SIMPELMAS was a web-based information system used by the LP2M of XYZ
University to manage research and community service data. A hacking incident on the simpelmas.universitas-xyz.ac.id subdomain indicated security vulnerabilities that needed further investigation. This research aimed to analyse the vulnerability level of the subdomain using a penetration testing approach based on the Open Web Application Security Project (OWASP) Top 10 2021 edition standards. A black-box testing method was implemented through data collection, vulnerability scanning, exploitation testing, and report preparation stages, utilising OWASP ZAP, Burp Suite, and SQLMap tools. The results revealed two principal vulnerabilities: Security Misconfiguration in the form of active APP_DEBUG on the production server, and Identification and Authentication Failures due to the absence of login attempt restrictions (rate limiting). This research provides technical recommendations for mitigation and can serve as a reference for security improvements in similar information systems within academic environments.

SIMPELMAS adalah sistem informasi berbasis web yang digunakan LP2M
Universitas XYZ untuk pengelolaan data penelitian dan pengabdian masyarakat.
Insiden peretasan pada subdomain simpelmas.universitas-xyz.ac.id
mengindikasikan adanya celah keamanan yang perlu diteliti. Penelitian ini
menganalisis kerentanan subdomain tersebut menggunakan pendekatan
penetration testing berdasarkan standar OWASP Top 10 edisi 2021. Metode
blackbox testing diterapkan melalui tahapan pengumpulan data, pemindaian
kerentanan, pengujian eksploitasi, dan penyusunan laporan dengan memanfaatkan tools OWASP ZAP, Burp Suite, dan SQLMap. Hasil penelitian menemukan dua kerentanan utama: Security Misconfiguration berupa aktifnya APP_DEBUG di server produksi dan Identification and Authentication Failures karena tidak adanya pembatasan percobaan login. Penelitian ini menyediakan rekomendasi teknis untuk mitigasi dan dapat menjadi rujukan perbaikan keamanan sistem informasi di lingkungan akademik.

Allo, A. K., & Widiasari, I. R. (2024). Analisis Keamanan Website SIASAT

Menggunakan Teknik Footprinting dan Vulnerability Scanning. JTIK : Jurnal Teknologi Informasi Dan Komunikasi, 8(2), 316–323. https://doi.org/10.35870/jtik.v8i2.1723

Dharmawan, A. (2022). Penetration Testing Using OWASP Top 10 On Domain XYZ.ac.id. Electro Luceat, 8(1), 100–108. https://doi.org/10.32531/jelekn.v8i1.455

Dirgantara, R., Kurniati, R., & Hidayasari, N. (2025). Uji Penetrasi Keamanan Website Dinas Komunikasi dan Informatika. Jurnal Techno.Com, 24(1), 260–270. https://doi.org/10.62411/tc.v24i1.12259

Dwiyatno, S. (2020). Analisis Monitoring Sistem Jaringan Komputer

Menggunakan Software Nmap. PROSISKO: Jurnal Pengembangan Riset

Dan Observasi Sistem Komputer, 7(2), 108–115. https://doi.org/10.30656/prosisko.v7i2.2522

saTaoz. (2024). simpelmas.unper.ac.id was hacked. Defacer.Id.

https://defacer.id/mirror/id/129245

Septian, F., Arfian, M. H., Asri, J. S., & Budi Tjahjono. (2024). Pengujian Keamanan Website dengan Metode Penetration Testing (Studi Kasus: Universitas Esa Unggul). INNOVATIVE: Journal Of Social Science Research, 4(5), 3629–3647.

Tinambunan, F., Junaidi, A., & Rizki, A. M. (2024). Pengujian Sistem Informasi Akademik Universitas X Melalui Pendekatan Penetration Testing

Berdasarkan Owasp Top 10. JATI : Jurnal Mahasiswa Teknik Informatika,

(1), 1062–1069. https://doi.org/10.36040/jati.v8i1.8920

Yusuf, R. R., & Suharsono, T. N. (2023). Pengujian Keamanan Dengan Metode Owasp Top 10 Pada Website Eform Helpdesk. Prosiding Seminar Sosial Politik, Bisnis, Akuntansi Dan Teknik, 402–413.

https://doi.org/10.32897/sobat.2023.5.0.3132