Aplikasi web adalah salah satu platform yang paling umum digunakan untuk mengirim informasi dan layanan melalui Internet. Bahkan hingga saat ini aplikasi web pun banyak digunakan untuk layanan-layanan penting. Akan tetapi dengan masifnya penggunaan tersebut menjadikan aplikasi web sebagai target populer bagi serangkaian ancaman berupa serangan siber. Penulis menerapkan secure coding dengan cara mengaktifkan kode filter file pada contoh sistem aplikasi web. Penelitian ini dilakukan untuk memahami gambaran mengenai cara peretas mengambil kesempatan file upload vulnerability pada sistem aplikasi web. Tujuannya sebagai proof of concept secure coding pada saat mengembangkan sebuah aplikasi web. Pada penelitian ini menggunakan localhost dengan web server Apache2 pada perangkat yang digunakan untuk pengujian. Penulis menyiapkan contoh sistem aplikasi web yang mempunyai celah, berbasis PHP dan mengunggahnya pada repository Github. Untuk membuktikan apakah peretas masih dapat memperoleh sesuatu dari sistem aplikasi web atau tidak, penulis melakukan dua skenario pengujian. Pada skenario pertama, penulis menambahkan format .pdf, sehingga ketika file terunggah, akan kembali kepada user untuk mengunduh file yang telah diunggah dalam bentuk pdf. Lalu, skenario kedua, penulis menerapkan secure coding untuk mengecek ekstensi file yang diunggah pada sistem aplikasi web tersebut. Setelah penulis melakukan perancangan, pembahasan, dan pengujian, didapatkan kesimpulan bahwa file upload vulnerability merupakan suatu celah yang berbahaya bagi aplikasi web karena dapat mengambil data penting di dalamnya. Selain itu, file upload vulnerability dapat dicegah dengan melakukan secure coding untuk memfilter file yang diunggah.

Journal Article

Li, X., & Xue, Y. (2011). A survey on web application security. Nashville, TN USA, 25(5), 1-14.

Riadi, I., & Aristianto, E. I. (2016). An analysis of vulnerability web against attack unrestricted image file upload. Computer Engineering and Applications Journal, 5(1), 19-28.

Pooj, K., & Patil, S. (2016). Understanding File Upload Security for Web Applications. International Journal of Engineering Trends and Technology, 42(7), 342-347.

Conference / Proceeding

Huang, J., Li, Y., Zhang, J., & Dai, R. (2019, June). UChecker: Automatically detecting php-based unrestricted file upload vulnerabilities. In 2019 49th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN) (pp. 581-592). IEEE.

Biswas, Saikat, et al. "A study on remote code execution vulnerability in web applications." International Conference on Cyber Security and Computer Science (ICONCS 2018). 2018.

O. Starov, J. Dahse, S. S. Ahmad, T. Holz, and N. Nikiforakis, “No honor among thieves: A large-scale analysis of malicious web shells,” in Proceedings of the 25th International Conference on World Wide Web, ser. WWW ’16. Republic and Canton of Geneva, Switzerland: International World Wide Web Conferences Steering Committee, 2016, pp. 1021–1032. [Online].

Nagpure, S., & Kurkure, S. (2017, August). Vulnerability assessment and penetration testing of Web application. In 2017 International Conference on Computing, Communication, Control and Automation (ICCUBEA) (pp. 1-6). IEEE.

Book

Rao, U. H., & Nayak, U. (2014). The InfoSec handbook: An introduction to information security (p. 392). Springer Nature.

Solichin, A. (2016). Pemrograman web dengan PHP dan MySQL. Penerbit Budi Luhur.

Hilmi, Muhammad Anis Al. 2021. Superlab Cybersecurity : Pengantar Keamanan Komputer dengan Praktikum. Bandung: Manggu Makmur Tanjung Lestari. ISBN: 9786236003336

Mearaj, I., Maheshwari, P., & Kaur, M. J. (2018, November). Data conversion from traditional relational database to MongoDB using XAMPP and NoSQL. In 2018 Fifth HCT Information Technology Trends (ITT) (pp. 94-98). IEEE.

Kim, J. (2020). Burp suite: Automating web vulnerability scanning (Doctoral dissertation, Utica College).

Information from internet

Williams, Alex (9 July 2012). "GitHub Pours Energies into Enterprise – Raises $100 Million From Power VC Andreessen Horowitz". TechCrunch. Andreessen Horowitz is investing an eye-popping $100 million into GitHub.

Yuliano, T. (2007). Pengenalan Php. IlmuKomputer. com.

Borke, L., & Härdle, W. K. (2017). GitHub API based QuantNet Mining infrastructure in R. Available at SSRN 2927901.