Belajar menggunakan DVWA (Damn Vulnerable Web Application)

 

DVWA (Damn Vulnerable Web Application) adalah aplikasi web yang sengaja dibuat dengan berbagai kerentanan keamanan. Hal ini bertujuan untuk membantu para profesional keamanan, pengembang web, dan pengajar/siswa untuk mempelajari dan memahami kerentanan keamanan aplikasi web, serta cara mengatasinya. Pada bagian sebelumnya kita juga telah berhasil menginstal metasplotable dalam virtual mesin kita.

Berikut beberapa penerapan DVWA:

1. Pelatihan Keamanan Siber:

• DVWA digunakan dalam pelatihan untuk mempelajari berbagai jenis kerentanan keamanan aplikasi web, seperti SQL injection, cross-site scripting (XSS), dan command injection.
• Peserta pelatihan dapat mempraktikkan cara menemukan dan mengeksploitasi kerentanan tersebut di lingkungan yang aman dan terkendali.
• DVWA juga dapat digunakan untuk mempelajari cara mengamankan aplikasi web dari berbagai jenis serangan.

2. Pengujian Penetrasi:

• Pentester dapat menggunakan DVWA untuk menguji keamanan aplikasi web mereka sendiri.
• DVWA membantu pentester untuk menemukan dan mengeksploitasi kerentanan yang mungkin ada di aplikasi web mereka.
• Hal ini memungkinkan pentester untuk memberikan rekomendasi kepada pengembang web tentang cara meningkatkan keamanan aplikasi web mereka.

3. Pendidikan:

• DVWA dapat digunakan sebagai alat bantu pengajaran dalam mata kuliah keamanan siber atau pengembangan web.
• DVWA membantu pengajar untuk menjelaskan konsep keamanan aplikasi web kepada siswa dengan cara yang lebih mudah dipahami.
• Siswa juga dapat menggunakan DVWA untuk mempraktikkan cara menemukan dan mengatasi kerentanan keamanan aplikasi web.

Cara Menggunakan DVWA

setelah semua proses setup dan konfigurasi berhasil, kita akan di arahkan ke halaman login, berikut adalah default username dan passwordnya :

username : admin

password : password

 DVWA menjadi alat yang sangat berharga dalam melatih kemampuan dalam dunia keamanan siber.

Salah satu keunggulan utama DVWA adalah kemampuannya untuk mensimulasikan berbagai serangan yang umum terjadi pada aplikasi web. Mulai dari serangan brute force yang mencoba untuk menebak password, hingga serangan SQL injection yang memanfaatkan kerentanan dalam pengolahan database, DVWA memberikan pengguna kesempatan untuk memahami secara mendalam bagaimana serangan-serangan ini dilakukan dan cara melindungi aplikasi web dari serangan-serangan tersebut.

Tidak hanya menyediakan simulasi serangan, DVWA juga memberikan akses ke sumber daya tambahan yang sangat berharga. Misalnya, platform ini menyediakan tautan-tautan yang terkait dengan materi yang sedang dipelajari, memungkinkan pengguna untuk mendalami konsep-konsep penting yang terkait dengan keamanan siber. Hal ini memastikan bahwa pengguna tidak hanya memahami cara melakukan serangan, tetapi juga memahami latar belakang dan prinsip-prinsip yang mendasarinya.

Dengan berbagai teknik hacking yang dapat dieksplorasi, seperti brute force, command injection, dan cross-site request forgery (CSRF), DVWA menawarkan lingkungan yang aman untuk menguji keterampilan keamanan siber tanpa risiko merusak sistem yang sebenarnya. Ini memungkinkan para profesional keamanan siber untuk terus mengasah kemampuan mereka dalam menghadapi ancaman keamanan yang terus berkembang di dunia maya

KIta akan belajar pertama kali contohnya menggunakan sql injection.Sebelum memulai command injection, ubah dulu security level atau tingkat keamanan DVWA ke low atau rendah. Setting ini merupakan tingkatan yang paling rendah dan tidak memiliki tindakan keamanan apapun, untuk mencontohkan bad practice pemrograman dan untuk memperlajari teknik dasar web hacking.

Perintah pertama yang dijalankan adalah ping.

 Ping adalah cara mudah untuk menguji respons server.

 Ping memungkinkan pengguna untuk memeriksa dan memverifikasi apakah alamat IP tujuan tertentu ada dan dapat menerima permintaan  administrasi jaringan komputer.

 Jika kita melakukan ping ke alamat IP 8.8.8.8;  dan ditambah "ls -l" maka akan muncul hasil sebagai berikut.

Payload "8.8.8.8; ls -l" artinya:

• "8.8.8.8": Ini adalah alamat IP yang mungkin digunakan sebagai contoh. Dalam konteks serangan Command Injection, ini bisa menjadi bagian dari input yang digunakan oleh aplikasi yang rentan. Akan tetapi, dalam konteks yang lebih umum, 8.8.8.8 adalah salah satu alamat IP DNS publik milik Google.

• ";": Semicolon (;) adalah operator yang digunakan dalam sistem Unix dan seringkali di sistem-sistem berbasis Unix (termasuk Linux) untuk memisahkan perintah.

• "ls -l": Ini adalah perintah yang menjalankan "ls" (list directory contents) dengan opsi "-l" (long listing format), yang berarti perintah ini akan menampilkan detail informasi tentang file dan direktori di direktori saat ini.

Jadi, dalam konteks Command Injection, payload "8.8.8.8; ls -l" mencoba mengeksekusi dua perintah sekaligus pada sistem yang rentan. Pertama, perintah akan mencoba mengakses alamat IP 8.8.8.8, dan kemudian akan menjalankan perintah "ls -l" untuk menampilkan daftar isi dari direktori saat ini pada sistem yang terpengaruh.

Black Box Testing: Dalam pengujian black box, tester tidak memiliki pengetahuan akses ke internal sistem atau aplikasi yang sedang diuji. Mereka menguji fungsionalitas dan keamanan dari luar, mirip dengan bagaimana pengguna akhir akan berinteraksi dengan sistem tersebut. Tester melakukan serangkaian uji coba tanpa pengetahuan tentang implementasi internal aplikasi. Hal ini mencakup pengujian fungsional dan non-fungsional tanpa memandang bagaimana aplikasi itu dibangun atau diimplementasikan.

Grey Box Testing: Pengujian grey box berada di suatu tempat di antara black box dan white box testing. Tester memiliki akses terbatas ke internal sistem atau aplikasi, seperti beberapa pengetahuan tentang arsitektur, struktur kode, atau pemahaman tentang alur kerja aplikasi. Dengan pengetahuan tersebut, tester dapat merancang pengujian yang lebih terfokus dan efektif, tetapi tetap mempertahankan sebagian besar perspektif pengguna eksternal.

White Box Testing: Dalam pengujian white box, tester memiliki akses penuh ke source code dan struktur internal sistem atau aplikasi yang sedang diuji. Ini memungkinkan mereka untuk memahami secara mendalam bagaimana aplikasi dibangun, beroperasi, dan berinteraksi dengan sumber daya lainnya. Dengan informasi ini, tester dapat merancang pengujian yang sangat terfokus untuk mengidentifikasi dan memperbaiki kerentanan keamanan serta masalah kualitas perangkat lunak lainnya.

Dalam konteks DVWA, pada tingkat keamanan rendah, dengan mempertimbangkan pengujian white box, terdapat kerentanan karena tidak ada pemeriksaan apakah variabel $target cocok dengan alamat IP, dan tidak ada penyaringan pada karakter khusus tertentu yang dapat menjalankan beberapa perintah kode. Karakter khusus ini mungkin termasuk karakter yang digunakan dalam serangan injeksi kode, seperti karakter tanda kutip, tanda titik koma, atau karakter spesial lainnya yang dapat dimanipulasi untuk mengeksploitasi kerentanan dalam aplikasi. Dengan memiliki akses ke source code, seorang tester dapat mengidentifikasi kerentanan ini dan merekomendasikan tindakan perbaikan yang tepat.

ource code DVWA pada tingkat keamanan rendah tidak memeriksa apakah $target cocok dengan alamat IP. Selain itu, tidak ada penyaringan pada karakter khusus yang dapat menjalankan beberapa perintah kode. Karakter khusus yang dimaksud antara lain: