Latihan 8 Keamanan Web – DVWA


Kepada peserta mata kuliah keamanan Jaringan, hari ini kita akan mempelajari tentang web security. Pada praktikum hari ini kita akan menggunakan alat bantu DVWA (Damn Vulnerable Web Application). Silahkan kerjakan latihan 8 keamanan web dengan DVWA berikut ini:

  1. Konfigurasi DVWA (cara konfigurasi silahkan lihat di bagian bawah); set security level – low
  2. Lakukan SQL Injection di DVWA: coba 5 script injection yang berbeda! Laporkan data apa yang anda dapatkan serangan ini!
  3. Lakukan Cross Site-Scripting (XSS) di DVWA! lakukan 2 script XSS yang berbeda!
  4. Laporkan serangan command injection di DVWA! Laporkan informasi apa saja yang anda dapatkan pada komputer target melalui serangan ini!
  5. Scanning 2 website (bebas) dgn nikto. Nikto dapat diunduh pada web berikut: https://cirt.net/Nikto2
    cari informasi :
    a. servernya pake apa
    b. celah keamanan web tersebut
    c. Cari penjelasan tentang celah keamanan tersebut !
  6. Jelaskan apa itu OWASP top 10!
  7. Buat laporan dan kumpulkan ke email dengan subjek latihan 8 keamanan jaringan

Konfigurasi DVWA

  1. DVWA memerlukan XAMPP . Bila kalian belum menginstall XAMPP silahkan unduh dari link berikut https://www.apachefriends.org/index.html ;
  2. Alternarif untuk pengguna Linux dapat menggunakan LAMP. LAMP dapat diunduh pada link berikut: https://bitnami.com/stack/lamp/installer
  3. Unduh DVWA dari link berikut : http://www.dvwa.co.uk/
  4. unzip file DVWA dan letakkan di folder htdocs
  5. Jalankan XAMPP! Jalankan file xampp-control. Kemudian klik tombol start pada opsi Apache dan MySQL.
  6. Jalankan browser dan buka halaman http://localhost/dvwa/index.php. Jika tampil error database, abaikan dulu. Yang terpenting adalah DVWA telah dapat diakses dari browser.
  7. Default username : admin
  8. Default password : password
  9. Masuk ke  setup.php dan create database
  10. Set security level:low
  11. Bila terjadi error, lakukan modifikasi pada file config.inc.php ; kemudian set db_password=”;  coba create database!
  12. Untuk yang pake MariaDB ada konfigurasi di database yang harus dirubah. Silahkan baca link berikut: https://github.com/ethicalhack3r/DVWA/commit/994441df931edcaae09ac658fe336397a8c3177b

Have Fun!

bahan bacaan:

http://www.computersecuritystudent.com/SECURITY_TOOLS/DVWA/DVWAv107/

https://www.owasp.org/

Tentang Sql Injection:

http://ha.ckers.org/sqlinjection/

https://pentestlab.wordpress.com/2012/09/18/sql-injection-exploitation-dvwa/

http://samiux.blogspot.com/2013/08/howto-dvwa-sql-injection.html

Tentang XSS

http://ha.ckers.org/xss.html

https://stdout.cowthink.org/exploiting-dvwa-writeup-reflected-cross-site-scripting-xss/

http://securenetworkmanagement.com/reflective-xss-dvwa-part-2/

Instalasi DVWA untuk Kali Linux

http://www.sunnytech7.com/pages/install-and-configure-dvwa-in-kali-linux.html

http://tekk3y.blogspot.co.id/2015/02/penetration-tests-part-one-setting-up.html

tutorial instalasi

DVWA itu adalah web server yang sengaja dibuat memiliki banyak sekali celah keamanan. Jadi kita bisa belajar dan mencoba beragam teknik penyerangan Web tanpa harus melanggar hukum. Diantaranya ada serangan SQL Injection, XSS, password cracking dll. Dengan level security yang bisa diatur, DVWA bisa mensimulasikan banyak sekali tipe serangan pada web. DVWA berukuran kecil dan hanya membutuhkan XAMPP, sehingga bisa digunakan pada sistem yang beragam. Untuk para web developer bisa jadi tempat yang tepat untuk mempelajari celah keamanan pada web, sehingga bisa membangun Web yang berfungsi dengan baik dan aman. Para Security Professional pun bisa menguji skill penetration testnya disini.

Referensi tentang dvwa bisa dilihat di :

http://www.dvwa.co.uk/


Silahkan tuliskan tanggapan, kritik maupun saran