Praktek Mutillidae
Praktek Mutillidae
1. Pengantar OWASP Mutillidae
OWASP Mutillidae adalah aplikasi web yang sengaja dibuat rentan untuk tujuan pendidikan dan pelatihan keamanan aplikasi web. Dikembangkan sebagai bagian dari Open Web Application Security Project (OWASP), Mutillidae dirancang untuk membantu pengembang, penguji keamanan, dan peneliti keamanan untuk mempelajari dan menguji berbagai jenis kerentanan keamanan aplikasi web.
2. Tujuan dan Manfaat
- Pendidikan Keamanan: Memberikan platform bagi individu untuk belajar dan memahami berbagai jenis kerentanan keamanan.
- Pengujian Penetrasi: Memungkinkan penguji penetrasi untuk melatih keterampilan mereka dalam lingkungan yang aman dan terkendali.
- Pengembangan Keamanan: Membantu pengembang memahami kelemahan dalam aplikasi web dan bagaimana cara mengatasinya.
3. Fitur Utama
- Berbagai Jenis Kerentanan: Menyediakan contoh kerentanan umum seperti SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Insecure Direct Object References, dan lain-lain.
- Mode Pelatihan dan Tantangan: Menawarkan mode pelatihan untuk belajar serta tantangan untuk menguji pengetahuan dan keterampilan.
- Documentasi dan Tutorial: Dilengkapi dengan dokumentasi dan tutorial untuk membantu pengguna memahami dan mengeksploitasi kerentanan.
4. Instalasi dan Konfigurasi
- Pastikasn sudah memiliki virtual box dan kali linux
- buka browser di kali linux dan download xampp untuk linux
- lakukan instalasi, dengan membuka terminal pada file manger > download
- ketikkan 'ls -l' untuk mencari data yg ada
- masukkan 'sudo chmod +x xampp-linux-x64-8.2.12-0-installer.run', masukan sandi kali
- masukkan kembali sudo ./xampp-linux-x64-8.2.12-0-installer.run
- instal hingga selesai
- nyalakan untuk mysql
- buka phpmyadmin tambahkan untuk file mutillidae
- buka pada file system > lampp > htdocs > mutillidae > src > includes, open terminal here
- buka terminal ketikkan "ls -l" untuk menampilkan file
- buka sudo nano database-config.inc
- hapus untuk passnya pastikan kososng.
- masuk ke localhost/mutillidae, scroll hingga ke bawah hingga bertemu opt out
- mutillidae siap di gunakan.
5. Kerentanan yang Dipelajari
Berikut beberapa kerentanan umum yang dapat dipelajari menggunakan Mutillidae:
SQL Injection
- Teknik di mana penyerang dapat menyuntikkan pernyataan SQL jahat ke dalam query database.
- Contoh: Menggunakan input form untuk memasukkan perintah SQL.
Cross-Site Scripting (XSS)
- Kerentanan yang memungkinkan penyerang untuk menyuntikkan skrip jahat ke dalam halaman web yang dilihat oleh pengguna lain.
- Contoh: Menyisipkan kode JavaScript ke dalam input pengguna yang tidak ter-filter.
Cross-Site Request Forgery (CSRF)
- Kerentanan yang memungkinkan penyerang untuk melakukan tindakan yang tidak diinginkan atas nama pengguna yang terautentikasi.
- Contoh: Mengirimkan permintaan berbahaya yang tampak sah dari browser korban.
Insecure Direct Object References (IDOR)
- Kerentanan di mana penyerang dapat mengakses objek yang tidak seharusnya dapat mereka akses dengan memanipulasi parameter dalam URL atau form.
- Contoh: Mengubah ID dalam URL untuk mengakses data milik pengguna lain.
6. Praktik Keamanan Terbaik
- Validasi dan Sanitasi Input
- Selalu validasi dan sanitasi input dari pengguna untuk mencegah injeksi.
- Penggunaan Parameterized Queries
- Gunakan prepared statements atau parameterized queries untuk menghindari SQL Injection.
- Penggunaan Token CSRF
- Implementasikan token CSRF untuk mencegah serangan CSRF.
- Akses Kontrol yang Ketat
- Terapkan kontrol akses yang ketat dan pastikan hanya pengguna yang berwenang yang dapat mengakses data tertentu.
Komentar
Posting Komentar