HANYA HARDFILE
ABSTRAK

Aplikasi web merupakan perangkat lunak yang diakses menggunakan web browser melalui jaringan internet atau intranet dan menjadi populer karena kemudahan dalam memperbaharui konten dan pemeliharaannya. Namun pada umumnya, masih banyak programmer yang tidak fokus terhadap masalah keamanan sistem yang dibuatnya sehingga sistem tersebut terdapat hole security yang dapat menimbulkan kerentanan terhadap serangan dari luar. Saat ini, lebih banyak aplikasi berbasis web yang menggunakan framework untuk mempercepat proses pembuatan aplikasi, salah satunya Codelgniter. Tetapi masih banyak pula programmer yang belum banyak memanfaatkan dan atau memahami semua fitur yang ada dalam framework yang digunakannya. Dari latar belakang tersebut, penulis tertarik untuk melakukan bagaimana menganalisa penggunaan framework Codelgniter yang memanfaatkan fitur keamanan CSRF (Cross-Site Request Forgery) Protection dan yang tidak.

Dalam melakukan analisa, penulis membuat dua jenis aplikasi. Pertama, aplikasi yang dilaust menggunakan bahasa pemrograman PHP dengan framework Codelgniter yang memiliki kerentanan terhadap serangan CSRF. Kedua, aplikasi bertipe HTML, yang berisi skrip CSRF yang dapat mengubah isi database. Salah satu cara dalam CSRF Protection adalah dengan mengimplementasikan secret token validation yang dapat menentukan apakah setiap request memang berasal dari pengguna yang memiliki otoritas. Penulis membandingkan aplikasi yang menggunakan teknik CSRF Protection dengan yang tidak. Beberapa perbedaannya terlihat dari ada atau tidaknya token untuk melakukan validasi data pada form. dan berubah tidaknya data jika mengimplementasikan teknik CSRF Protection.

Hasil dari penelitian ini berupa analisa yang dituangkan ke dalam tabel yang berisi tentang sebab akibat penggunaan CSRF Protection maupun yang tidak. Dari hasil analisa tersebut bisa dilihat bahwa suatu form terdapat celah untuk dilakukannya serangan CSRF jika tidak menyertakan string unik untuk dijadikan token yang akan divalidasi. Karena dalam membuka website masih memerlukan protokol HTTP, maka serangan CSRF masih memungkinkan untuk dilakukan selama HTTP method yang dimiliki protokol HTTP masilı digunakan untuk berbagi data atau mengakses aplikasi web, apalagi jika memiliki data-data yang bersifat sensitif.

Kata Kunci Web, PHP, Codelgniter, HTTP Method, CSRF, CSRF Protection, Secret Token Validation.