Rancang Bangun Aplikasi Deteksi Kerentanan pada Plugins dan Themes di WordPress

Daffa, Muhammad (2023) Rancang Bangun Aplikasi Deteksi Kerentanan pada Plugins dan Themes di WordPress. Other thesis, Institut Teknologi Sepuluh Nopember.

[thumbnail of 05111940000175-Undergraduate_Thesis.pdf] Text
05111940000175-Undergraduate_Thesis.pdf - Accepted Version
Restricted to Repository staff only until 1 September 2025.

Download (3MB) | Request a copy

Abstract

WordPress adalah salah satu Content Management System yang paling banyak digunakan untuk mengembangkan suatu situs. Namun, seiring dengan banyaknya pengguna yang menggunakan WordPress, banyak serangan yang dilancarkan oleh pihak yang tidak bertanggung jawab seperti SQL Injection. Terdapat aplikasi yang bernama wpBullet yang berguna untuk menemukan kerentanan pada plugins maupun themes WordPress. wpBullet adalah sebuah aplikasi yang dibuat oleh tim OWASP menggunakan bahasa Python yang bisa melakukan static analysis pada plugins maupun themes WordPress. Meskipun wpBullet memiliki kelebihan tersendiri seperti melakukan scanning pada plugins dan themes WordPress bahkan wpBullet juga mampu membuat laporan berdasarkan hasil scanning, namun terdapat kekurangan pada alat tersebut, namun terdapat kekurangan pada alat tersebut. Yang pertama ialah wpBullet tidak pernah diperbaharui selama tiga tahun yang mengakibatkan fungsi-fungsi pada wpBullet sudah usang. Perlu dilakukan pembaharuan pada wpBullet untuk meningkatkan potensi penemuan kerentanan-kerentanan pada plugins atau themes WordPress. Pencarian kerentanan pada plugins dan themes WordPress dilakukan dengan membuat sistem bernama wpInspect dengan mengimplementasikan metode static analysis atau mencari fungsi-fungsi yang rentan pada kode sumber plugins dan themes WordPress. Terdapat sembilan kerentanan yang akan dicari pada plugins atau themes WordPress yaitu SQL Injection, CrossSite Scripting, File Inclusion, Path Traversal, Arbitrary File Deletion, Unrestricted File Upload, Open Redirect, Command Injection, dan PHP Object Injection. Setelah melakukan pencarian fungsi-fungsi yang rentan hasilnya akan ditampilkan pada terminal. Untuk melakukan penelitian ini, wpInspect akan diimplementasikan pada server yang di dalamnya memiliki beberapa CMS WordPress yang sudah terpasang pada server tersebut. Hasil dari penelitian ini adalah aplikasi yang dikembangkan yaitu wpInspect bisa menemukan menekan hasil false positive yang dihasilkan oleh wpBullet sebanyak dua false positive pada plugins dan themes WordPress. Dan wpInspect mampu menemukan kerentanan yang tidak bisa ditemukan wpBullet sebelumnya sebanyak tiga kerentanan pada plugins dan themes WordPress.
====================================================================================================================================
WordPress is one of the most widely used Content Management Systems for developing a website. However, along with the number of users who use WordPress, many attacks are carried out by irresponsible parties such as SQL Injection. There are applications called wpBullet that are useful for finding vulnerabilities in WordPress plugins and themes. wpBullet is an application created by the OWASP team using the Python language that can perform static analysis on WordPress plugins and themes. Even though wpBullet has its own advantages, such as scanning WordPress plugins and themes, wpBullet is even able to create reports based on the results of scanning, but there are drawbacks to this tool. Firstly, wpBullet has not been maintained for three years which makes the functions of wpBullet obsolete. WpBullet needs to be updated to increase the potential for finding vulnerabilities in WordPress plugins or themes. Searching for vulnerabilities in WordPress plugins and themes is done by creating a system called wpInspect by implementing the static analysis method or looking for vulnerable functions in the source code of WordPress plugins and themes. There are nine vulnerabilities to look for in a WordPress plugins or themes, namely SQL Injection, Cross-Site Scripting, File Inclusion, Path Traversal, Arbitrary File Deletion, Unrestricted File Upload, Open Redirect, Command Injection, and PHP Object Injection. After searching for vulnerable functions the results will be displayed in the terminal. To evaluate the proposed approach, wpInspect will be implemented on a server that has several WordPress CMS already installed on the server. Our research shows that is that the developed application wpInspect, can find suppressing the false positive results generated by wpBullet as many as two false positives on WordPress plugins and themes. And wpInspect was able to find vulnerabilities that the previous wpBullet could not find as many as three vulnerabilities in WordPress plugins and themes.

Item Type: Thesis (Other)
Uncontrolled Keywords: WordPress, Plugin, Theme, Kerentanan, wpBullet WordPress, Plugin, Theme, Vulnerability, wpBullet.
Subjects: Q Science > QA Mathematics > QA76 Computer software
Divisions: Faculty of Information and Communication Technology > Informatics > 55201-(S1) Undergraduate Thesis
Depositing User: Muhammad Daffa
Date Deposited: 11 Sep 2023 03:10
Last Modified: 11 Sep 2023 03:10
URI: http://repository.its.ac.id/id/eprint/102415

Actions (login required)

View Item View Item