<![CDATA[Penelitian ini bertujuan untuk menganalisis keamanan aplikasi web silapetro.ub.ac.id menggunakan metodologi Vulnerability Assessment and Penetration Testing (VAPT) serta metode pengujian Web Security Testing Guide (WSTG) versi 4.2. Dilatarbelakangi oleh meningkatnya ketergantungan pada teknologi informasi dan aplikasi web dalam mendukung efisiensi operasional dan penyebaran informasi, penelitian ini menekankan pentingnya pengujian keamanan untuk mencegah serangan siber dan menjaga kerahasiaan, integritas, dan ketersediaan data. Metodologi penelitian mencakup perencanaan, identifikasi celah keamanan, pengumpulan data primer melalui pengujian langsung, rekapitulasi kerentanan, serta analisis kerentanan yang tervalidasi untuk menghasilkan rekomendasi perbaikan berdasarkan nilai keparahan dan dampak yang diperoleh. Hasil penelitian mengungkapkan beberapa celah yang memerlukan penanganan seperti kelemahan autentikasi pada saluran alternatif yang memungkinkan untuk memperoleh hak akses administrator dengan akses minimal, eksposur pada file konfigurasi, nilai dari parameter action pada aplikasi yang dapat diubah, melewati skema otorisasi dengan memperoleh session id pengguna, kebijakan username, password, dan proses registrasi yang lemah, serta kemampuan untuk melakukan enumerasi akun lewat fasilitas forgot password. Berdasarkan temuan tersebut, dirumuskan rekomendasi strategis untuk penguatan sistem keamanan aplikasi seperti menggunakan prinsip Least Privilege (PoLP), menguatkan kontrol akses melalui definisi peran yang jelas, verifikasi identitas tambahan untuk mencegah pendaftaran akun palsu, memberikan respon yang konsisten dan menerapkan rate limiting pada fungsi reset kata sandi, mengintegrasikan langkah keamanan seperti CAPTCHA, menerapan kebijakan username dan password yang kuat, mengikat token seperti SimpleSAML dengan atribut tambahan (misalnya PHPSESSID atau User-Agent) dan diberikan durasi validitas yang terbatas untuk menghindari penyalahgunaan, mencegah akses terhadap file-file sensitif, dan file konfigurasi penting sebaiknya dipindahkan dari web root serta server dikonfigurasi untuk memblokir akses ke file tertentu melalui aturan deny. Penelitian ini diharapkan tidak hanya meningkatkan keamanan operasional aplikasi web di lingkungan Universitas Brawijaya, tetapi juga dapat menjadi acuan bagi pengembangan sistem keamanan aplikasi web di institusi pendidikan lainnya.]]>
