Kepada peserta mata kuliah keamanan jaringan , hari ini kita akan mempelajari tentang web security. Pada praktikum hari ini kita akan menggunakan alat bantu bWAPP. bWAPP adalah buggy Web Application. Maksudnya aplikasi web yang memiliki banyak celah keamanan. Silahkan kerjakan latihan web security dengan bWAPP berikut ini:
Konfigurasi bWAPP:
- bWAPP dapat dipasang pada sistem operasi Windows, Linux, MacOS dll
- bWAPP memerlukan aplikasi web server seperti XAMPP ataupun LAMP, dll!
- Silahkan download bWAPP dari link berikut ini: https://sourceforge.net/projects/bwapp/files/latest/download?source=files
-
Extract file ‘zip’ yang baru saja diunduh:
unzip bWAPP.zip
Pindahkan folder ‘bWAPP’ dan seluruh isinya ke folder root dari webserver anda: (contohnya ke htdocs atau /var/www/html atau /var/www ) -
Rubah permission dari folders ‘passwords’ dan ‘images’.
chmod 777 passwords/
chmod 777 images/ -
Konfigurasi default/bawaan bWAPP dapat dilihat pada file berikut ini ‘admin/settings.php’
$db_server = “localhost”; // default server database adalah ‘localhost’
$db_username = “root”; // default user MySQL adalah ‘root’
$db_password = “”; // default password MySQL adalah kosong ”Konfigurasi diatas adalah settingan default, bila perlu dapat anda rubah
-
Buka file ‘install.php’ pada folder ‘bWAPP’.
http://localhost/bWAPP/install.php
database ‘bWAPP’ akan terinstall.
-
Jalankan browser dan buka halamat berikut:
http://localhost/bWAPP/
http://localhost/bWAPP/login.php -
Login dengan user login default bee/bug atau buat user baru
- Set security level: low
Latihan Web Security
- Lakukan 5 macam serangan SQL Injection pada bWAPP! Laporkan hasilnya!
- Lakukan 5 macam serangan Cross-Site Scripting (XSS) pada bWAPP! Laporkan hasilnya!
- Jelaskan apa itu OWASP top 10!
- Buat laporan dan kirim email dengan subject latihan 9 Keamanan Jaringan!
Bahan bacaan:
tentang instalasi
https://dunnesec.com/2014/10/01/bwapp-bee-bug-installation/
https://teamultimate.in/how-to-install-bwapp-in-linux/
tentang SQL Injection:
http://www.sqlinjectionwiki.com/Categories/2/mysql-sql-injection-cheat-sheet/
http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet
http://ha.ckers.org/sqlinjection/
https://pentestlab.wordpress.com/2012/09/18/sql-injection-exploitation-dvwa/
http://samiux.blogspot.com/2013/08/howto-dvwa-sql-injection.html
Tentang XSS
https://stdout.cowthink.org/exploiting-dvwa-writeup-reflected-cross-site-scripting-xss/
https://xtraweb.wordpress.com/cross-site-scripting-xss-performing-reflected-attacks/
http://securenetworkmanagement.com/reflective-xss-dvwa-part-2/
tentang bwapp:
http://itsecgames.blogspot.co.id/
https://sourceforge.net/projects/bwapp/
https://github.com/skiptomyliu/solutions-bwapp
http://penthusiasts.blogspot.co.id/2013/12/bwapp-html-injection-all.html
Satu tanggapan untuk “Latihan 9 Keamanan Jaringan – Web Security”
CD