NO. DOKUMEN ABC-109345
TANGGAL PENTEST 03/12/2025
LEAD TESTER Edy Susanto CEH.ECSA
RE-TEST DUE DATE 31/12/2025
5 Critical
2 High
20 Medium
10 Low

Komposisi Kerentanan

EXECUTIVE SUMMARY & REKOMENDASI

TOP CRITICAL VULNERABILITIES

1. SQL Injection

  • Deskripsi: Aplikasi web rentan terhadap serangan SQL injection, memungkinkan penyerang untuk mengakses database dan mengeksekusi perintah SQL arbitrer.
  • Lokasi: Formulir login di /login.
  • Langkah Reproduksi:
    1. Masukkan ' OR '1'='1 pada kolom username dan password.
    2. Tekan tombol login.
  • Dampak: Penyerang dapat mengambil data sensitif seperti username, password, dan informasi pribadi lainnya.
  • Solusi: Gunakan parameterized queries atau prepared statements untuk mencegah SQL injection.

2. Cross-Site Scripting (XSS)

  • Deskripsi: Aplikasi tidak memvalidasi input pengguna dengan benar, memungkinkan penyerang untuk menyisipkan skrip jahat.
  • Lokasi: Kolom komentar di /articles/123/comments.
  • Langkah Reproduksi:
    1. Masukkan <script>alert('XSS')</script> ke dalam kolom komentar.
    2. Kirim komentar.
    3. Kunjungi artikel tersebut.
  • Dampak: Penyerang dapat mencuri cookie sesi pengguna atau melakukan phishing.
  • Solusi: Validasi dan encode semua input pengguna sebelum ditampilkan di halaman web.

3. Insecure Direct Object Reference (IDOR)

  • Deskripsi: Aplikasi memungkinkan akses langsung ke objek tanpa otorisasi yang tepat.
  • Lokasi: Endpoint API untuk mengakses profil pengguna di /api/user/123.
  • Langkah Reproduksi:
    1. Akses endpoint dengan ID pengguna yang berbeda, misalnya /api/user/456.
  • Dampak: Penyerang dapat mengakses data pengguna lain tanpa izin.
  • Solusi: Implementasikan kontrol akses yang memadai untuk memverifikasi izin pengguna sebelum mengakses objek.

4. Sensitive Data Exposure

  • Deskripsi: Data sensitif seperti password dan informasi kartu kredit disimpan dalam format yang tidak aman.
  • Lokasi: Database di server.
  • Langkah Reproduksi:
    1. Akses database dan periksa tabel pengguna.
    2. Temukan kolom yang menyimpan password dalam plaintext.
  • Dampak: Jika database dibobol, semua data sensitif dapat dicuri.
  • Solusi: Enkripsi data sensitif dan gunakan hashing yang kuat untuk password (misalnya, bcrypt).

5. Misconfigured Security Headers

  • Deskripsi: Aplikasi tidak mengatur header keamanan yang diperlukan, seperti Content Security Policy (CSP) dan X-Content-Type-Options.
  • Lokasi: Respons HTTP dari server.
  • Langkah Reproduksi:
    1. Periksa header respons menggunakan alat seperti curl atau browser developer tools.
  • Dampak: Meningkatkan risiko serangan XSS dan MIME type sniffing.
  • Solusi: Konfigurasi server untuk mengatur header keamanan yang sesuai.

Lingkup & Target Pengujian

Web Aplikasi Securitas Fintecth Sumber Daya

SECURE
Letter of Attestation

Pernyataan Penyelesaian Audit Keamanan

Dokumen ini menyatakan bahwa

Web Aplikasi Securitas Fintecth Sumber Daya

telah menjalani pengujian penetrasi keamanan (Pentest) yang dilakukan oleh Edy Susanto CEH.ECSA pada tanggal 03/12/2025.

Lead Pen-Tester
CISO Approval