<![CDATA[Keamanan web menjadi perhatian utama dalam era digital saat ini tidak terkecuali website fikom-methodist.com yang merupakan aplikasi untuk administrasi data internal di Fakultas Ilmu Komputer Universitas Methodist Indonesia, dimana portal ini akan terus dikembangkan sesuai kebutuhannya. Sayangnya fikom-methodist.com dalam perjalannya masih juga dapat diserang pada tahun 2022. Serangan terhadap aplikasi web menjadi ancaman yang serius bagi organisasi dan pengguna. Penetration testing metode yang dapat digunakan untuk menguji keamanan system sehingga kerentanan dalam aplikasi web dapat teridentifikasi yang selanjutnya digunakan untuk menutup celah keamanan tersebut. Penelitian diawali dengan melakukan assessment menggunakan Tools Owasp Zap untuk mendeteksi kerentanan celah CSRF. Dilanjutkan dengan ujicoba serangan pada celah CSRF dan melakukan penambalan menggunakan secure code untuk celah yang ada. Terakhir assessment ulang dilakukan untuk melihat tingkat kerentanan setelah penambalan dilakukan untuk memastikan celah CSRF tidak ada lagi. Asesment menggunakan Tools Owasp Zap pada url https.fikom-methodist.com terdapat celah kerentanan CSRF 14 celah (absence of Anti-CSRF Token) dan pada Method GET terdeteksi sebanyak 11 serta Method POST sebanyak 3 dengan risiko rrendah (Low). Ujicoba serangan pada celah CSRF dilakukan secara manual pada elemen URL website dengan teknik phising melalui form Register dengan Method POST dimana sumber code form/page diambil dari inspect element/Owasp Zap, yang selanjutnya dimanipulasi dengan menambahkan code berbahaya dengan tujuan menambah akun admin yang seolah-olah bagian dari web fikom-methodist.com. Serangan CSRF one-click, berhasil masuk ke dalam website. Selanjutnya untuk penambalan dengan secure code diimplementasikan menggunakan mekanisme verifikasi permintaan dan token keamanan pada Framework CI dengan mengaktifkan mode true pada $config['csrf_protection'] dan menerapkan fungsi kode hash pada setiap formulir untuk memastikan integritas data, mengidentifikasi file dengan unik, dan menyimpan kata sandi dalam database dalam bentuk yang tidak dapat dibaca. Tahapan terakhir dilakukan Penetration Testing ulang untuk memverifikasi efektivitasnya dalam melawan serangan CSRF. Hasil pengujian sistem berhasil melindungi aplikasi web dengan memblok serangan CSRF secara otomatis. Selanjutnya pengujian ulang dengan Owasp Zap, hanya ditemukan 2 kerentanan dengan Method Get yang dimana tidak berisiko (risk low). Dua kerentan ini bukan terkait mengolah data tetapi hanya menampilkan suatu data. Sehingga pengembangan system keamanan website fikom-methodist.com dengan secure code telah berhasil diimplementasikan.]]>
