yang hadir disitu untuk terus belajar dan meningkatkan kemampuan dan pengetahuannya tentang web security melalui WebGoat dan DVWA (Damn Vulnerable Web Application) yang juga dapat di unduh secara gratis melalui website OWASP. (Christianto Haryo Nugroho, A.Md)
