PENGERTIAN DAN FUNGSI 7 OSI LAYER SERTA PENJELASANNYA

Pengertian dan Fungsi 7 OSI Layer - Komunikasi antar personal komputer melalui jaringan telah menjadi kebutuhan utama pada pekerjaan terutama di bidang personal komputer server serta lainnya. Banyaknya produsen personal komputer yang menghasilkan personal komputer sesuai inovasi mereka membuat disparitas pada hal protocol dan format data. Akibatnya berbagai perkara komunikasi muncul jika personal komputer yg dipakai itu tidak sinkron vendor atau pembuatann ya. Misal pada 1 perusahaan 1 ruangan menggunakan aneka macam merk personal komputer yang berbeda-beda, hal ini akan menghambat proses komunikasi antar komputer. Melihat akan adanya kesalahan misalnya itu, ISO atau yg dikenal dengan International Organization for Standardization membuat suatu formula khusus yang dikenal menggunakan OSI (Open System Interconnection) suatu contoh standart yg dipakai buat menghubungkan personal komputer menurut banyak sekali vendor yang tidak selaras.
OSI (Open System Interconnection) yg dimuntahkan sang ISO dibagi menjadi 7 layer. 7 Layer OSI ini harus digunakan sang vendor-vendor dalam menghasilkan perangkat personal komputer , laptop dsb. Untuk detail apa saja 7 OSI layer yg dimuntahkan ISO, ini dia daftarnya :
  • 7th - Layer : Aplication Service
  • 6th - Layer : Presentative Service
  • 5th - Layer : Session Communications
  • 4th - Layer : Transport Communications
  • 3th - Layer : Network Communications
  • 2nd - Layer : Data-Link Physical connections
  • 1st - Layer : Physical connections

Pengertian Model OSI Layer

Untuk detail tentang ketujuh lapis OSI ini, maka pahami dulu apa contoh OSI itu? Model OSI layer merupakan suatu contoh desain jaringan yg dibuat sang ISO (internasional organization for standardization) yang berlokasi pada eropa tahun 1977. OSI (open system interconnection) diklaim sebagai contoh "Tujuh lapis OSI" yg digunakan menjadi dasar dalam membuat protocol jaringan yang tidak selaras supaya sanggup berkomunikasi.

Fungsi OSI Layer dalam Jaringan Komputer

Fungsi OSI layer adalah mengupayakan membuat sistem jaringan personal komputer yang menunjang interoperatibilitas antar pemasok yg tidak sinkron sebagai akibatnya memudahkan perangkat dari vendor yg berbeda sanggup berkomunikasi.

Fungsi 7 OSI Layer

Lapisan ke-7 Application Layer

Application layer memiliki fungsi menjadi antarmuka pelaksanaan dengan fungsionalitas jaringan, jadi fungsinya lebih pada mengatur bagaimana aplikasi bisa mengakses jaringan dan menciptakan message problemnya. Protokol yg berada pada lapisan ini yakni HTTP, FTP, SMTP dan NFS.

Lapisan ke-6 Presentation Layer

Presentation layer bermanfaat buat mentranslasi data yang akan ditransmisikan aplikasi ke pada format yg sinkron menggunakan transmisi data jaringan. Protokol yg terdapat dalam lapisan ini yakni software redirektor, workstation, network shell, dan remote desktop protocol.

Lapisan ke-5 Session Layer

Session Layer memiliki fungsi mendefinisikan sebuah koneksi terbuat, dijaga atau dihapuskan. Pada layer ini terjadi resolusi nama.

Lapisan ke-4 Transport Layer

Transport layer mempunyai fungsi memecah data sebagai sebuah paket data serta memberikan penomoran secara urut sebagai akibatnya bisa menggunakan gampang tersusun di tempat tujuan pada waktu diterima. Pada lapisan layer ini terjadi notifikasi bahwa paket telah sukses diterima, serta bila terdapat paket data yang hilang ditengah jalan, maka secara otomatis akan ditransmisikan ulang.

Lapisan ke-3 Network Layer

Network layer mempunyai fungsi buat mendefinisikan alamat IP, kemudian membuat header tiap paket data, serta melakukan routing menggunakan internetworking menggunakan router serta switch layer 3.

Lapisan ke-dua Data-link Layer

Data-link layer memiliki fungsi mengelompokkan bit-bit data sebagai sebuat frame. Di dalam lapisan ini juga terjadi aktifitas mengkoreksi kesalahan, flow control, pengalamatan hardware, serta menentukan jalannya perangkat jaringan seperti hub, bridge, repeater dan switch layer dua berjalan. 

Lapisan ke-1 Physical Layer

Physical layer ini mempunyai fungsi buat mendefinisikan media transmisi jaringan, metode pensinyalan, sinkronisasi bit, arsitektur jaringan, topologi jaringan dan pengabelan. Hal lain yang terjadi pada layer 1 yakni mendefinisikan network interface card (NIC) supaya mampu berinteraksi menggunakan media kabel atau radio.
Dari ulasan berita mengenai pengertian OSI layer serta fungsi OSI layer pada atas, anda sanggup menambah wawasan tentang seberapa pentingnya pengidentifikasian antar vendor yang tidak sinkron agar mampu terkoneksi antar vendor satu dengan yang lainnya.
Demikian artikel tentang informasi pengertian serta fungsi 7 layer OSI pada jaringan personal komputer . Semoga mampu bermanfaat buat anda, poly istilah yg mungkin belum anda pahami. Tapi jangan risi, anda mampu membaca aneka macam pengertian serta fungsi-fungsi tentang komputer serta laptop di blog sederhana ini. Terima kasih

PENGERTIAN DAN FUNGSI DATA

Pengertian Dan Fungsi data
Data adalah bentuk jamak menurut datum. Data merupakan fakta-keterangan mengenai suatu hal, bisa berupa sesuatu yg punya makna. Data bisa diartika sebagai sesuatu yg diketahui atau yang dianggap atau asumsi.

Sesuatu yang diketahui umumnya didapat dari output pengamatan atau percobaan serta hal itu berkaitan menggunakan waktu dan tempat. Anggapan atau perkiraan merupakan suatu asumsi atau dugaan yg sifatnya masih sementara, sebagai akibatnya belum tentu benar. Oleh karena itu, anggapan atau perkiraan perlu dikaji kebenarannya.

Menurut Arikunto (2002), data adalah segala liputan dan nomor yg dapat dijadikan bahan buat menyusun suatu keterangan, sedangkan warta merupakan output pengolahan data yang dipakai buat suatu keperluan.

Jadi dapat disimpulkan, bahwa data merupakan sejumlah kabar yang dapat memberikan citra tentang suatu keadaan, atau perkara baik yang berbentuk nomor -nomor juga yang berbentuk kategori atau informasi.

Penggolongan Data
Sesuai menggunakan macam atau jenis variabel, maka data atau hasil pencatatannya jua memiliki jenis sebanyak variabel. Data bisa dibagi dalam grup eksklusif menurut kriteria yg menyertainya, contohnya menurut susunan, sifat, saat pengumpulan, dan asal pengambilan.

Pembagian data menurut susunannya:
Menurut susunannya, data dibagi atas data rambang atau tunggal dan data berkelompok.
Data Acak atau Data Tunggal
Data acak atau tunggal adalah data yang belum tersusun atau dikelompokkan ke pada kelas-kelas interval.
Contoh:
Data hasil oengukuran berat anak didik kelas IX (pada kg): 
35 37 39 47 39 32 34 45 50 39 

Data berkelompok
Data berkelompok adalah data yg telah tersusun atau dikelompokkan ke dalam kelas-kelas interval. Data grup disusun pada bentuk distribusi frekuensi atau tabel frekuensi.

Contoh:
Data nilai anak didik dan jumlah siswa yang memperoleh nilai tertentu buat mata pelajaran matematika kelas IX.
Nilai Turus Frekuensi
1 – dua III 3
3 – 4 IIIII 5
5 – 6 IIIII IIIII 10
7 – 8 IIIII IIIII IIIII 15
9 – 10 IIIII II 7

Data berkelompok ini terbagi menjadi: 
  • Data Kelompok Diskrit
  • Data yang diperolej dari hasil menghitung termasuk dalam data diskrit (jumlah anak, dll). 
  • Data kelompok kontinu
  • Sebuah data dinyatakan berkontribusi kontinu apabila data tersebut diukur dalam skala kontinu atau data yg didapat berdasarkan output mengukur. Contoh data konstan, yaitu: tinggi badan, berat badan, output belajar, motivasi belajar dan lain-lain. 

Pembagian data berdasarkan sifatnya
Menurut sifatnya, data dibagi atas data data kualitatid serta data kuantitatif.

Data Kualitatif
Data kualitatif adalah data yg nir berbentuk sapta. Data kualitatif berbentuk pernyataan verbal, simbol atau gambar.
Contoh: rona, jenis kelamin, status perkawinan, dll. 
Data Kuantitatif
Data kuantitatif adalah data yang berbentuk sapta, atau data kualitatif yg diangkakan.
Contoh: tinggi, umur, jumlah, skor output belajar, temperatur, dll. 

Pembagian Data dari saat pengumpulannya
Menurut ketika pengumpulannya, data dibagi atas data terpola (time series) serta data cross section.

Data Berkala (Time series)
Data terpola adalah data yg terkumpul menurut waktu ke waktu buat memberikan citra perkembangan suatu aktivitas/fenomena.
contoh: data perkembangan harga 9 macam bahan utama selama 10 bulan terakhir yg dikumpulkan setiap bulan. 
Data Cross Section
Data cross section adalah data yang terkumpul dalam suatu ketika eksklusif buat menaruh gambaran perkembangan keadaan atau aktivitas dalam waktu itu.
Contoh:
Data sensus penduduk tahun 2000, data hasil UN murid SMA tahun 2012, dsb. 

Pembagian data menurut sumber pengambilannya
Menurut asal pengambilannya, data dapat dibedakan atas 2 jenis, yaitu data utama serta data sekunder.
Data Primer
Data utama merupakan data yg diperoleh atau dikumpulkan sang orang yg melakukan penelitian atau yang bersangkutan yang memerlukannya. Data utama diklaim juga data asli atau data baru. 
Data Sekunder
Data sekunder adalah data yang diperoleh atau dikumpulkan dari sumber-asal yang telah terdapat. Data itu umumnya diperoleh menurut perpustakaann atau laporan-laporan/dokumen peneliti yg terdahulu. Data sekunder dianggap juga data tersedia. 

Pembagian data menurut skala pengukurannya
Skala pengukuran adalah peraturan penggunaan notasi bilangan dalam pengukuran. Menurut skala pengukurannya, data bisa dibedakan atas empat jenis, yaitu: data nominal, data ordinal, data interval, dan data rasio.

Data nominal
Data nominal adalah data yg diberikan pada objek atau kategori yg nir mendeskripsikan kedudukan objek atau kategori tadi terhadap objek atau kategori lainnya, tetapi hanya sekedar label atau kode saja. Data ini hanya mengelompokkan objek/kategori ke pada gerombolan eksklusif. Data nominal mempunyai ciri hanya dapat dibedakan antara satu dengan lainnya serta tidak sanggup diurutkan/dibandingkan. Data ini memiliki ciri, yakni: 
Kategori data bersifat saling tanggal (satu objek hanya masuk pada satu gerombolan saja). 
Kategori data tidak disusun secara logis 

Contoh data berskala nominal:
Warna rambut, jenis kelamin, etnis/suku, agama dan lain-lain.

Data Ordinal
Data ordinal adalah data yang penomoran objek atau kategorinya disusun dari besarnya, yaitu dari tingkat terendah ke taraf tertinggi atau sebaliknya menggunakan jarak/rentang yang tidak wajib sama. Data ini memiliki karakteristik seperti ciri data nominal ditambah satu ciri lagi, yaitu kategori data dapat disusun/diurutkan dari urutan logis serta sinkron dengan besarnya karakteristik yang dimiliki.
Contoh data berskala ordinal yaitu:
Tingkat pendidikan, golongan pegawai, kasta, dan lain-lain 
Data Interval
Data interval adalah data dengan objek/kategori yg dapat dibedakan antara data satu dengan lainnya, bisa diurutkan menurut suatu atribut serta memiliki jeda yg memberikan fakta tentang interval antara tiap objek/kategori sama. Besarnya interval bisa ditambah atau dikurangi. Data ini mempunyai karakteristik sama dengan karakteristik pada data ordinal ditambah satu karakteristik lagi, yaitu urutan kategori data memiliki jarak yang sama. Dalam data interval tidak memiliki nilai nol absolut.
Contoh data berskala interval yakni:
Temperatur, skor IQ, skor output belajar, dll 

Hasil pengukuran suhu (temperatur) memakai termometer yang dinyatakan pada ukuran derajat. Rentang temperatur antara 00 Celcius hingga 10 Celcius memiliki jarak yang sama dengan 10 Celcius hingga 20 Celcius. Oleh karena itu berlaku operasi matematik ( +, – ), contohnya 150 Celcius + 150 Celcius = 300 Celcius. Tetapi demikian nir dapat dinyatakan bahwa benda yg bersuhu 150 Celcius mempunyai berukuran panas separuhnya menurut benda yang bersuhu 300 Celcius. Demikian juga, nir dapat dikatakan bahwa benda dengan suhu 00 Celcius tidak mempunyai suhu sama sekali. Angka 00 Celcius mempunyai sifat nisbi (nir absolut). Artinya, bila diukur dengan memakai Termometer Fahrenheit diperoleh 00 Celcius = 320 Fahrenheit.

Kecerdasaran intelektual yang dinyatakan pada IQ. Rentang IQ 100 hingga 110 memiliki jarak yg sama dengan 110 hingga 120. Tetapi demikian tidak dapat dinyatakan orang yg memiliki IQ 150 tingkat kecerdasannya 1,lima kali menurut urang yang mempunyai IQ 100.


Data rasio
Data rasio adalah data yg memiliki sifat-sifat data nominal, data ordinal, dan data interval, dilengkapi dengan kepemilikan nilai atau titik nol absolut/absolut menggunakan makna empirik. Data rasio bisa dibagi atau dikali. Jadi, data rasio memiliki sifat; bisa dibedakan, diururkan, punya jeda, serta punya nol absolut.
Contoh data berskala rasio:
Umur, tinggi badan, berat, dll 

Data hasil pengukuran berat suatu benda yang dinyatakan pada gram memiliki semua sifat-sifat menjadi data interval. Benda yang beratnya 1 kg tidak selaras secara konkret menggunakan benda yg beratnya dua kg. Ukuran berat benda dapat diurutkan mulai berdasarkan yg terberat sampai yg terringan. Perbedaan antara benda yang beratnya 1 kg dengan 2 kg mempunyai rentang berat yang sama dengan perbedaan antara benda yg beratnya 2 kg dengan tiga kg. Angka 0 kg menampakan nir ada benda (berat) yg diukur. Benda yang beratnya dua kg dua kali lebih berat dibandingkan dengan benda yang beratnya 1 kg.

FUNGSI DATA
Fungsi data pada dasarnya: (1) untuk menciptakan keputusan, (dua) menjadi dasar suatu perencanaan, (3) sebagai indera pengendali terhadap pelaksanaan atau implementasi suatu aktivitas, dan (4) sebagai dasar evaluasi terhadap suatu aktivitas.

PENGERTIAN DAN FUNGSI DATA

Pengertian Dan Fungsi data
Data merupakan bentuk jamak berdasarkan datum. Data adalah warta-liputan mengenai suatu hal, dapat berupa sesuatu yang punya makna. Data dapat diartika menjadi sesuatu yang diketahui atau yg dipercaya atau asumsi.

Sesuatu yang diketahui umumnya didapat menurut hasil pengamatan atau percobaan dan hal itu berkaitan menggunakan ketika dan tempat. Anggapan atau perkiraan merupakan suatu perkiraan atau dugaan yg sifatnya masih sementara, sebagai akibatnya belum tentu sahih. Oleh karenanya, asumsi atau perkiraan perlu dikaji kebenarannya.

Menurut Arikunto (2002), data adalah segala liputan serta angka yang bisa dijadikan bahan untuk menyusun suatu kabar, sedangkan liputan merupakan hasil pengolahan data yg digunakan untuk suatu keperluan.

Jadi bisa disimpulkan, bahwa data adalah sejumlah berita yang bisa menaruh citra tentang suatu keadaan, atau masalah baik yang berbentuk angka-angka juga yang berbentuk kategori atau warta.

Penggolongan Data
Sesuai dengan macam atau jenis variabel, maka data atau hasil pencatatannya pula mempunyai jenis sebesar variabel. Data bisa dibagi dalam grup tertentu menurut kriteria yg menyertainya, contohnya berdasarkan susunan, sifat, saat pengumpulan, serta asal pengambilan.

Pembagian data berdasarkan susunannya:
Menurut susunannya, data dibagi atas data acak atau tunggal serta data berkelompok.
Data Acak atau Data Tunggal
Data acak atau tunggal merupakan data yg belum tersusun atau dikelompokkan ke pada kelas-kelas interval.
Contoh:
Data hasil oengukuran berat anak didik kelas IX (dalam kg): 
35 37 39 47 39 32 34 45 50 39 

Data berkelompok
Data berkelompok merupakan data yg telah tersusun atau dikelompokkan ke dalam kelas-kelas interval. Data gerombolan disusun dalam bentuk distribusi frekuensi atau tabel frekuensi.

Contoh:
Data nilai siswa dan jumlah murid yg memperoleh nilai tertentu untuk mata pelajaran matematika kelas IX.
Nilai Turus Frekuensi
1 – 2 III 3
3 – 4 IIIII 5
5 – 6 IIIII IIIII 10
7 – 8 IIIII IIIII IIIII 15
9 – 10 IIIII II 7

Data berkelompok ini terbagi sebagai: 
  • Data Kelompok Diskrit
  • Data yg diperolej dari output menghitung termasuk dalam data diskrit (jumlah anak, dll). 
  • Data kelompok kontinu
  • Sebuah data dinyatakan berkontribusi kontinu apabila data tadi diukur pada skala konstan atau data yang didapat berdasarkan output mengukur. Contoh data kontinu, yaitu: tinggi badan, berat badan, output belajar, motivasi belajar serta lain-lain. 

Pembagian data dari sifatnya
Menurut sifatnya, data dibagi atas data data kualitatid serta data kuantitatif.

Data Kualitatif
Data kualitatif adalah data yang tidak berbentuk bilangan. Data kualitatif berbentuk pernyataan lisan, simbol atau gambar.
Contoh: rona, jenis kelamin, status perkawinan, dll. 
Data Kuantitatif
Data kuantitatif adalah data yang berbentuk sapta, atau data kualitatif yg diangkakan.
Contoh: tinggi, umur, jumlah, skor output belajar, temperatur, dll. 

Pembagian Data dari ketika pengumpulannya
Menurut saat pengumpulannya, data dibagi atas data terencana (time series) dan data cross section.

Data Berkala (Time series)
Data berkala adalah data yg terkumpul dari ketika ke ketika buat menaruh gambaran perkembangan suatu kegiatan/fenomena.
contoh: data perkembangan harga 9 macam bahan utama selama 10 bulan terakhir yang dikumpulkan setiap bulan. 
Data Cross Section
Data cross section adalah data yg terkumpul dalam suatu ketika eksklusif buat memberikan citra perkembangan keadaan atau aktivitas dalam ketika itu.
Contoh:
Data sensus penduduk tahun 2000, data hasil UN murid SMA tahun 2012, dsb. 

Pembagian data berdasarkan asal pengambilannya
Menurut sumber pengambilannya, data dapat dibedakan atas 2 jenis, yaitu data primer serta data sekunder.
Data Primer
Data utama adalah data yg diperoleh atau dikumpulkan sang orang yg melakukan penelitian atau yg bersangkutan yg memerlukannya. Data primer diklaim jua data asli atau data baru. 
Data Sekunder
Data sekunder merupakan data yang diperoleh atau dikumpulkan berdasarkan sumber-asal yg telah terdapat. Data itu umumnya diperoleh berdasarkan perpustakaann atau laporan-laporan/dokumen peneliti yg terdahulu. Data sekunder disebut jua data tersedia. 

Pembagian data dari skala pengukurannya
Skala pengukuran merupakan peraturan penggunaan notasi bilangan dalam pengukuran. Menurut skala pengukurannya, data bisa dibedakan atas empat jenis, yaitu: data nominal, data ordinal, data interval, serta data rasio.

Data nominal
Data nominal adalah data yang diberikan dalam objek atau kategori yg tidak mendeskripsikan kedudukan objek atau kategori tersebut terhadap objek atau kategori lainnya, tetapi hanya sekedar label atau kode saja. Data ini hanya mengelompokkan objek/kategori ke dalam kelompok tertentu. Data nominal mempunyai karakteristik hanya bisa dibedakan antara satu menggunakan lainnya serta nir sanggup diurutkan/dibandingkan. Data ini memiliki karakteristik, yakni: 
Kategori data bersifat saling tanggal (satu objek hanya masuk dalam satu grup saja). 
Kategori data tidak disusun secara logis 

Contoh data berskala nominal:
Warna rambut, jenis kelamin, etnis/suku, kepercayaan dan lain-lain.

Data Ordinal
Data ordinal adalah data yg penomoran objek atau kategorinya disusun menurut besarnya, yaitu dari taraf terendah ke tingkat tertinggi atau sebaliknya dengan jarak/rentang yg tidak harus sama. Data ini mempunyai karakteristik seperti ciri data nominal ditambah satu karakteristik lagi, yaitu kategori data bisa disusun/diurutkan menurut urutan logis dan sinkron menggunakan besarnya ciri yang dimiliki.
Contoh data berskala ordinal yaitu:
Tingkat pendidikan, golongan pegawai, kasta, serta lain-lain 
Data Interval
Data interval merupakan data menggunakan objek/kategori yg dapat dibedakan antara data satu dengan lainnya, dapat diurutkan berdasarkan suatu atribut dan mempunyai jeda yang menaruh liputan mengenai interval antara tiap objek/kategori sama. Besarnya interval bisa ditambah atau dikurangi. Data ini memiliki karakteristik sama menggunakan ciri dalam data ordinal ditambah satu ciri lagi, yaitu urutan kategori data mempunyai jarak yang sama. Dalam data interval tidak memiliki nilai nol mutlak.
Contoh data berskala interval yakni:
Temperatur, skor IQ, skor hasil belajar, dll 

Hasil pengukuran suhu (temperatur) menggunakan termometer yg dinyatakan pada ukuran derajat. Rentang temperatur antara 00 Celcius hingga 10 Celcius memiliki jeda yang sama dengan 10 Celcius hingga 20 Celcius. Oleh karenanya berlaku operasi matematik ( +, – ), misalnya 150 Celcius + 150 Celcius = 300 Celcius. Namun demikian nir dapat dinyatakan bahwa benda yg bersuhu 150 Celcius mempunyai berukuran panas separuhnya berdasarkan benda yg bersuhu 300 Celcius. Demikian pula, nir dapat dikatakan bahwa benda dengan suhu 00 Celcius tidak memiliki suhu sama sekali. Angka 00 Celcius mempunyai sifat relatif (tidak mutlak). Artinya, bila diukur dengan menggunakan Termometer Fahrenheit diperoleh 00 Celcius = 320 Fahrenheit.

Kecerdasaran intelektual yg dinyatakan pada IQ. Rentang IQ 100 hingga 110 memiliki jarak yg sama menggunakan 110 sampai 120. Namun demikian nir dapat dinyatakan orang yang memiliki IQ 150 taraf kecerdasannya 1,lima kali dari urang yang mempunyai IQ 100.


Data rasio
Data rasio adalah data yang mempunyai sifat-sifat data nominal, data ordinal, serta data interval, dilengkapi dengan kepemilikan nilai atau titik nol absolut/absolut menggunakan makna empirik. Data rasio dapat dibagi atau dikali. Jadi, data rasio mempunyai sifat; bisa dibedakan, diururkan, punya jarak, serta punya nol absolut.
Contoh data berskala rasio:
Umur, tinggi badan, berat, dll 

Data output pengukuran berat suatu benda yg dinyatakan dalam gr mempunyai seluruh sifat-sifat menjadi data interval. Benda yg beratnya 1 kg tidak sama secara nyata menggunakan benda yg beratnya 2 kg. Ukuran berat benda dapat diurutkan mulai menurut yg terberat hingga yg terringan. Perbedaan antara benda yg beratnya 1 kg menggunakan 2 kg mempunyai rentang berat yang sama dengan disparitas antara benda yg beratnya dua kg dengan 3 kg. Angka 0 kg memberitahuakn nir terdapat benda (berat) yg diukur. Benda yang beratnya dua kg dua kali lebih berat dibandingkan dengan benda yang beratnya 1 kg.

FUNGSI DATA
Fungsi data pada dasarnya: (1) untuk menciptakan keputusan, (2) sebagai dasar suatu perencanaan, (tiga) sebagai alat pengendali terhadap pelaksanaan atau implementasi suatu kegiatan, serta (4) menjadi dasar penilaian terhadap suatu kegiatan.

MENJELASKAN KEAMANAN APLIKASI WEB

Menjelaskan Keamanan Aplikasi Web 
Aplikasi web merupakan suatu lingkungan yg terstruktur pada bentuk program komputer yang memungkinkan pengunjung website memasukkan serta menampilkan data berdasarkan dan ke suatu database server melalui internet menggunakan memakai web browser. Kemudian data ditampilkan ke pengguna menjadi berita yg didapatkan secara bergerak maju sang aplikasi web melalui web server. 

Ciri serta Sifat Aplikasi Web
Menurut Roger S. Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan suatu pelaksanaan web memiliki disparitas dengan aplikasi lainnya, lantaran memiliki sifat dan karakteristik-karakteristik sebagai berikut:

1. Network Intensive
Network intensive Sifat dasar berdasarkan suatu aplikasi web adalah terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani bermacam-macam kebutuhan berdasarkan penggunanya.

Network intensive Sifat dasar berdasarkan suatu aplikasi web adalah terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani bermacam-macam kebutuhan berdasarkan penggunanya.

2. Content Driven
Fungsi primer dari aplikasi web adalah buat menampilkan kabar berupa teks, gambar, audio, dan video pada para penggunanya.

3. Continuous Evolution
Aplikasi web mengalami perubahan secara terus-menerus (continuous evolution), terutama dalam bagian isi (keterangan) menurut aplikasi tadi.

4. Document-Oriented
Halaman-laman web yang bersifat statis akan tetap terdapat meskipun sudah terdapat teknik pemrograman web menggunakan memakai bahasa pemrograman java atau yg lainnya.

5. Immediacy 
Aplikasi web mempunyai ciri kesiapan (immediacy), yang berarti pelaksanaan web tadi harus sudah siap serta lengkap buat ditampilkan ke publik dalam jarak waktu beberapa hari atau minggu saja, dan hal ini nir ditemukan pada perangkat lunak lainnya.

6. Security
Berkembangnya pelaksanaan web serta Internet menyebabkan konvoi sistem warta buat menggunakannya menjadi basis. Banyak sistem yg tidak terhubung ke Internet namun permanen menggunakan basis aplikasi web menjadi basis buat sistem informasinya yg dipasang pada jaringan Intranet. Untuk itu, keamanan sistem fakta yg berbasis aplikasi web serta teknologi Internet bergantung pada keamanan sistem aplikasi web tersebut.

Keamanan dibutuhkan buat melindungi isi dari aplikasi web yg sensitif dan menyediakan proses pengiriman data yang aman, oleh karenanya keamanan aplikasi wajib diterapkan dalam seluruh infrastruktur yg mendukung web aplikasi, termasuk pula web aplikasi itu sendiri.

Arsitektur sistem pelaksanaan web terdiri berdasarkan 2 sisi: server dan klien. Keduanya dihubungkan dengan jaringan personal komputer (computer network). Selain menyajikan data-data dalam bentuk tidak aktif, pelaksanaan bisa menyajikan data pada bentuk dinamis menggunakan menjalankan program. Program ini bisa dijalankan di server (misal menggunakan CGI, servlet) dan pada klien (applet, Javascript).

7. Aesthetics
Selain sisi teknis, estetis pula merupakan suatu hal yang wajib diperhatikan pada sebuah pelaksanaan web, lantaran tampilan serta keindahan merupakan salah satu hal yg utama, yg digunakan sebagai daya tarik pengunjung.

Kualitas Aplikasi Web
Kualitas yg baik berdasarkan suatu pelaksanaan web bisa diukur melalui beberapa karakteristik, diantaranya, usability, functionality, reliability, efficiency, dan maintainability [6]. Gambar 2 memperlihatkan faktor-faktor yang membantu pengembang dalam merancang serta menciptakan pelaksanaan web yg dapat diterima serta memenuhi kebutuhan penggunanya yg begitu beragam.

Gambar Faktor Kualitas Aplikasi Web

Arsitektur Aplikasi Web
Menurut Krutchen sebuah arsitektur pelaksanaan web dibangun dari dalam empat buah tinjauan, yaitu Logical, Process, Physical serta Development View, masing-masing tinjauan tersebut memiliki pengertian yang berbeda serta seluruh tinjauan tadi harus diperiksa buat memperoleh pemahaman yang baik tentang pelaksanaan web secara keseluruhan. Untuk menambahkan sebuah kebutuhan khusus pada pelaksanaan web, seperti keamanan dapat ditambahkan tinjauan lainnya pada arsitektur aplikasi web.

Gambar Logical View dalam Aplikasi Web

1. Logical View 
Ditinjau secara logis, aplikasi web merupakan abstraksi dari sebuah sistem yang mempunyai domain perkara eksklusif. Sebuah aplikasi digambarkan sebagai interaksi antara komponen-komponen yang tidak selaras. Pada level arsitektur, sebuah aplikasi web dapat digolongkan ke dalam bentuk dua-tier atau menjadi 3-tier (misalnya yang ditunjukkan pada Gambar)

Gambar Tinjauan Model Arsitektur 4+1

Presentation Logic tier bertanggung jawab untuk melakukan hubungan antara komponen-komponen buat menghasilkan tampilan user. Komponen dalam bagian ini hanya berinteraksi menggunakan komponen yang berada pada Business Logic tier. Komponen yang masih ada pada Business Logic tier berisi seluruh pengetahuan yg dibutuhkan buat melakukan proses modifikasi komponen data yg masih ada pada Databases tier. Databases tier berisi semua komponen data yang digunakan buat menyediakan penyimpanan data untuk data serta informasi menurut suatu aplikasi web.

Arsitektur 3-tierd menyediakan perhatian lebih terhadap pembagian permasalahan. Pada arsitektur dua-tierd bagian business logic dan databases disatukan. Keuntungan dari arsitektur 3-tierd merupakan sistem database dapat dengan gampang dilakukan perubahan tanpa mensugesti bagian business logic.

2. Development View
Development view serius pada pemetaan antara konsep komponen logical view ke implementasi sebenarnya. Development view dalam suatu aplikasi web terdiri menurut:
a. Struktur link menurut laman aplikasi 
b. Teknik user session management
c. Teknologi laman pelaksanaan web 

3. Physical View
Physical view menggambarkan pemetaan antara komponen yang masih ada pada development view ke lingkungan aplikasi web diletakkan. Aplikasi web memiliki lingkungan yang sangat kompleks, yg terdiri berdasarkan komponen-komponen menjadi berikut:
a. Web browsers
b. Web servers
c. Application servers
d. Database
e. Object terdistribusi (misalnya, Java Beans)

Pengguna aplikasi web memakai web browser sebagai interface buat dapat mengakses fungsi menurut suatu aplikasi web. Sebuah browser mengirimkan permintaan (request) ke web server, mengirim-nya menggunakan memakai protokol HTTP. Sebuah web server menaruh permintaan tersebut jika permintaan tersebut bisa dipenuhi secara eksklusif, menggunakan melibatkan proses yang masih ada dalam application server. 

Seperti yg terlihat pada Gambar, jika pengguna ingin merogoh data yang masih ada dalam databases, maka application server harus dilibatkan. Akhirnya web server menggunakan hasil yang sudah diperoleh berdasarkan application server menghasilkan halaman HTML serta mengembalikannya kepada pengguna pelaksanaan web.

Gambar Physical View dari Aplikasi Web

Protokol Web
Penetration testing merupakan teknik pengujian yg memanfaatkan kemampuan protokol di web, buat itu perlu pengenalan terhadap protokol yang digunakan dalam pelaksanaan web. Aplikasi-aplikasi berbasis web, biasanya menggunakan protokol: HTTP (Hyper Text Transfer Protocol) atau HTTPS (HTTP over Socket Secure Layer), menggunakan port yang biasa digunakan adalah port 80 (HTTP) dan port 443 (HTTPS). 

HTTP
Setiap browser web serta server harus berkomunikasi melalui protokol ini,. Ada tiga versi protokol HTTP ini, dimana ketiganya mempunyai kesamaan struktur dasar. HTTP merupakan protokol yg berkerja menggunakan metode request dan respon, yang bisa ditunjukan dalam pada Gambar.

Gambar Metode Request & Respon HTTP

Untuk mengenal lebih mendalam, masih ada beberapa metode yang dapat dilakukan sebagai request pada protocol HTTP. Metode tersebut antara lain: connect, delete, get, head, option, post, put, serta trace. Metode di atas difasilitasi sang protokol HTTP 1.1. Untuk lebih jelas bisa dilihat pada Tabel.

Respon HTTP
Sebuah permintaan HTTP menurut sebuah klien ditangani sang server dan direspon oleh server tadi. Untuk merespon, server akan mengirimkan kembali serangkaian komponen pesan yang bisa mengkategorikan sebagai berikut : 
a. Kode respon— Angka yang bertalian dalam sebuah tipe asosiasi respon.
b. Lokasi awal (Header fields)—fakta tambahan tentang respon. 
c. Data—Isi dari respon. 

Melalui tiga komponen tadi, sebuah browser klien bisa tahu respon berdasarkan server dan berinteraksi menggunakan server tadi. 

Serangan Keamanan Aplikasi Web
Dunia internet ketika ini mengenal poly jenis serangan yg dilakukan dan seringkali merugikan. Jenis-jenis agresi terjadi selama ini dapat mengkategorikan pada empat kategori dari kriteria sasaran serangan yaitu:
1. Interruption: agresi atas ketersediaan informasi. Penyerang mengganggu menggunakan melakukan penghentian genre informasi kepada klien.
2. Interception: agresi atas kerahasiaan. Mengakses kabar yg bukan sebagai haknya adalah tujuan berdasarkan agresi ini. Informasi dapat digunakan buat hal-hal yg merugikan pihak lain.
3. Modification: serangan atas integrasi suatu warta. Mengakses fakta serta bisa jua membarui isi kabar sebagai target serangan ini.
4. Fabrication: agresi terhadap proses autentifikasi. Membangkitkan objek palsu yang dikenal menjadi bagian berdasarkan sistem adalah tujuan dari serangan jenis. 

Gambar Jenis – jenis Serangan

Dari sisi motif tindakan, serangan yang terjadi bisa mengkategorikan dari jenis tindakan yg dilakukan, dan dikelompokkan menjadi sebagai berikut:

A. Ancaman Pasif
Serangan yang dilakukan lebih bersifat mengamati konduite sasaran, dalam termin ini penyerang berusaha mengenali setiap bagian target. Tindakan yg dilakukan antara lain:
a. Melepaskan serangkaian pesan ke target buat mengetahui respon sasaran, serta menerima warta awal mengenai sasaran. Deteksi port merupakan keliru satu misalnya.
b. Analisa trafik, dilakukan buat mengetahui pola trafik data pada target.

B. Ancaman aktif
Serangan yg dilakukan sudah ditujukan untuk berdampak langsung dalam target. Beberapa tindakan serangan yg poly dikenal merugikan merupakan contoh dari tindakan ini. Berikut beberapa diantaranya: 
a. Masquerade, penyerangan dikenali menjadi bagian menurut alias identitas yang berwenang.
b. Reply
c. Modifikasi isi pesan (Mengubah pesan layanan yang diberikan sang sistem)
d. Denial of service (Menghilangkan kemampuan sistem buat memberikan layanan).

Aplikasi Web Joomla
Joomla merupakan keliru satu Content Management System (CMS) yg paling terkenal tersedia, gampang digunakan, sebagai akibatnya mempunyai keuntungan, yaitu pengguna-nya nir membutuhkan keterampilan serta kemampuan teknis yang tinggi buat memasak serta mengatur aplikasi web tersebut. Selain itu aplikasi web Joomla adalah sebuah CMS yang mempunyai banyak fitur, dan hal inilah yang menyebabkan pelaksanaan web Joomla banyak digunakan sebagai website suatu perusahaan atau organisasi, baik yang dipakai buat keperluan usaha maupun pendidikan.

Joomla berdasarkan pada CMS yang bebas dan terbuka (free open source) ditulis dengan memakai bahasa pemrograman PHP dan basis data MySQL, buat keperluan di internet juga intranet. Joomla pertamakali dirilis menggunakan versi 1.0.0. Fitur-fitur utama Joomla antara lain merupakan manajemen pengguna, manajemen konten, layanan web (web services) serta lain sebagainya. Joomla jua menggunakan lisensi GNU General Public License (GPL).

Gambar Model View Controller (MVC) Joomla

Secara garis besar Joomla terdiri berdasarkan tiga elemen dasar, yaitu server web (web server), skrip PHP serta basis data MySQL. Server web diasumsikan terhubung menggunakan Internet/Intranet yang berfungsi sebagai penyedia layanan pelaksanaan web. Skrip PHP terdiri berdasarkan kode program dalam bahasa PHP, dan basis data merupakan loka penyimpanan konten. Joomla menggunakan Apache dan Microsoft IIS menjadi server web, serta MySQL buat basis datanya. Paket Joomla terdiri berdasarkan beberapa bagian yg terpisah dan dalam bentuk modul yang sangat fleksibel, yang dapat dengan gampang dikembangkan serta diintegrasikan. Gambar 8 merupakan MVC menurut pelaksanaan web Joomla.

Threat Modeling 
Threat Modeling adalah teknik yg cukup terkenal dipakai buat membantu desainer sistem mengetahui ancaman keamanan yang mungkin ada pada suatu sistem atau aplikasi web-nya. Oleh karenanya pemodelan ancaman bisa dijadikan sebuah ukuran buat memperkirakan resiko yang mungkin terjadi pada sebuah pelaksanaan web. Dalam kenyataannya pemodelan ancaman memungkinkan desainer pada membuatkan strategi buat mengatasi masalah dalam bagian menurut pelaksanaan yg gampang diserang (vulnerabilities) serta membantu desainer agar tetap penekanan pada pengerjaan kebutuhan sistem aplikasi web yg terbatas oleh asal daya, dimana aplikasi web tadi dituntut segera terselesaikan.

Selain itu masih ada pula kelebihan dan kekurangan yang dimiliki sang teknik pengujian aplikasi web yang dilakukan dengan mengunakan teknik pemodelan ancaman, merupakan menjadi berikut:

A. Kelebihan 
a. Merupakan teknik yang dilihat berdasarkan perspektif seorang penyerang (attacker) sistem aplikasi web.
b. Fleksibel 
c. Dilakukan dalam permulaan SDLC

B. Kekurangan 
a. Relatif merupakan teknik baru 
b. Pemodelan ancaman yg baik nir dilakukan secara otomatis sang perangkat lunak

Selain itu pemodelan ancaman adalah suatu metode yang digunakan buat mengenali atau mengetahui ancaman (Vulnerability), serangan (attack), dan kelemahan (vulnerabilities) yg herbi pelaksanaan web. Pembentukan pemodelan ancaman dibagi ke pada beberapa tahap:

Identify Security Objectives
Tahap ke-1: identify security objectives, dilakukan buat mengetahui tujuan/kebutuhan keamanan aplikasi web, hal ini digunakan buat membantu memilih kegiatan pemodelan ancaman, dan buat memilih berapa poly bisnis pengujian yg perlu dilakukan. 

Create Application Overview
Tahap ke-2: Create Application Overview, dilakukan buat mengetahui karakteristik dan aktor dalam pelaksanaan web, hal ini dipakai buat membantu mengenali ancaman yang terdapat. 

Decompose Application
Tahap ke-3: Decompose Application, dilakukan buat mengetahui mekanisme aplikasi web secara lebih jelasnya, hal ini jua digunakan buat membantu mengenali ancaman yg terdapat. 

Identify Threats 
Tahap Ke-4: Identify Threat, dilakukan buat mengenali ancaman yg ada, yaitu menggunakan menggunakan tahap ke-dua dan ke-3. 

Identify Vulnerabilities
Tahap Ke-lima Identify Vulnerabilities, dilakukan buat mengetahui kelemahan yg masih ada dalam pelaksanaan web, hal ini digunakan buat membantu mengenali area yang terjadi kesalahan.

Gambar Proses Pembentukan Threat Modeling

Metodologi OWASP
Open Web Application Security Project (OWASP) merupakan metodologi yang digunakan untuk membantu melakukan pengukuran (assessment), audit atau penetration testing terhadap pelaksanaan Web. Metodologi OWASP memiliki poly keunggulan, karena pada perkembangannya OWASP selalu mengikuti perkembangan keamanan dari aplikasi web itu sendiri. Selain itu OWASP tidak terfokus hanya pada perangkat bantu, sebagai akibatnya memberikan kesempatan kepada pengguna buat think out side of the box.

OWASP Testing Framework
Menurut OWASP untuk membangun aplikasi web yg kondusif wajib dilakukan proses pengujian dalam setiap tahap pengembangan aplikasi atau aplikasi development live cycle (SDLC) [4], yg terdiri dari:
a. Sebelum pengembangan 
b. Selama termin definisi dan desain 
c. Selama pembangunan 
d. Selama deployment 
e. Ketika pemeliharaan dan operasional 

Tahap 1: Sebelum Pengembangan
Sebelum proses pembangunan aplikasi web dimulai maka harus dilakukan hal berikut:
a. Pengujian baku, mekanisme serta kebijakan keamanan yg akan digunakan selama pengembangan pelaksanaan web.
b. Membuat metrik dan kriteria pengukuran 
c. Meninjau proses SDLC

Tahap 1A: Tinjauan Kebijakan serta Standar 
Pada termin ini pastikan bahwa kebijakan, standar dan dokumentasi yang dipakai sempurna. Dokumentasi merupakan hal yang sangat krusial, lantaran menaruh pedoman kepada tim pengembang selama melakukan proses pembangunan pelaksanaan web.

Standar dan kebijakan yang akan dipakai tergantung pada teknologi yg akan dipakai, lantaran nir ada baku dan kebijakan yg dapat menanggulangi setiap situasi pengembangan pelaksanaan web. Sebagai contoh, bila aplikasi yg akan dibangun memakai teknologi java, maka diperlukan dokumentasi tentang standar keamanan buat pengkodean bahasa pemrograman java. Jika pelaksanaan memakai kriptografi maka diharapkan dokumentasi mengenai standar kriptografi. 

Tahap1B: Membuat Ukuran dan Kriteria Metrik 
Sebelum pembangunan pelaksanaan web dimulai, maka harus ditentukan serta direncanakan ukuran program. Penentuan berukuran kriteria bermanfaat buat menentukan kualitas aplikasi web yang dibuat, serta juga bisa diprediksi dampak yang mungkin terjadi dalam proses dan produk yang dihasilkan, sehingga bisa segera dibuat keputusan tentang perubahan proses untuk meminimalkan terjadinya kerusakan yg terjadi. 

Tahap dua: Selama Definisi serta Desain 
Tahap 2A: Tinjauan Kebutuhan Keamanan
Kebutuhan keamanan merupakan keperluan pelaksanaan web yg dipandang menurut perspektif keamanan. Pengujian terhadap kebutuhan keamanan sangat diharapkan buat melihat apakah masih ada hal yg belum terpenuhi antara kebutuhan keamanan baku dengan definisi kebutuhan yg sudah dibentuk. Sebagai model kebutuhan keamanan dalam aplikasi web merupakan, pengunjung diharuskan terdaftar sebelum mereka bisa mengakses informasi-kabar yang tersimpan dalam pelaksanaan web tersebut. Menurut OWASP mekanisme kebutuhan sistem keamanan dalam aplikasi web terdiri dari:

a. User Management
Aspek keamanan dalam aplikasi web yg mengatur pengguna dalam melakukan manajemen atau pengaturan terhadap fasilitas yg tersedia.

b. Authentication
Aspek ini berhubungan dengan metoda buat menyatakan bahwa keterangan benar -benar asli, orang yg mengakses atau memberikan berita merupakan benar -benar orang yg dimaksud, atau server yg dihubungi adalah betul-betul server yg asli.

c. Authorization 
Konsep keamanan menurut aplikasi web yg memperbolehkan pengguna memakai sumber daya (resources) apabila telah diizinkan sang pemilik resources tersebut. Salah satu bagian menurut otorisasi adalah akses kontrol. Aspek ini berhubungan dengan cara pengaturan akses kepada fakta. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & pengguna (guest, admin, top manager, serta sebagainya), prosedur autentikasi serta pula privacy. Access control sering dilakukan dengan memakai kombinasi user id/password atau dengan memakai mekanisme lain (misalnya kartu, biometrics).

d. Data Confidentiality serta Privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga warta berdasarkan orang yg nir berhak mengakses. Privacy lebih ke arah data-data yg sifatnya eksklusif sedangkan confidentiality umumnya herbi data yang diberikan ke pihak lain untuk keperluan eksklusif (contohnya sebagai bagian dari registrasi sebuah layanan) dan hanya diperbolehkan buat keperluan eksklusif tadi. Contoh hal yg berhubungan dengan privacy merupakan e-mail seseorang pengguna nir boleh dibaca oleh administrator. Contoh kabar confidential merupakan data-data yg sifatnya eksklusif (seperti nama, loka lepas lahir, number keamanan, kepercayaan , status perkawinan, penyakit yg pernah diderita, angka kartu kredit, serta sebagainya) merupakan data-data yang ingin pada perlindungan penggunaan serta penyebaran-nya. Contoh lain menurut confidentiality adalah daftar pelanggan menurut sebuah Internet Service Provider (ISP).

Serangan terhadap aspek privacy contohnya merupakan bisnis buat melakukan penyadapan (menggunakan program sniffer). Usaha-bisnis yang dapat dilakukan buat menaikkan privacy serta confidentiality adalah menggunakan memakai teknologi kriptografi (dengan enkripsi dan dekripsi). Informasi tentang privacy yang lebih rinci dapat diperoleh berdasarkan situs Electronic Privacy Information Center (EPIC) serta Electronic Frontier Foundation (EFF).

e. Integrity 
Aspek ini menekankan bahwa fakta tidak boleh diubah tanpa se-biar pemilik berita. Adanya virus, Trojan horse, atau pemakai lain yang mengganti fakta tanpa ijin adalah contoh kasus yang harus dihadapi. Sebuah e-mail bisa saja ditangkap (intercept) pada tengah jalan, diubah isinya (altered, tampered, modified), lalu diteruskan ke alamat yg dituju. Dengan kata lain, integritas berdasarkan kabar telah nir terjaga. Penggunaan enkripsi dan digital signature, contohnya, bisa mengatasi kasus ini.

f. Accountability
Aspek keamanan dalam aplikasi web yang menekankan apakah fasilitas yg diberikan telah sesuai dengan kebutuhan pengguna.

g. Session Management
Konsep keamanan aplikasi web yg mengatasi seluruh kasus yang herbi pengguna mulai dari proses autentikasi sampai menggunakan pengguna meninggalkan pelaksanaan web.

h. Transport Security 
Konsep keamanan pada aplikasi web yang diterapkan buat mengatasi masalah yg herbi pengangkutan (transport) data yg sensitif yang disediakan oleh aplikasi web, seperti session ID.

i. Tiered System Segregation 
Aspek keamanan pada aplikasi web yang menekankan dalam keamanan pemisahan aset diantara penggunanya.

Tahap 2B: Tinjauan Desain dan Arsitektur 
Tinjauan dokumen desain serta arsitektur aplikasi web bermanfaat buat memastikan bahwa desain serta arsitektur yg sudah dibuat telah menerapkan menggunakan tepat prosedur keamanan yang sudah didefinisikan.

Tahap 2C: Membuat serta Meninjau Model UML 
Setelah tahap desain dan arsitektur terselesaikan dibuat, maka dilakukan pembuatan dan peninjauan terhadap Unified Modeling Language (UML) yg bermanfaat untuk mendeskripsikan bagaimana kerja pelaksanaan web.

Tahap 2D: Membuat dan Meninjau Pemodelan Ancaman 
Setelah proses peninjauan desain, arsitektur serta pelukisan UML dilakukan, lalu selanjutnya dikerjakan membuat pemodelan ancaman, menggunakan cara membuat skenario nyata mengenai pemodelan ancaman yg mungkin terjadi pada aplikasi web, menganalisis desain serta arsitektur buat meyakinkan apakah skenario ancaman yg dilakukan dapat ditangani oleh desain dan arsitektur yang terdapat, jika nir dapat ditanggulangi maka perlu ditinjau pulang desain serta arsitektur buat dilakukan perubahan.

Tahap 3: Selama Pengembangan 
Pengembangan merupakan implementasi dari desain yg sudah dibuat, maka pada termin ini dilakukan proses pembuatan aplikasi menurut pada desain yg ada serta pedoman yg berisi fakta mengenai baku, kebijakan, dan mekanisme yang telah ditentukan sebelumnya.

Tahap 3A: Code Walkthroughs
Code Walkthroughs dilakukan sang tim keamanan yg berguna buat tahu prosedur, nalar, layout serta struktur menurut kode yang membentuk aplikasi web yang sudah dibuat oleh tim pengembang.

Tahap 3B: Peninjauan Kode
Setelah diketahui struktur kode yang menciptakan aplikasi web, maka selanjutnya penguji membandingkan struktur kode tadi dengan kode keamanan sebenarnya. Peninjauan kode secara statik dapat dilakukan menggunakan membandingkan kode yang sudah dibentuk menggunakan sekumpulan kriteria baku keamanan aplikasi web, diantaranya:
a. Kebutuhan usaha buat availability, confidentiality, dan integrity.
b. Kriteria OWASP Top 10 
c. Konflik spesifik yang berhubungan dengan bahasa pemrograman serta framework yg digunakan. Seperti Scarlet paper buat PHP serta Microsoft Secure buat ASP.net.
d. Beberapa kebutuhan spesifik industri, misalnya Sarbanes-Oxley 404, COPPA, ISO 17799, APRA, HIPAA, panduan Visa Merchant atau anggaran-aturan standar industri lainnya.

Tahap 4: Selama Deployment
Tahap 4A: Application Penetration Testing
Setelah melakukan pengujian terhadap requirement, menganalisis desain serta melakukan code review, maka hal terakhir yang dilakukan adalah penetrasi testing buat menilik serta meyakinkan tidak ada kesalahan yang terjadi dalam aplikasi web yang telah dibuat.

Tahap 4B: Configuration Management Testing
Configuration Management Testing merupakan bagian berdasarkan penetration testing yg bermanfaat buat menilik apakah infrastruktur serta desain yg ada sudah di terapkan secara aman.

Tahap 5: Maintenance dan Operations
Tahap 5A: Operational Management Reviews
Pada bagian ini dilakukan proses peninjauan terhadap manajemen operasional dalam bagian aplikasi serta infrastruktur.

Tahap 5B: Periodic Health Checks
Secara terpola pemeriksaan keadaan keamanan wajib dilakukan dalam bagian aplikasi maupun infrastruktur buat memastikan nir terdapat resiko keamanan baru yg terjadi serta buat memastikan apakah perlu dilakukan perubahan terhadap level keamanan yang dipakai.

Tahap 5C: Ensure Change Verification 
Setelah setiap perubahan yang akan dilakukan sudah disetujui, maka dilakukan pembuktian untuk menetapkan adanya perubahan terhadap level keamanan. Gambar 10 menampakan SDLC testing workflow dari metodologi OWASP. 

Gambar OWASP Testing Framework Work Flow

MENJELASKAN KEAMANAN APLIKASI WEB

Menjelaskan Keamanan Aplikasi Web 
Aplikasi web adalah suatu lingkungan yang terstruktur dalam bentuk acara komputer yg memungkinkan pengunjung website memasukkan serta menampilkan data dari dan ke suatu database server melalui internet dengan menggunakan web browser. Kemudian data ditampilkan ke pengguna menjadi fakta yang dihasilkan secara dinamis sang pelaksanaan web melalui web server. 

Ciri serta Sifat Aplikasi Web
Menurut Roger S. Pressman dalam bukunya Software Engineering A Practitioner’s Approach dikatakan suatu pelaksanaan web memiliki disparitas menggunakan aplikasi lainnya, lantaran mempunyai sifat serta karakteristik-ciri sebagai berikut:

1. Network Intensive
Network intensive Sifat dasar menurut suatu pelaksanaan web merupakan terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani beragam kebutuhan dari penggunanya.

Network intensive Sifat dasar menurut suatu pelaksanaan web merupakan terletak dalam suatu jaringan (internet, intranet atau extranet) dimana pelaksanaan web harus melayani beragam kebutuhan dari penggunanya.

2. Content Driven
Fungsi utama menurut aplikasi web merupakan buat menampilkan kabar berupa teks, gambar, audio, serta video kepada para penggunanya.

3. Continuous Evolution
Aplikasi web mengalami perubahan secara terus-menerus (continuous evolution), terutama dalam bagian isi (warta) berdasarkan pelaksanaan tadi.

4. Document-Oriented
Halaman-page web yang bersifat statis akan permanen terdapat meskipun sudah terdapat teknik pemrograman web menggunakan menggunakan bahasa pemrograman java atau yg lainnya.

5. Immediacy 
Aplikasi web memiliki ciri kesiapan (immediacy), yang berarti pelaksanaan web tadi wajib sudah siap dan lengkap untuk ditampilkan ke publik dalam jarak saat beberapa hari atau minggu saja, dan hal ini nir ditemukan pada perangkat lunak lainnya.

6. Security
Berkembangnya pelaksanaan web serta Internet mengakibatkan pergerakan sistem kabar buat menggunakannya menjadi basis. Banyak sistem yang nir terhubung ke Internet namun permanen memakai basis pelaksanaan web sebagai basis buat sistem informasinya yg dipasang di jaringan Intranet. Untuk itu, keamanan sistem keterangan yang berbasis pelaksanaan web serta teknologi Internet bergantung pada keamanan sistem aplikasi web tadi.

Keamanan dibutuhkan buat melindungi isi dari aplikasi web yg sensitif serta menyediakan proses pengiriman data yg aman, sang karena itu keamanan pelaksanaan harus diterapkan dalam semua infrastruktur yg mendukung web pelaksanaan, termasuk jua web aplikasi itu sendiri.

Arsitektur sistem pelaksanaan web terdiri berdasarkan 2 sisi: server serta klien. Keduanya dihubungkan dengan jaringan personal komputer (computer network). Selain menyajikan data-data pada bentuk statis, pelaksanaan dapat menyajikan data pada bentuk bergerak maju dengan menjalankan program. Program ini dapat dijalankan di server (misal menggunakan CGI, servlet) serta di klien (applet, Javascript).

7. Aesthetics
Selain sisi teknis, estetis juga merupakan suatu hal yg wajib diperhatikan pada sebuah pelaksanaan web, lantaran tampilan serta estetika merupakan galat satu hal yang utama, yang dipakai sebagai daya tarik pengunjung.

Kualitas Aplikasi Web
Kualitas yg baik menurut suatu pelaksanaan web dapat diukur melalui beberapa ciri, antara lain, usability, functionality, reliability, efficiency, dan maintainability [6]. Gambar 2 menunjukkan faktor-faktor yg membantu pengembang pada merancang dan menciptakan pelaksanaan web yang bisa diterima dan memenuhi kebutuhan penggunanya yang begitu beragam.

Gambar Faktor Kualitas Aplikasi Web

Arsitektur Aplikasi Web
Menurut Krutchen sebuah arsitektur pelaksanaan web dibangun dari pada empat butir tinjauan, yaitu Logical, Process, Physical serta Development View, masing-masing tinjauan tersebut memiliki pengertian yg tidak sama dan semua tinjauan tadi wajib diperiksa buat memperoleh pemahaman yang baik tentang pelaksanaan web secara holistik. Untuk menambahkan sebuah kebutuhan spesifik pada aplikasi web, misalnya keamanan dapat dibubuhi tinjauan lainnya pada arsitektur pelaksanaan web.

Gambar Logical View pada Aplikasi Web

1. Logical View 
Ditinjau secara logis, pelaksanaan web merupakan abstraksi menurut sebuah sistem yg mempunyai domain perkara tertentu. Sebuah pelaksanaan digambarkan menjadi interaksi antara komponen-komponen yg berbeda. Pada level arsitektur, sebuah pelaksanaan web dapat digolongkan ke pada bentuk dua-tier atau sebagai 3-tier (misalnya yang ditunjukkan dalam Gambar)

Gambar Tinjauan Model Arsitektur 4+1

Presentation Logic tier bertanggung jawab buat melakukan interaksi antara komponen-komponen untuk menghasilkan tampilan user. Komponen dalam bagian ini hanya berinteraksi dengan komponen yg berada pada Business Logic tier. Komponen yang masih ada dalam Business Logic tier berisi seluruh pengetahuan yang diperlukan buat melakukan proses modifikasi komponen data yang terdapat pada Databases tier. Databases tier berisi semua komponen data yg dipakai buat menyediakan penyimpanan data buat data serta informasi dari suatu aplikasi web.

Arsitektur 3-tierd menyediakan perhatian lebih terhadap pembagian permasalahan. Pada arsitektur 2-tierd bagian business logic serta databases disatukan. Keuntungan berdasarkan arsitektur 3-tierd adalah sistem database bisa dengan mudah dilakukan perubahan tanpa mempengaruhi bagian business logic.

2. Development View
Development view berfokus pada pemetaan antara konsep komponen logical view ke implementasi sebenarnya. Development view pada suatu pelaksanaan web terdiri dari:
a. Struktur link dari laman pelaksanaan 
b. Teknik user session management
c. Teknologi laman pelaksanaan web 

3. Physical View
Physical view mendeskripsikan pemetaan antara komponen yg masih ada pada development view ke lingkungan aplikasi web diletakkan. Aplikasi web mempunyai lingkungan yg sangat kompleks, yg terdiri berdasarkan komponen-komponen sebagai berikut:
a. Web browsers
b. Web servers
c. Application servers
d. Database
e. Object terdistribusi (seperti, Java Beans)

Pengguna aplikasi web menggunakan web browser menjadi interface buat bisa mengakses fungsi berdasarkan suatu aplikasi web. Sebuah browser mengirimkan permintaan (request) ke web server, mengirim-nya dengan menggunakan protokol HTTP. Sebuah web server memberikan permintaan tadi jika permintaan tersebut dapat dipenuhi secara pribadi, dengan melibatkan proses yang terdapat pada application server. 

Seperti yang terlihat dalam Gambar, apabila pengguna ingin mengambil data yang terdapat pada databases, maka application server harus dilibatkan. Akhirnya web server menggunakan output yg sudah diperoleh menurut application server membentuk laman HTML serta mengembalikannya pada pengguna pelaksanaan web.

Gambar Physical View menurut Aplikasi Web

Protokol Web
Penetration testing merupakan teknik pengujian yang memanfaatkan kemampuan protokol di web, buat itu perlu pengenalan terhadap protokol yg digunakan dalam aplikasi web. Aplikasi-aplikasi berbasis web, umumnya menggunakan protokol: HTTP (Hyper Text Transfer Protocol) atau HTTPS (HTTP over Socket Secure Layer), menggunakan port yang biasa digunakan adalah port 80 (HTTP) serta port 443 (HTTPS). 

HTTP
Setiap browser web serta server harus berkomunikasi melalui protokol ini,. Ada 3 versi protokol HTTP ini, dimana ketiganya mempunyai kecenderungan struktur dasar. HTTP merupakan protokol yg berkerja menggunakan metode request serta respon, yg bisa ditunjukan dalam pada Gambar.

Gambar Metode Request & Respon HTTP

Untuk mengenal lebih mendalam, masih ada beberapa metode yg dapat dilakukan sebagai request pada protocol HTTP. Metode tadi diantaranya: connect, delete, get, head, option, post, put, serta trace. Metode di atas difasilitasi oleh protokol HTTP 1.1. Untuk lebih jelas dapat dipandang pada Tabel.

Respon HTTP
Sebuah permintaan HTTP berdasarkan sebuah klien ditangani sang server serta direspon sang server tersebut. Untuk merespon, server akan mengirimkan pulang serangkaian komponen pesan yang bisa mengkategorikan menjadi berikut : 
a. Kode respon— Angka yg bertalian pada sebuah tipe asosiasi respon.
b. Lokasi awal (Header fields)—berita tambahan mengenai respon. 
c. Data—Isi berdasarkan respon. 

Melalui tiga komponen tadi, sebuah browser klien dapat tahu respon dari server dan berinteraksi menggunakan server tadi. 

Serangan Keamanan Aplikasi Web
Dunia internet ketika ini mengenal banyak jenis agresi yg dilakukan dan tak jarang merugikan. Jenis-jenis serangan terjadi selama ini bisa mengkategorikan pada empat kategori dari kriteria target agresi yaitu:
1. Interruption: agresi atas ketersediaan kabar. Penyerang mengganggu menggunakan melakukan penghentian genre berita kepada klien.
2. Interception: serangan atas kerahasiaan. Mengakses kabar yg bukan sebagai haknya adalah tujuan menurut agresi ini. Informasi dapat dipakai buat hal-hal yg merugikan pihak lain.
3. Modification: serangan atas integrasi suatu warta. Mengakses berita serta dapat pula mengganti isi kabar sebagai target serangan ini.
4. Fabrication: agresi terhadap proses autentifikasi. Membangkitkan objek palsu yg dikenal sebagai bagian menurut sistem adalah tujuan dari serangan jenis. 

Gambar Jenis – jenis Serangan

Dari sisi motif tindakan, serangan yg terjadi bisa mengkategorikan dari jenis tindakan yg dilakukan, dan dikelompokkan menjadi sebagai berikut:

A. Ancaman Pasif
Serangan yg dilakukan lebih bersifat mengamati perilaku target, pada tahap ini penyerang berusaha mengenali setiap bagian target. Tindakan yang dilakukan antara lain:
a. Melepaskan serangkaian pesan ke target buat mengetahui respon target, serta menerima berita awal tentang target. Deteksi port merupakan galat satu contohnya.
b. Analisa trafik, dilakukan buat mengetahui pola trafik data pada target.

B. Ancaman aktif
Serangan yang dilakukan telah ditujukan buat berdampak eksklusif pada sasaran. Beberapa tindakan agresi yg banyak dikenal merugikan merupakan model berdasarkan tindakan ini. Berikut beberapa antara lain: 
a. Masquerade, penyerangan dikenali sebagai bagian dari alias bukti diri yang berwenang.
b. Reply
c. Modifikasi isi pesan (Mengubah pesan layanan yang diberikan oleh sistem)
d. Denial of service (Menghilangkan kemampuan sistem buat menaruh layanan).

Aplikasi Web Joomla
Joomla merupakan keliru satu Content Management System (CMS) yang paling populer tersedia, gampang dipakai, sehingga memiliki keuntungan, yaitu pengguna-nya nir membutuhkan keterampilan serta kemampuan teknis yg tinggi buat memasak serta mengatur aplikasi web tadi. Selain itu aplikasi web Joomla adalah sebuah CMS yg mempunyai poly fitur, serta hal inilah yang mengakibatkan aplikasi web Joomla poly digunakan sebagai website suatu perusahaan atau organisasi, baik yg dipakai buat keperluan bisnis juga pendidikan.

Joomla dari dalam CMS yg bebas serta terbuka (free open source) ditulis dengan menggunakan bahasa pemrograman PHP dan basis data MySQL, buat keperluan di internet juga intranet. Joomla pertamakali dirilis dengan versi 1.0.0. Fitur-fitur primer Joomla antara lain merupakan manajemen pengguna, manajemen konten, layanan web (web services) serta lain sebagainya. Joomla juga menggunakan lisensi GNU General Public License (GPL).

Gambar Model View Controller (MVC) Joomla

Secara garis akbar Joomla terdiri dari tiga elemen dasar, yaitu server web (web server), skrip PHP dan basis data MySQL. Server web diasumsikan terhubung dengan Internet/Intranet yg berfungsi sebagai penyedia layanan pelaksanaan web. Skrip PHP terdiri dari kode acara dalam bahasa PHP, dan basis data adalah tempat penyimpanan konten. Joomla menggunakan Apache dan Microsoft IIS sebagai server web, dan MySQL untuk basis datanya. Paket Joomla terdiri menurut beberapa bagian yg terpisah serta dalam bentuk modul yang sangat fleksibel, yang bisa menggunakan mudah dikembangkan serta diintegrasikan. Gambar 8 adalah MVC menurut pelaksanaan web Joomla.

Threat Modeling 
Threat Modeling adalah teknik yg cukup terkenal digunakan buat membantu desainer sistem mengetahui ancaman keamanan yang mungkin timbul pada suatu sistem atau pelaksanaan web-nya. Oleh karenanya pemodelan ancaman dapat dijadikan sebuah ukuran buat memperkirakan resiko yg mungkin terjadi dalam sebuah aplikasi web. Dalam kenyataannya pemodelan ancaman memungkinkan desainer dalam mengembangkan taktik buat mengatasi masalah dalam bagian dari aplikasi yg mudah diserang (vulnerabilities) dan membantu desainer supaya tetap penekanan dalam pengerjaan kebutuhan sistem aplikasi web yg terbatas sang sumber daya, dimana pelaksanaan web tersebut dituntut segera selesai.

Selain itu terdapat jua kelebihan serta kekurangan yang dimiliki oleh teknik pengujian pelaksanaan web yg dilakukan dengan mengunakan teknik pemodelan ancaman, merupakan menjadi berikut:

A. Kelebihan 
a. Merupakan teknik yang ditinjau dari perspektif seorang penyerang (attacker) sistem pelaksanaan web.
b. Fleksibel 
c. Dilakukan dalam permulaan SDLC

B. Kekurangan 
a. Relatif adalah teknik baru 
b. Pemodelan ancaman yang baik nir dilakukan secara otomatis sang perangkat lunak

Selain itu pemodelan ancaman adalah suatu metode yg digunakan buat mengenali atau mengetahui ancaman (Vulnerability), serangan (attack), serta kelemahan (vulnerabilities) yang berhubungan dengan pelaksanaan web. Pembentukan pemodelan ancaman dibagi ke dalam beberapa termin:

Identify Security Objectives
Tahap ke-1: identify security objectives, dilakukan buat mengetahui tujuan/kebutuhan keamanan pelaksanaan web, hal ini dipakai buat membantu menentukan aktivitas pemodelan ancaman, serta untuk menentukan berapa poly usaha pengujian yg perlu dilakukan. 

Create Application Overview
Tahap ke-dua: Create Application Overview, dilakukan buat mengetahui karakteristik serta aktor pada pelaksanaan web, hal ini dipakai untuk membantu mengenali ancaman yang terdapat. 

Decompose Application
Tahap ke-3: Decompose Application, dilakukan buat mengetahui prosedur pelaksanaan web secara lebih jelasnya, hal ini pula dipakai untuk membantu mengenali ancaman yg terdapat. 

Identify Threats 
Tahap Ke-4: Identify Threat, dilakukan buat mengenali ancaman yg ada, yaitu menggunakan menggunakan termin ke-dua serta ke-3. 

Identify Vulnerabilities
Tahap Ke-5 Identify Vulnerabilities, dilakukan buat mengetahui kelemahan yang masih ada pada pelaksanaan web, hal ini dipakai buat membantu mengenali area yg terjadi kesalahan.

Gambar Proses Pembentukan Threat Modeling

Metodologi OWASP
Open Web Application Security Project (OWASP) adalah metodologi yang digunakan buat membantu melakukan pengukuran (assessment), audit atau penetration testing terhadap aplikasi Web. Metodologi OWASP memiliki poly keunggulan, karena pada perkembangannya OWASP selalu mengikuti perkembangan keamanan dari pelaksanaan web itu sendiri. Selain itu OWASP tidak terfokus hanya pada perangkat bantu, sebagai akibatnya menaruh kesempatan kepada pengguna buat think out side of the box.

OWASP Testing Framework
Menurut OWASP buat membentuk aplikasi web yg aman harus dilakukan proses pengujian pada setiap tahap pengembangan software atau aplikasi development live cycle (SDLC) [4], yg terdiri dari:
a. Sebelum pengembangan 
b. Selama termin definisi dan desain 
c. Selama pembangunan 
d. Selama deployment 
e. Ketika pemeliharaan dan operasional 

Tahap 1: Sebelum Pengembangan
Sebelum proses pembangunan pelaksanaan web dimulai maka harus dilakukan hal berikut:
a. Pengujian standar, prosedur dan kebijakan keamanan yg akan digunakan selama pengembangan aplikasi web.
b. Membuat metrik dan kriteria pengukuran 
c. Meninjau proses SDLC

Tahap 1A: Tinjauan Kebijakan dan Standar 
Pada tahap ini pastikan bahwa kebijakan, standar dan dokumentasi yang dipakai sempurna. Dokumentasi merupakan hal yang sangat krusial, karena menaruh panduan kepada tim pengembang selama melakukan proses pembangunan aplikasi web.

Standar serta kebijakan yang akan dipakai tergantung dalam teknologi yang akan digunakan, lantaran tidak terdapat baku dan kebijakan yang bisa menanggulangi setiap situasi pengembangan pelaksanaan web. Sebagai model, apabila aplikasi yang akan dibangun memakai teknologi java, maka diharapkan dokumentasi mengenai baku keamanan buat pengkodean bahasa pemrograman java. Jika pelaksanaan memakai kriptografi maka dibutuhkan dokumentasi tentang baku kriptografi. 

Tahap1B: Membuat Ukuran dan Kriteria Metrik 
Sebelum pembangunan aplikasi web dimulai, maka harus ditentukan serta direncanakan ukuran program. Penentuan ukuran kriteria berguna untuk memilih kualitas aplikasi web yg dibuat, serta pula dapat diprediksi pengaruh yang mungkin terjadi dalam proses dan produk yg didapatkan, sehingga dapat segera dibuat keputusan tentang perubahan proses buat meminimalkan terjadinya kerusakan yg terjadi. 

Tahap 2: Selama Definisi dan Desain 
Tahap 2A: Tinjauan Kebutuhan Keamanan
Kebutuhan keamanan adalah keperluan pelaksanaan web yang dicermati berdasarkan perspektif keamanan. Pengujian terhadap kebutuhan keamanan sangat dibutuhkan buat melihat apakah terdapat hal yang belum terpenuhi antara kebutuhan keamanan baku dengan definisi kebutuhan yg sudah dibuat. Sebagai contoh kebutuhan keamanan pada aplikasi web adalah, pengunjung diharuskan terdaftar sebelum mereka bisa mengakses liputan-warta yg tersimpan pada aplikasi web tersebut. Menurut OWASP mekanisme kebutuhan sistem keamanan pada aplikasi web terdiri menurut:

a. User Management
Aspek keamanan pada pelaksanaan web yang mengatur pengguna dalam melakukan manajemen atau pengaturan terhadap fasilitas yg tersedia.

b. Authentication
Aspek ini herbi metoda buat menyatakan bahwa liputan betul-betul asli, orang yg mengakses atau memberikan liputan adalah betul-benar orang yg dimaksud, atau server yang dihubungi merupakan betul-benar server yg orisinil.

c. Authorization 
Konsep keamanan dari aplikasi web yang memperbolehkan pengguna memakai asal daya (resources) jika telah diizinkan sang pemilik resources tadi. Salah satu bagian berdasarkan otorisasi merupakan akses kontrol. Aspek ini berhubungan dengan cara pengaturan akses kepada liputan. Hal ini umumnya herbi klasifikasi data (public, private, confidential, top secret) & pengguna (guest, admin, top manager, dan sebagainya), mekanisme autentikasi serta juga privacy. Access control sering dilakukan menggunakan memakai kombinasi user id/password atau dengan menggunakan prosedur lain (misalnya kartu, biometrics).

d. Data Confidentiality serta Privacy
Inti primer aspek privacy atau confidentiality merupakan usaha buat menjaga liputan dari orang yg tidak berhak mengakses. Privacy lebih ke arah data-data yang sifatnya pribadi sedangkan confidentiality umumnya herbi data yg diberikan ke pihak lain buat keperluan eksklusif (misalnya menjadi bagian berdasarkan registrasi sebuah layanan) dan hanya diperbolehkan buat keperluan eksklusif tadi. Contoh hal yang herbi privacy adalah e-mail seseorang pengguna tidak boleh dibaca oleh administrator. Contoh berita confidential adalah data-data yg sifatnya langsung (misalnya nama, tempat tanggal lahir, number keamanan, agama, status perkawinan, penyakit yg pernah diderita, angka kartu kredit, serta sebagainya) adalah data-data yang ingin di proteksi penggunaan dan penyebaran-nya. Contoh lain menurut confidentiality merupakan daftar pelanggan menurut sebuah Internet Service Provider (ISP).

Serangan terhadap aspek privacy contohnya merupakan bisnis untuk melakukan penyadapan (menggunakan program sniffer). Usaha-usaha yang bisa dilakukan buat menaikkan privacy dan confidentiality adalah menggunakan menggunakan teknologi kriptografi (menggunakan enkripsi serta dekripsi). Informasi tentang privacy yang lebih rinci bisa diperoleh berdasarkan situs Electronic Privacy Information Center (EPIC) serta Electronic Frontier Foundation (EFF).

e. Integrity 
Aspek ini menekankan bahwa informasi nir boleh diubah tanpa se-biar pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yg membarui informasi tanpa ijin adalah contoh perkara yang harus dihadapi. Sebuah e-mail dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan istilah lain, integritas berdasarkan berita telah tidak terjaga. Penggunaan enkripsi dan digital signature, contohnya, bisa mengatasi masalah ini.

f. Accountability
Aspek keamanan dalam pelaksanaan web yg menekankan apakah fasilitas yang diberikan sudah sesuai dengan kebutuhan pengguna.

g. Session Management
Konsep keamanan pelaksanaan web yang mengatasi seluruh perkara yang berhubungan dengan pengguna mulai berdasarkan proses autentikasi hingga dengan pengguna meninggalkan pelaksanaan web.

h. Transport Security 
Konsep keamanan dalam aplikasi web yang diterapkan buat mengatasi kasus yg herbi pengangkutan (transport) data yg sensitif yang disediakan sang aplikasi web, seperti session ID.

i. Tiered System Segregation 
Aspek keamanan dalam pelaksanaan web yg menekankan pada keamanan pemisahan aset diantara penggunanya.

Tahap 2B: Tinjauan Desain serta Arsitektur 
Tinjauan dokumen desain serta arsitektur pelaksanaan web bermanfaat buat memastikan bahwa desain dan arsitektur yang sudah dibentuk sudah menerapkan menggunakan tepat mekanisme keamanan yang sudah didefinisikan.

Tahap 2C: Membuat serta Meninjau Model UML 
Setelah tahap desain dan arsitektur selesai dibuat, maka dilakukan pembuatan dan peninjauan terhadap Unified Modeling Language (UML) yg berguna buat mendeskripsikan bagaimana kerja pelaksanaan web.

Tahap 2D: Membuat dan Meninjau Pemodelan Ancaman 
Setelah proses peninjauan desain, arsitektur serta deskripsi UML dilakukan, lalu selanjutnya dikerjakan menciptakan pemodelan ancaman, menggunakan cara menciptakan skenario nyata mengenai pemodelan ancaman yang mungkin terjadi dalam aplikasi web, menganalisis desain serta arsitektur buat meyakinkan apakah skenario ancaman yang dilakukan dapat ditangani oleh desain dan arsitektur yg terdapat, bila nir bisa ditanggulangi maka perlu dicermati pulang desain dan arsitektur buat dilakukan perubahan.

Tahap tiga: Selama Pengembangan 
Pengembangan merupakan implementasi berdasarkan desain yang sudah dibentuk, maka pada tahap ini dilakukan proses pembuatan aplikasi berdasarkan dalam desain yang ada dan pedoman yang berisi informasi tentang standar, kebijakan, serta mekanisme yang sudah ditentukan sebelumnya.

Tahap 3A: Code Walkthroughs
Code Walkthroughs dilakukan sang tim keamanan yg bermanfaat buat memahami mekanisme, nalar, layout serta struktur dari kode yang menciptakan aplikasi web yang sudah dibentuk sang tim pengembang.

Tahap 3B: Peninjauan Kode
Setelah diketahui struktur kode yang menciptakan pelaksanaan web, maka selanjutnya penguji membandingkan struktur kode tersebut menggunakan kode keamanan sebenarnya. Peninjauan kode secara statik bisa dilakukan menggunakan membandingkan kode yg sudah dibuat menggunakan sekumpulan kriteria standar keamanan aplikasi web, diantaranya:
a. Kebutuhan bisnis buat availability, confidentiality, serta integrity.
b. Kriteria OWASP Top 10 
c. Konflik spesifik yg berhubungan dengan bahasa pemrograman dan framework yang digunakan. Seperti Scarlet paper untuk PHP serta Microsoft Secure buat ASP.net.
d. Beberapa kebutuhan khusus industri, misalnya Sarbanes-Oxley 404, COPPA, ISO 17799, APRA, HIPAA, panduan Visa Merchant atau aturan-aturan standar industri lainnya.

Tahap 4: Selama Deployment
Tahap 4A: Application Penetration Testing
Setelah melakukan pengujian terhadap requirement, menganalisis desain dan melakukan code review, maka hal terakhir yang dilakukan merupakan penetrasi testing buat menilik dan meyakinkan tidak ada kesalahan yg terjadi dalam pelaksanaan web yang telah dibuat.

Tahap 4B: Configuration Management Testing
Configuration Management Testing merupakan bagian dari penetration testing yang berguna buat mengusut apakah infrastruktur dan desain yang ada telah pada terapkan secara kondusif.

Tahap lima: Maintenance serta Operations
Tahap 5A: Operational Management Reviews
Pada bagian ini dilakukan proses peninjauan terhadap manajemen operasional dalam bagian aplikasi dan infrastruktur.

Tahap 5B: Periodic Health Checks
Secara bersiklus inspeksi keadaan keamanan harus dilakukan dalam bagian pelaksanaan juga infrastruktur buat memastikan nir ada resiko keamanan baru yg terjadi serta buat memastikan apakah perlu dilakukan perubahan terhadap level keamanan yang dipakai.

Tahap 5C: Ensure Change Verification 
Setelah setiap perubahan yang akan dilakukan telah disetujui, maka dilakukan verifikasi untuk tetapkan adanya perubahan terhadap level keamanan. Gambar 10 memperlihatkan SDLC testing workflow menurut metodologi OWASP. 

Gambar OWASP Testing Framework Work Flow