04-PDK-Finding Vulnerability 04-PDK-Finding Vulnerability.pdf
AlexanderJPSibarani1
0 views
35 slides
Sep 29, 2025
Slide 1 of 35
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
About This Presentation
04-PDK-Finding Vulnerability.pdf
Slide Content
Pertemuan4–Vulnerability Assesment
I Wayan Ardiyasa-ITB STIKOM Bali 2024
KeamananSiber
I Wayan Ardiyasa-ITB STIKOM Bali 2024
KeamananSiber
Introduction
•Perubahanyang sangat cepat, kadangkala meluputkan
developer dalammelakukanpengujianterhadapaplikasi
yang dibangun.
•Pengujianmerupakanproses yang sangat pentingdidalam
pengembanganperangkatlunakyang berkualitastinggi,
karenadaribeberapakesalahanyang dianggaptidak
pentingberesikosangat berbahayahalinimenjadicelah
(vulnerability) bagiattacker untukmemanfaatkan
informasiyang di curimelaluiserangankepadaaplikasi,
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Perubahanyang sangat cepat, kadangkala meluputkan
developer dalammelakukanpengujianterhadapaplikasi
yang dibangun.
•Pengujianmerupakanproses yang sangat pentingdidalam
pengembanganperangkatlunakyang berkualitastinggi,
karenadaribeberapakesalahanyang dianggaptidak
pentingberesikosangat berbahayahalinimenjadicelah
(vulnerability) bagiattacker untukmemanfaatkan
informasiyang di curimelaluiserangankepadaaplikasi,
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Introduction
•Kebutuhanakanvulnerability assessmentselamaini
biasanyadipandangsebelahmata, karenahanyadianggap
sebagaikegiatanformalitasdan sedikitorang yang
melakukankegiatanini.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Kebutuhanakanvulnerability assessmentselamaini
biasanyadipandangsebelahmata, karenahanyadianggap
sebagaikegiatanformalitasdan sedikitorang yang
melakukankegiatanini.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
DefinisiVulnerability
•Vulnerabilityadalahsebuahkelemahan, kekuranganatau
celahpada sistem, yang dapatdimanfaatkanoleh satuatau
lebihdaripenyeranguntukmelakukanseranganyang dapat
membahayakankerahasiaan, integritas, atauketersediaan
suatusistem.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Vulnerabilityadalahsebuahkelemahan, kekuranganatau
celahpada sistem, yang dapatdimanfaatkanoleh satuatau
lebihdaripenyeranguntukmelakukanseranganyang dapat
membahayakankerahasiaan, integritas, atauketersediaan
suatusistem.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
DefinisiVulnerability Assesment
•Vulnerability Assesmentadalahanalisakeamanansecara
menyeluruhdan mendalamsepertipada keamanan
informasi, hasilscanning jaringan, carapengelolaan,
konfigurasipada sistem, kesadarankeamananaktoryang
terlibatdan keamananfisik, untukmengetahuiseluruh
potensikelemahankritisyang ada.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Vulnerability Assesmentadalahanalisakeamanansecara
menyeluruhdan mendalamsepertipada keamanan
informasi, hasilscanning jaringan, carapengelolaan,
konfigurasipada sistem, kesadarankeamananaktoryang
terlibatdan keamananfisik, untukmengetahuiseluruh
potensikelemahankritisyang ada.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
DefinisiVulnerability Assesment
•Vulnerability Assessment akandilakukandenganmelakukan
pemeriksaansecaraterperincidan sistematispada
infrastrukturkomputasisuatubisnisatauperusahaanuntuk
menentukankelemahanataucelahyang mungkinbisa
ditembusoleh pihaktidakbertanggungjawabdalamdesai,
implantasiatauprakteknya.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Vulnerability Assessment akandilakukandenganmelakukan
pemeriksaansecaraterperincidan sistematispada
infrastrukturkomputasisuatubisnisatauperusahaanuntuk
menentukankelemahanataucelahyang mungkinbisa
ditembusoleh pihaktidakbertanggungjawabdalamdesai,
implantasiatauprakteknya.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
TujuanVulnerability Assesment
•Untukmelakukanproses identifikasi, evaluasi, dan klasifikasitingkatkerentanan
pada sistemkeamananyang adapada ekosisteminformasiteknologi.
•Hasil dariidentifikasi, evaluasi, dan klasifikasimelaluiVulnerability Assessment
akanmemberikanpandangankepadapemiliksistemyang mengadakanproses
tersebutagar penggunatahubahwaadacelahyang bisadisalahgunakanoleh
pihakyang tidakbertanggungjawabterkaitdata pentingpenggunatersebut.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Untukmelakukanproses identifikasi, evaluasi, dan klasifikasitingkatkerentanan
pada sistemkeamananyang adapada ekosisteminformasiteknologi.
•Hasil dariidentifikasi, evaluasi, dan klasifikasimelaluiVulnerability Assessment
akanmemberikanpandangankepadapemiliksistemyang mengadakanproses
tersebutagar penggunatahubahwaadacelahyang bisadisalahgunakanoleh
pihakyang tidakbertanggungjawabterkaitdata pentingpenggunatersebut.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Jenis-JenisVulnerability Assesment
1.Host Assesment
Assessment akandilakukanpada server, workstation, jaringanhost lainnyadan keseluruhan
infrastrukturdigital
2.Network Assesement
Pemeriksaanpada jaringan(Kabel maupunnirkabel) dan untukmemastikanjaringanpublik
ataujaringanpribaditidakdiaksesoleh orang yang tidakberwenang
3.AplicationAssesment
Melakukanpemeriksaankerentanandalamaplikasi
4.Database Assesment
Melakukanpemeriksaanuntukmendapatkancelahkeamananpada database.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
1.Host Assesment
Assessment akandilakukanpada server, workstation, jaringanhost lainnyadan keseluruhan
infrastrukturdigital
2.Network Assesement
Pemeriksaanpada jaringan(Kabel maupunnirkabel) dan untukmemastikanjaringanpublik
ataujaringanpribaditidakdiaksesoleh orang yang tidakberwenang
3.AplicationAssesment
Melakukanpemeriksaankerentanandalamaplikasi
4.Database Assesment
Melakukanpemeriksaanuntukmendapatkancelahkeamananpada database.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
MetodeVulnerability Assesment
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Identification
Scope
Information
Gathering
Vulnerability
Scanning
Vulnerability
Analisis
Report
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Identification
Scope
Information
Gathering
Vulnerability
Scanning
Vulnerability
Analisis
Report
MetodeVulnerability Assesment
•Identification Scope Tahapuntukmelakukanidentifikasiruanglingkup
penelitianyaitudenganmemilihsistemtarget.
•Information Gathering Tahapuntukmengumpulaninformasipublik, sepertiIP
Address, Port, host name.
•Vulnerability Scanning Tahapuntukmencarikerentananpada sistem
informasi
•VulnerabiltyAnalisisTahapuntukmenganalisisinformasi-informasi
vulnerability yang ditemukan.
•Report Terkaitdengandokumentasikegiatan
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Identification Scope Tahapuntukmelakukanidentifikasiruanglingkup
penelitianyaitudenganmemilihsistemtarget.
•Information Gathering Tahapuntukmengumpulaninformasipublik, sepertiIP
Address, Port, host name.
•Vulnerability Scanning Tahapuntukmencarikerentananpada sistem
informasi
•VulnerabiltyAnalisisTahapuntukmenganalisisinformasi-informasi
vulnerability yang ditemukan.
•Report Terkaitdengandokumentasikegiatan
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Finding Vulnerability
I Wayan Ardiyasa-ITB STIKOM Bali 2024
I Wayan Ardiyasa-ITB STIKOM Bali 2024
DefinisiFinding Vulnerability
•Suatuproses identifikasicelahkeamananpada suatusistem,
aplikasi, ataujaringan.
•Tujuannyayaituuntukmenemukanvulnerability yang bisa
dieksploitasi.
•Teknik Finding Vulnerability yaitu:
•Scanning Network
•Scanning Vulnerability (Nessus, Nmap)
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Suatuproses identifikasicelahkeamananpada suatusistem,
aplikasi, ataujaringan.
•Tujuannyayaituuntukmenemukanvulnerability yang bisa
dieksploitasi.
•Teknik Finding Vulnerability yaitu:
•Scanning Network
•Scanning Vulnerability (Nessus, Nmap)
I Wayan Ardiyasa-ITB STIKOM Bali 2024
DefinisiScanning
•Teknik untukmengidentifikasihost, portnumberdan service
didalamsebuahjaringan.
•Scanning Network sebagaikomponenintelligencegatheringbagi
seorangattacker untukmengetahuiarsitektursystem dan jaringan
suatutarget.
•Output scanning network :
•IP Address dan port number pada host;
•SistemOperasisertaarsitektursystem;
•Service yang berjalanpada host.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Teknik untukmengidentifikasihost, portnumberdan service
didalamsebuahjaringan.
•Scanning Network sebagaikomponenintelligencegatheringbagi
seorangattacker untukmengetahuiarsitektursystem dan jaringan
suatutarget.
•Output scanning network :
•IP Address dan port number pada host;
•SistemOperasisertaarsitektursystem;
•Service yang berjalanpada host.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Gambaran umumScanning
I Wayan Ardiyasa-ITB STIKOM Bali 2024
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Teknik Scanning
•Port Scanning
•MencariinformasitentangPort number sertaservice yang berjalanpada
mesintarget;
•Network Scanning
•MencariinformasiIP address pada mesintarget/host yang terkoneksipada
jaringankomputersertamelakukanmapping jaringan;
•Vulnerability Scanning
•Mencariinformasivulnerability pada meisntarget/ host didalamjaringan
komputer.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Port Scanning
•MencariinformasitentangPort number sertaservice yang berjalanpada
mesintarget;
•Network Scanning
•MencariinformasiIP address pada mesintarget/host yang terkoneksipada
jaringankomputersertamelakukanmapping jaringan;
•Vulnerability Scanning
•Mencariinformasivulnerability pada meisntarget/ host didalamjaringan
komputer.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
KonsepScanning
•Mengirimkanrequest ICMP ECHO kehost. Jika host dalam
keadaanup/live, makahost akanmereplayICMP ECHO.
•Teknik scanning ini, bergunauntukmencariperangkataktif
ataumenentukanapakahICMPmelewatifirewall
•Perintahnmaptool
•Nmap –v –sP192.168.1.1/24
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Mengirimkanrequest ICMP ECHO kehost. Jika host dalam
keadaanup/live, makahost akanmereplayICMP ECHO.
•Teknik scanning ini, bergunauntukmencariperangkataktif
ataumenentukanapakahICMPmelewatifirewall
•Perintahnmaptool
•Nmap –v –sP192.168.1.1/24
I Wayan Ardiyasa-ITB STIKOM Bali 2024
ContohPerintahScanning
Berikutperintahscan denganmenggunakanaplikasiNmap, yaitu
:
•nmap–v –A 127.0.0.1 MendapatkanInformasilebihdetail
darimesintarget (ALL)
•nmap–O 127.0.0.1InformasiOS yang digunakantarget
•nmap–sA127.0.0.1Mendeteksifirewall pada mesintarget
•nmap–sP127.0.0.1menemukanhost yang aktifdidalam
jaringan
•nmap–p0-200 127.0.0.1scanning untukspesifikport
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Berikutperintahscan denganmenggunakanaplikasiNmap, yaitu
:
•nmap–v –A 127.0.0.1 MendapatkanInformasilebihdetail
darimesintarget (ALL)
•nmap–O 127.0.0.1InformasiOS yang digunakantarget
•nmap–sA127.0.0.1Mendeteksifirewall pada mesintarget
•nmap–sP127.0.0.1menemukanhost yang aktifdidalam
jaringan
•nmap–p0-200 127.0.0.1scanning untukspesifikport
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Scanning Vulnerability
I Wayan Ardiyasa-ITB STIKOM Bali 2024
I Wayan Ardiyasa-ITB STIKOM Bali 2024
PengertianVulnerability
Suatukelemahanprogram/infrastrukturyang memungkinkan
terjadinyaexploitasisistem. kerentanan(vulnerability) ini
terjadiakibatkesalahandalammerancang,membuatatau
mengimplementasikansebuahsistem
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Suatukelemahanprogram/infrastrukturyang memungkinkan
terjadinyaexploitasisistem. kerentanan(vulnerability) ini
terjadiakibatkesalahandalammerancang,membuatatau
mengimplementasikansebuahsistem
I Wayan Ardiyasa-ITB STIKOM Bali 2024
BagaimanaterjadinyaBug
Vulnerability/bug terjadiketikadeveloper melakukan
kesalahanlogikakodingataumenerapkanvalidasiyang tidak
sempurnasehinggaaplikasiyang dibuatnyamempunyai
celahyang memungkinkanuser ataumetodedariluarsistem
bisadimasukankedalamprogramnya.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Vulnerability/bug terjadiketikadeveloper melakukan
kesalahanlogikakodingataumenerapkanvalidasiyang tidak
sempurnasehinggaaplikasiyang dibuatnyamempunyai
celahyang memungkinkanuser ataumetodedariluarsistem
bisadimasukankedalamprogramnya.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
JenisBug
•Firmware (Hardcoded software)
•Software
•Brainware
•Web Sistem
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Firmware (Hardcoded software)
•Software
•Brainware
•Web Sistem
I Wayan Ardiyasa-ITB STIKOM Bali 2024
JenisBug/Vulnerability pada Windows
Windows xpvulnerability ms08-067 (Remote Vulnerability
|Service vulnerability)
Celahkeamananinimemungkinkanattacker untuk
menjalankanmalware secararemote dengancaramembuat
paketrequest khusus.
https://technet.microsoft.com/en-us/library/security/ms08-
067.aspx
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Windows xpvulnerability ms08-067 (Remote Vulnerability
|Service vulnerability)
Celahkeamananinimemungkinkanattacker untuk
menjalankanmalware secararemote dengancaramembuat
paketrequest khusus.
https://technet.microsoft.com/en-us/library/security/ms08-
067.aspx
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Informasibug dan vulnerability up-to-date
•Exploit DB : https://www.exploit-db.com/
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Exploit DB : https://www.exploit-db.com/
I Wayan Ardiyasa-ITB STIKOM Bali 2024
KategoriTemuanBug
•ZeroDay Vulnerabilityvulnerability yang ditemukan
oleh hacker sedangkanpihakdeveloper tidak
mengetahuinya, dan hacker mengambilkeuntungandari
vulnerability tersebutuntukmenyebarkanmalware atau
masukkesistemsecarailegal.
•Zero day Exploit exploit yang dibuathacker berdasar
zero day vulnerability yang ditemukannyauntuk
mengexploitasisistemyang tentanterhadapvulnerability
yang telahditemukannya.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•ZeroDay Vulnerabilityvulnerability yang ditemukan
oleh hacker sedangkanpihakdeveloper tidak
mengetahuinya, dan hacker mengambilkeuntungandari
vulnerability tersebutuntukmenyebarkanmalware atau
masukkesistemsecarailegal.
•Zero day Exploit exploit yang dibuathacker berdasar
zero day vulnerability yang ditemukannyauntuk
mengexploitasisistemyang tentanterhadapvulnerability
yang telahditemukannya.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Scanning Vulnerability
Scanning vulnerability mencari/memindaikerentanandi
seluruhsisteminformasi(termasukkomputer, sistem
jaringan, sistemoperasi, dan aplikasiperangkatlunak) yang
mungkinberasaldarivendor, kegiatanadministrasisistem,
atauaktivitaspengguna
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Scanning vulnerability mencari/memindaikerentanandi
seluruhsisteminformasi(termasukkomputer, sistem
jaringan, sistemoperasi, dan aplikasiperangkatlunak) yang
mungkinberasaldarivendor, kegiatanadministrasisistem,
atauaktivitaspengguna
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Tools Scanning Vulnerability
•Tools yang dgunakanantaralain :
1.Nessus
2.Nikto
3.OpenVAS
4.Acunetix
5.W3AF
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Tools yang dgunakanantaralain :
1.Nessus
2.Nikto
3.OpenVAS
4.Acunetix
5.W3AF
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Teknik Scanning Vuln : Nessus
•UntukmengaksesNessus, bisamelakukanvia browser denganurl:
https://localhost:8834/#/
•Untukmenjalankannessusperludilakukanstart nessusdengan
command:
•#/etc/init.d/nessusdstart
•Untukmenghentikanproses nessuslakukandenganperintahberikut
:
•#/etc/init.d/nessusdstop
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•UntukmengaksesNessus, bisamelakukanvia browser denganurl:
https://localhost:8834/#/
•Untukmenjalankannessusperludilakukanstart nessusdengan
command:
•#/etc/init.d/nessusdstart
•Untukmenghentikanproses nessuslakukandenganperintahberikut
:
•#/etc/init.d/nessusdstop
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Teknik Scanning Vuln : Nessus
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Halaman Login
•Untuklogin akun
menggunakanusername &
password yang sudah
didaftarkanmelaluiweb
nesusyaitutenable
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Halaman Login
•Untuklogin akun
menggunakanusername &
password yang sudah
didaftarkanmelaluiweb
nesusyaitutenable
Teknik Scanning Vuln : Nessus
•Untukmelakukanscan, KlikButton New Scan pada gambar
berikut:
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Untukmelakukanscan, KlikButton New Scan pada gambar
berikut:
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Teknik Scanning Vuln : Nessus
Selanjutnyaitupilihadvanced scanatauBasic Network Scan pada
Scan Templates
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Selanjutnyaitupilihadvanced scanatauBasic Network Scan pada
Scan Templates
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Teknik Scanning Vuln : Nessus
Pada mode scan yang dipilih, isipada isianyang diminta. Seperti
gambardibawahini:
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Pada mode scan yang dipilih, isipada isianyang diminta. Seperti
gambardibawahini:
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Teknik Scanning Vuln : Nessus
•Selanjutnyaklikbutton ►pada halamankerja, sepertiDigambar
dibawahini:
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Selanjutnyaklikbutton ►pada halamankerja, sepertiDigambar
dibawahini:
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Hasil Scanning dariNessus
Output yang dihasilkandariscanning terhadapmesintarget yaituapabila
CRITICALberartimesintarget tersebutmemilikivulnerability. Pada hasilscanning
tersebutjuga diberikaninformasidariexploit yang bisadigunakanuntuk
melakukantahapgaining acces
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Output yang dihasilkandariscanning terhadapmesintarget yaituapabila
CRITICALberartimesintarget tersebutmemilikivulnerability. Pada hasilscanning
tersebutjuga diberikaninformasidariexploit yang bisadigunakanuntuk
melakukantahapgaining acces
I Wayan Ardiyasa-ITB STIKOM Bali 2024
Scanning Vulnerability denganNmap
•Didalamjaringankomputerterkaitdenganmencari
informasivulnerability pada suatuhost bisamenggunakan
nmapdenganmenggunakanoption --script vuln,
sepertidibawahini:
•nmap--script vuln 192.168.10.1
•Ket :
•--script vuln: Menjalankanscript vuln pada target.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
•Didalamjaringankomputerterkaitdenganmencari
informasivulnerability pada suatuhost bisamenggunakan
nmapdenganmenggunakanoption --script vuln,
sepertidibawahini:
•nmap--script vuln 192.168.10.1
•Ket :
•--script vuln: Menjalankanscript vuln pada target.
I Wayan Ardiyasa-ITB STIKOM Bali 2024
I Wayan Ardiyasa-ITB STIKOM Bali 2023
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 0
- Slides 35
- Age 64 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
46 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
46 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
37 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
34 views
21
Know for Certain
DaveSinNM
21 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
26 views