Latihan 7 Keamanan Web

Kepada peserta mata kuliah keamanan Jaringan, hari ini kita akan mempelajari tentang web security. Pada praktikum hari ini kita akan menggunakan alat bantu DVWA (Damn Vulnerable Web Application). Silahkan kerjakan latihan 7 keamanan web dengan DVWA berikut ini:

  1. Konfigurasi DVWA (silahkan lihat di bagian bawah); set security level – low
  2. Lakukan SQL Injection di DVWA: coba 5 script injection yang berbeda.
  3. Lakukan Cross Site-Scripting
  4. Scanning 2 website (bebas) dgn nikto. Nikto dapat diunduh pada web berikut: https://cirt.net/Nikto2
    cari informasi :
    a. servernya pake apa
    b. celah keamanan web tersebut
    c. Cari penjelasan tentang celah keamanan tersebut !
  5. Jelaskan apa itu OWASP top 10!

Konfigurasi DVWA

  1. DVWA memerlukan XAMPP . Bila kalian belum menginstall XAMPP silahkan unduh dari link berikut https://www.apachefriends.org/index.html ;
  2. Alternarif untuk pengguna Linux dapat menggunakan LAMP. LAMP dapat diunduh pada link berikut: https://bitnami.com/stack/lamp/installer
  3. Unduh DVWA dari link berikut : http://www.dvwa.co.uk/
  4. unzip file DVWA dan letakkan di folder htdocs
  5. Jalankan XAMPP! Jalankan file xampp-control. Kemudian klik tombol start pada opsi Apache dan MySQL.
  6. Jalankan browser dan buka halaman http://localhost/dvwa/index.php. Jika tampil error database, abaikan dulu. Yang terpenting adalah DVWA telah dapat diakses dari browser.
  7. Default username : admin
  8. Default password : password
  9. Masuk ke  setup.php dan create database
  10. Bila terjadi error, lakukan modifikasi pada file config.inc.php ; kemudian set db_password=”;  coba create database!

Have Fun!

bahan bacaan:

http://www.computersecuritystudent.com/SECURITY_TOOLS/DVWA/DVWAv107/

https://www.owasp.org/

Tentang Sql Injection:

http://ha.ckers.org/sqlinjection/

https://pentestlab.wordpress.com/2012/09/18/sql-injection-exploitation-dvwa/

http://samiux.blogspot.com/2013/08/howto-dvwa-sql-injection.html

Tentang XSS

http://ha.ckers.org/xss.html

https://stdout.cowthink.org/exploiting-dvwa-writeup-reflected-cross-site-scripting-xss/

https://xtraweb.wordpress.com/cross-site-scripting-xss-performing-reflected-attacks/

http://securenetworkmanagement.com/reflective-xss-dvwa-part-2/

Instalasi DVWA untuk Kali Linux

http://www.sunnytech7.com/pages/install-and-configure-dvwa-in-kali-linux.html

http://tekk3y.blogspot.co.id/2015/02/penetration-tests-part-one-setting-up.html

tutorial instalasi

 

DVWA itu adalah web server yang sengaja dibuat memiliki banyak sekali celah keamanan. Jadi kita bisa belajar dan mencoba beragam teknik penyerangan Web tanpa harus melanggar hukum. Diantaranya ada serangan SQL Injection, XSS, password cracking dll. Dengan level security yang bisa diatur, DVWA bisa mensimulasikan banyak sekali tipe serangan pada web. DVWA berukuran kecil dan hanya membutuhkan XAMPP, sehingga bisa digunakan pada sistem yang beragam. Untuk para web developer bisa jadi tempat yang tepat untuk mempelajari celah keamanan pada web, sehingga bisa membangun Web yang berfungsi dengan baik dan aman. Para Security Professional pun bisa menguji skill penetration testnya disini.

Referensi tentang dvwa bisa dilihat di :

http://www.dvwa.co.uk/

Silahkan tuliskan tanggapan, kritik maupun saran