Selasa, 02 Juni 2026

Praktikum Penetrasi Tools Menggunakan Web Vulnerability Scanner (Nikto)

 Praktikum Penetrasi Tools Menggunakan Web Vulnerability Scanner (Nikto)


Disusun Oleh:

1.

M. Zakariyah Adi kusuma

(25051204178)

2.

Dimas Giovanni T

(25051204168)

3.

Muhammad Hisyam

(25051204169)

4.

Shah Aziz Ramadhan Ar-Rasheed

(25051204179)





BAB I

PENDAHULUAN 

1.1  Latar Belakang

Keamanan sistem informasi menjadi isu krusial seiring meningkatnya ancaman siber. Oleh karena itu, diperlukan pemahaman mengenai hacking tools atau penetration testing tools yang digunakan untuk menguji keamanan suatu sistem secara legal dan terstruktur. Salah satu tools yang umum digunakan adalah Nikto, yaitu sebuah web server scanner yang bersifat open-source dan digunakan untuk mendeteksi berbagai kerentanan pada server web, seperti konfigurasi yang tidak aman, file berbahaya, serta potensi celah keamanan lainnya.

Penggunaan Nikto memungkinkan pengguna untuk melakukan pemindaian terhadap server web secara otomatis dan mendapatkan informasi terkait kelemahan sistem yang dapat dimanfaatkan oleh penyerang. Dengan demikian, hasil dari pemindaian tersebut dapat digunakan sebagai dasar untuk meningkatkan keamanan sistem dan mencegah potensi serangan siber.

Berdasarkan hal tersebut, laporan ini dibuat untuk mempelajari dan mengenal penggunaan tools Nikto dalam melakukan pengujian keamanan sistem.

1.2 Tujuan Praktikum

Adapun tujuan dari penulisan laporan ini adalah:

1.     Memahami konsep dasar penetration testing dalam keamanan sistem.

2.  Mengetahui fungsi serta cara penggunaan tools Nikto dalam melakukan pengujian keamanan web server.

3.  Mampu mengidentifikasi berbagai jenis miskonfigurasi dan kerentanan keamanan (vulnerabilities) pada layanan web server melalui hasil pemindaian otomatis.

4.  Mampu menghasilkan serta menganalisis laporan hasil audit keamanan web secara terstruktur dalam format HTML untuk keperluan dokumentasi dan langkah mitigasi.

1.3 Manfaat Praktikum

Manfaat dari penulisan laporan ini adalah:

1.  Memberikan pengetahuan dasar tentang pengujian keamanan sistem menggunakan tools Nikto.

2.    Menjadi referensi pembelajaran dalam bidang sistem operasi dan keamanan jaringan, khususnya dalam mendeteksi kerentanan web server.

3.  Meningkatkan kemampuan dalam menganalisis berbagai jenis celah keamanan riil seperti miskonfigurasi header dan kebocoran informasi teknis pada infrastruktur web.

4. Memberikan keterampilan praktis dalam menyusun laporan audit keamanan yang profesional dan terstandarisasi untuk keperluan dokumentasi teknis maupun langkah mitigasi lanjutan.


BAB II
TINJAUAN PUSTAKA


2.1 Keamanan Sistem Informasi dan Penetration Testing

     Keamanan sistem informasi adalah upaya berkelanjutan untuk melindungi aset digital dari akses, penggunaan, modifikasi, atau gangguan yang tidak sah. Salah satu metode proaktif untuk mengevaluasi postur keamanan suatu sistem adalah melalui Penetration Testing (Uji Penetrasi). Uji penetrasi adalah simulasi serangan siber yang dilakukan secara legal dan terstruktur untuk mengidentifikasi, mengeksploitasi, serta menambal celah keamanan (vulnerabilities) sebelum pihak peretas (threat actors) dapat memanfaatkannya.

2.2 Web Server dan Risiko Miskonfigurasi

     Web server (seperti Apache, Nginx, atau IIS) adalah perangkat lunak yang berfungsi melayani permintaan protokol HTTP/HTTPS dari klien (browser). Secara default, instalasi web server sering kali menyertakan modul-modul bawaan, halaman informasi statistik (seperti mod_status pada Apache), serta konfigurasi minimum yang lebih mengutamakan kemudahan akses daripada keamanan. Miskonfigurasi seperti ini, jika tidak segera disesuaikan oleh administrator (proses hardening), dapat menjadi celah bagi penyerang untuk melakukan pengintaian (reconnaissance) sistem target.

2.3 Vulnerability Assessment Tools

     Vulnerability Assessment merupakan proses identifikasi, kuantifikasi, dan prioritas celah keamanan pada sebuah infrastruktur. Proses ini umumnya dilakukan menggunakan tools pemindai otomatis (scanner). Alat-alat ini bekerja dengan membandingkan respons dari target terhadap pangkalan data (database) pola kerentanan yang sudah diketahui, mencari informasi header yang bocor, perangkat lunak yang sudah kedaluwarsa, atau keberadaan file-file yang berpotensi membahayakan.

2.4 Nikto Web Scanner

     Nikto adalah web server scanner berbasis bahasa pemrograman Perl yang bersifat open-source (GPL). Nikto dirancang untuk melakukan pengujian komprehensif terhadap target web server dengan memindai lebih dari 6.700 file/CGI yang berpotensi berbahaya, memeriksa versi server yang sudah usang, serta mendeteksi masalah spesifik pada ribuan jenis server. Nikto juga melakukan evaluasi terhadap HTTP headers yang dapat mengindikasikan ketiadaan perlindungan terhadap serangan klien, seperti Clickjacking (ketiadaan X-Frame-Options) atau kebocoran informasi teknis tingkat rendah (Inodes via ETag).


BAB III
PELAKSANAAN DAN PEMBAHASAN


3.1 Lingkungan Praktikum

Praktikum ini dilaksanakan pada lingkungan sistem operasi Ubuntu 24.04.4 LTS dieksekusi secara bare metal menggunakan media Live USB dengan Persistence Storage. Penggunaan metode persistence memungkinkan sistem untuk tetap menyimpan perubahan data, konfigurasi, dan instalasi perangkat lunak meskipun sistem dijalankan melalui media portabel tanpa proses instalasi permanen ke hard drive.

Komponen teknis yang digunakan dalam lingkungan praktikum ini meliputi:

1.    Sistem Operasi: Ubuntu Linux 24.04.4 LTS (64-bit) yang berjalan langsung di atas perangkat keras untuk menjamin performa maksimal.

2.    Antarmuka Kendali: Command Line Interface (CLI) melalui terminal bawaan dengan shell Bash.

3.    Perangkat Lunak Keamanan: Nikto Web Scanner, perangkat lunak audit keamanan open-source yang digunakan untuk mendeteksi miskonfigurasi dan celah keamanan pada target.

4.    Target Pengujian: Layanan web server Apache2 yang dikonfigurasi secara lokal sebagai objek simulasi penetrasi.

 

3.2 Hacking tools, penetrasi tools (Nikto)

          Pada praktikum ini kami menggunakan tool penetrasi Open Source bernama Nikto untuk memindai kerentanan (vulnerability scanning) pada web server. Nikto bekerja secara otomatis menguji ribuan miskonfigurasi dan file berbahaya pada target.

1.   1.  Persiapan: Mengaktifkan "Target" (Web Server)

a)    Instal Apache

Gambar 3.1 Tampilan terminal

Gambar 3.2 Tampilan terminal
   Perintah sudo apt update adalah langkah "pemanasan" yang wajib dilakukan sebelum menginstal aplikasi apa pun di Linux, termasuk Apache. Perintah ini memastikan sistem tahu versi terbaru dari Apache yang tersedia. Perintah sudo apt install apache2 -y digunakan untuk memasang paket Apache2. Parameter -y digunakan agar sistem secara otomatis memberikan jawaban "Yes" atau setuju pada setiap konfirmasi, sehingga proses instalasi berjalan terus tanpa berhenti menunggu input user.

b)    Cek Status

Gambar 3.3 Tampilan terminal

                Perintah sudo systemctl status apache2 digunakan untuk memastikan server                    berjalan.

c)    Verifikasi

Gambar 3.4 Tampilan web
Buka browser dan ketik http://localhost. Akan muncul halaman "Apache2 Ubuntu Default Page", yang berarti target sudah siap.

1.  2. Instalasi Nikto

Gambar 3.5 Tampilan terminal

Menjalankan perintah sudo apt install nikto -y untuk mengunduh dan memasang paket Nikto dari repositori resmi Ubuntu.

1.    3. Langkah-Langkah Scanning dengan Nikto

a)    Pemindaian Dasar (Basic Scan)

Gambar 3.6 Tampilan terminal
Perintah nikto -h http://localhost memerintahkan Nikto untuk melakukan audit keamanan pada alamat localhost (komputer Anda sendiri) yang sedang menjalankan web server Apache. Parameter -h (host) menentukan target yang akan dipindai. 

b)    Menyimpan Hasil Scan

Gambar 3.7 Tampilan terminal
Tambahan perintah -o laporan_scan.html: Singkatan dari output. Parameter ini menginstruksikan Nikto untuk menyimpan hasil pemindaian ke dalam file bernama laporan_scan.html. Tambahan -Format htm (format file), dengan menggunakan format HTML, hasil pemindaian akan disusun secara rapi dan berwarna sehingga jauh lebih mudah dibaca melalui web browser dibandingkan hanya melihat teks di terminal.
    
Gambar 3.8 Tampilan manajemen file

1.   4.  Memahami Hasil Scan Nikto

Gambar 4.1 Tampilan hasil

1. Server Leaks Inodes via ETags

a)    Penjelasan: ETag adalah penanda yang digunakan browser untuk caching (menyimpan data sementara). Di sini, Apache membocorkan nomor inode (identitas unik file di sistem Linux) melalui header ETag tersebut.

b)   Risiko: Peretas bisa mendapatkan informasi teknis tentang sistem penyimpanan internal host. Meski risikonya rendah, ini dianggap sebagai kebocoran informasi yang tidak perlu.

2. Anti-Clickjacking X-Frame-Options Header is Not Present

a)    Penjelasan: Server host tidak mengirimkan instruksi kepada browser apakah website ini boleh ditampilkan di dalam frame (bingkai) website lain atau tidak.

b)   Risiko: Clickjacking. Peretas bisa membuat website palsu dan menumpuk website host di atasnya secara transparan. Pengguna mengira mereka mengklik tombol di website peretas, padahal sebenarnya mereka sedang mengklik tombol penting di website tersebut (misalnya tombol "Hapus Akun"). 

3. Allowed HTTP Methods: GET, POST, OPTIONS, HEAD

a)    Penjelasan: Ini adalah daftar cara (metode) komunikasi yang diizinkan oleh server.

b)   Risiko:

·       OPTIONS: Metode ini memberi tahu peretas fitur apa saja yang aktif di server host tanpa harus menyerang secara membabi buta.

·       HEAD: Digunakan untuk mengambil informasi header tanpa mengunduh seluruh isi halaman.

·       Catatan: Secara umum ini normal, tapi untuk server yang sangat ketat, biasanya metode yang tidak perlu akan dimatikan.

4. /server-status reveals Apache information

a)    Penjelasan: Ini adalah temuan paling sensitif di laporan. Modul mod_status di Apache aktif dan bisa diakses oleh siapa saja.

b)   Risiko: Peretas bisa melihat statistik real-time server tersebut, seperti:

·       Siapa saja yang sedang mengakses web tersebut.

·       Alamat IP pengunjung.

·       Berapa beban CPU server saat ini.

·   Versi detail Apache yang server gunakan.


BAB IV
PENUTUP

4.1 Kesimpulan

·       Pemindaian Kerentanan Web (Vulnerability Assessment): Penggunaan perangkat lunak pemindai seperti Nikto sangat penting dalam menemukan celah keamanan pada web server. Dalam praktikum ini, pemindaian terhadap web server Apache yang menggunakan konfigurasi default mengungkapkan beberapa kerentanan. Temuan yang paling signifikan adalah aktifnya modul mod_status, yang dapat mengekspos informasi sensitif mengenai statistik real-time server kepada publik.

·       Pentingnya Mitigasi: Hasil pemindaian juga menunjukkan adanya kebocoran informasi melalui header ETag dan ketiadaan instruksi keamanan seperti X-Frame-Options. Selain sekadar mengidentifikasi kerentanan, praktik keamanan yang baik juga mengharuskan penerapan langkah-langkah perbaikan (mitigasi). Mengubah konfigurasi default dan menerapkan panduan keamanan adalah langkah vital untuk melindungi web server dari potensi serangan.


DAFTAR PUSTAKA

Apache Software Foundation. (2024). Apache HTTP Server Version 2.4 Documentation: Security Tips. https://httpd.apache.org/docs/2.4/misc/security_tips.html

CIRT.net. (2024). Nikto Web Scanner Documentation. https://cirt.net/Nikto2

Engebretson, P. (2013). The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy. Syngress.

Lyon, G. F. (2009). Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning. Insecure.com LLC.

OWASP Foundation. (2024). OWASP Top 10:2021 - The Ten Most Critical Web Application Security Risks. https://owasp.org/www-project-top-ten/

Stuttard, D., & Pinto, M. (2011). The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws (2nd ed.). John Wiley & Sons


LAMPIRAN

Dekomentasi Praktikum

















di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)