Latihan 9 Keamanan Jaringan – Web Security


Kepada peserta mata kuliah keamanan jaringan , hari ini kita akan mempelajari tentang web security. Pada praktikum hari ini kita akan menggunakan alat bantu bWAPP. bWAPP adalah buggy Web Application. Maksudnya aplikasi web yang memiliki banyak celah keamanan. Silahkan kerjakan latihan web security dengan bWAPP  berikut ini:

Konfigurasi bWAPP:

  1. bWAPP dapat dipasang pada sistem operasi Windows, Linux, MacOS dll
  2. bWAPP memerlukan aplikasi web server seperti XAMPP ataupun LAMP, dll!
  3. Silahkan download bWAPP dari link berikut ini: https://sourceforge.net/projects/bwapp/files/latest/download?source=files
  4. Extract file ‘zip’ yang baru saja diunduh:

    unzip bWAPP.zip

    Pindahkan folder ‘bWAPP’ dan seluruh isinya ke folder root dari webserver anda: (contohnya ke htdocs atau /var/www/html atau /var/www )
  5. Rubah permission dari folders ‘passwords’ dan ‘images’.

    chmod 777 passwords/
    chmod 777 images/

  6. Konfigurasi default/bawaan bWAPP dapat dilihat pada file berikut ini  ‘admin/settings.php’

    $db_server = “localhost”; // default server database adalah ‘localhost’
    $db_username = “root”; // default user MySQL adalah ‘root’
    $db_password = “”;  // default password MySQL adalah kosong ”

    Konfigurasi diatas adalah settingan default, bila perlu dapat anda rubah

  7. Buka file ‘install.php’ pada folder ‘bWAPP’.

    http://localhost/bWAPP/install.php

    database ‘bWAPP’ akan terinstall.

  8. Jalankan browser dan buka halamat berikut:

    http://localhost/bWAPP/
    http://localhost/bWAPP/login.php

  9. Login dengan user login default bee/bug atau buat user baru
  10. Set security level: low

Latihan Web Security

  1. Lakukan 5 macam serangan SQL Injection pada bWAPP! Laporkan hasilnya!
  2. Lakukan 5 macam serangan Cross-Site Scripting (XSS) pada bWAPP! Laporkan hasilnya!
  3.  Jelaskan apa itu OWASP top 10!
  4. Buat laporan dan kirim email dengan subject latihan 9 Keamanan Jaringan!

Bahan bacaan:

tentang instalasi

https://dunnesec.com/2014/10/01/bwapp-bee-bug-installation/

https://teamultimate.in/how-to-install-bwapp-in-linux/

tentang SQL Injection:

http://www.sqlinjectionwiki.com/Categories/2/mysql-sql-injection-cheat-sheet/

http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet

http://ha.ckers.org/sqlinjection/

https://pentestlab.wordpress.com/2012/09/18/sql-injection-exploitation-dvwa/

http://samiux.blogspot.com/2013/08/howto-dvwa-sql-injection.html

 

Tentang XSS

http://ha.ckers.org/xss.html

https://stdout.cowthink.org/exploiting-dvwa-writeup-reflected-cross-site-scripting-xss/

https://xtraweb.wordpress.com/cross-site-scripting-xss-performing-reflected-attacks/

http://securenetworkmanagement.com/reflective-xss-dvwa-part-2/

tentang bwapp:

http://itsecgames.blogspot.co.id/

https://sourceforge.net/projects/bwapp/

http://www.itsecgames.com/

https://github.com/skiptomyliu/solutions-bwapp

http://penthusiasts.blogspot.co.id/2013/12/bwapp-html-injection-all.html


Satu tanggapan untuk “Latihan 9 Keamanan Jaringan – Web Security”

Silahkan tuliskan tanggapan, kritik maupun saran