Semua Course

Latihan 9 Keamanan Web – DVWA

Open CourseWare Telkom University > Lessons > Latihan 9 Keamanan Web – DVWA
Course Content
4. Sniffing & DoS
Capaian Pembelajaran 1. Mahasiswa paham tentang teknik sniffing 2. Mahasiswa mampu melakukan sniffing Materi pembelajaran Pada pertemuan sebelumnya, anda telah mengenal cara untuk melakukan cracking password. Ada dictionary attack, brute force dll. Ternyata ada cara lain untuk mencuri password, yaitu sniffing. Sniffing Sniffing adalah membaca paket yang lewat di jaringan, menggunakan tools sniffing. Sniffing bisa juga disebut mengendus, menguping atau melakukan penyadapan. Serangan sniffing ini umumnya dilakukan pada protokol http untuk web, pop, imap dan smtp untuk email, ftp, telnet dll. Teknik Sniffing Ada banyak cara untuk melakukan sniffing diantaranya adalah: Menggunakan perangkat hardware protocol analyzer Menggunakan port SPAN pada router cisco arp spoofing mac flooding dns poisoning dhcp starvation attack switch port stealing Menggunakan tools monitoring Jaringan, dll Metasploit Metasploit adalah tools ini digunaka untuk masuk ke sistem target. Metasploit pertama kali diperkenalkan oleh HD Moore. Dia mendemonstrasikan tools ini pada tahun 2004, di acara defcon, sebuah konferensi para ahli security dunia. Tools ini berisikan exploit frameworks. Metasploit ini dibuat untuk menguji keamanan sistem. DoS Attack Denial of service adalah serangan dengan membanjiri komputer target dengan data. Tujuannya adalah menghabiskan resource target, supaya menjadi lemot, down dan tidak bisa diakses. Dalam berapa kasus, setelah komputer target error penyerang dapat melakukan serangan lanjutan untuk masuk ke sistem target.
0/14
Slide 4 Tentang Sniffing
00:00
Tautan tentang Metasploit
00:00
Latihan 5 Sniffing
00:00
Forum Diskusi Sniffing
00:00
Latihan 6 Vulnerability Scanning
00:00
Latihan 7 Metasploit
00:00
Video tentang sniffing dengan ettercap
00:00
Tutorial Metasploit
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB04 – M1 – SNIFFING
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB04 – M2 – TEKNIK SNIFFING
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB04 – M3 – ARP SPOOFING
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB04 – M4 – METASPLOIT
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB04 – M6 – PAYLOAD
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB04 – M7 – DOS ATTACK
00:00
5. Keamanan Wireless
Capaian Pembelajaran 1. Mahasiswa paham tentang keamanan wireless 2. Mahasiswa mampu melakukan password Cracking Materi Pembelajaran Saat ini jaringan wireless semakin populer, kita bisa dilihat dimana mana disediakan free wifi. Hampir semua gadget, komputer, smartphone, maupun perangkat cerdas lainnya, bisa terhubung ke jairngan wireless. Jaringan wireless memang memiliki banyak kelebihan dibandingkan kabel, instalasi lebih mudah, tidak perlu repot tarik kabel, biaya pemasangan juga lebih murah namun ternyata jaringan wireless ini lebih mudah diretas daripada kabel. Wifi Hacking Untuk meretas jaringan wifi, ada tiga tahapan serangan yang dilakukan. Pertama mencari jaringan wifi melakukan analisa trafik. serangan terhadap akses poin Serangan Wireless Ada banyak jenis serangan pada wireless diantaranya adalah: Peretasan AP Spoofing Mac Address Rogue Access Point (RAP) Session Hijacking Man-In-the-midle Attack Dos Attack Jamming Keamanan Web Secara teknologi website yang anda lihat, terdiri dari 2 aplikasi: web server yang melakukan pengolahan data dan aplikasi web atau web client yang menjadi penghubung antara pengguna dengan web server. Beberapa jenis serangan pada web server adalah: DoS/DDoS DNS Hijack DNS Amplification Directory Traversal Sniffing Deface Http response splitting attack Web cache poisoning attack SSH Brute Force Phishing Sementara pada Aplikasi Web, celah keamanan yang sering dimanfaatkan penyerang adalah: Injection Broken Authentication Sensitive Data Exposure XML External Entities (XXE) Broken Access Control Security Misconfiguration Cross-Site Scripting (XSS) Insecure Deserialization Using Component with known Vulnerability Insufficient Logging & Monitoring
0/16
Slide 5 Wireless
00:00
Tautan tentang OWASP Top 10
00:00
Latihan 8 Wireless Cracking
00:00
Forum Diskusi Keamanan Wireless
00:00
Latihan 9 Keamanan Web – DVWA
00:00
Latihan 10 Keamanan web – altoro
00:00
Video tentang Aircrack
00:00
Video tentang web hacking
00:00
Materi keamanan web
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M1 – KEAMANAN WIRELESS
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M2 – WIRELESS CRACKING
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M3 – KEAMANAN WEB
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M4 – KEAMANAN APLIKASI WEB
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M5 – SERANGAN WEB
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M6 – XSS ATTACK
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB05 – M7 – PENCEGAHAN SERANGAN WEB
00:00
6. Dasar Kriptografi
Capaian Pembelajaran 1. Mahasiswa paham tentang konsep kriptografi 2. Mahasiswa mampu melakukan enkripsi dan dekripsi pesan Materi Pembelajaran Kriptografi berasal dari bahasa yunani, cryptos artinya rahasia, graphein artinya menulis, logia yang artinya ilmu. Jadi cryptolografi artinya ilmu untuk menulis pesan rahasia. Kriptografi Klasik Kriptografi klasik adalah teknik kriptografi yang sudah ada sebelum adanya komputer. Diantaranya ada: Transposisi Substitusi Caesar Cipher dll Komponen Kriptografi Ada 3 komponen utama kriptografi, yaitu: Plain text Cipher Text Algoritma dan Kunci Proses merubah pesan menjadi kode, atau dari plain text menjadi cipher text disebut sebagai enkripsi. Sementara dekripsi adalah kebalikannya, proses merubah kode menjadi pesan, atau dari cipher text menjadi plain text. Jenis Kriptografi Berdasarkan tipe input data, algoritma kriptografi dibagi 2: Block Cipher Stream Cipher Sementara berdasarkan kunci yang digunakan, algoritma kriptografi dibagi 2: Private key Cryptosystem (algoritma simetris) Publik Key Cryptosystem (algoritma asimetris) Algoritma Simetris Algoritma simetris sering disebut juga, Kriptografi kunci privat ini menggunakan satu kunci yang sama pada saat enkripsi dan dekripsi. Hanya saja kemudian timbul masalah dalam pengiriman kunci, butuh saluran khusus dan jumlah kunci sangat banyak. Namun algoritma ini memiliki kelebihan operasinya lebih cepat. Beberapa contoh algoritma simetrik: DES, 3DES, RC4, AES dll
0/13
Slide 6 Kriptografi
00:00
Tautan tentang Cryptool
00:00
Latihan 11 Kriptografi
00:00
Forum Diskusi Kriptografi
00:00
Materi kriptografi simetrik
00:00
Materi pengenalan kriptografi
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M1 – DASAR KRIPTOGRAFI
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M2 – SEJARAH KRIPTOGRAFI
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M3 – KRIPTOGRAFI KLASIK
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M4 – KOMPONEN KRIPTOGRAFI
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M5 – ALGORITMA SIMETRIS
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M6 – ADVANCED ENCRYPTION STANDARD (AES)
00:00
VKI2H3-28536 – KEAMANAN JARINGAN – PB06 – M7 – KEAMANAN ALGORITMA SIMETRIS
00:00
Keamanan Jaringan: Mengatasi Sniffing, DoS, Keamanan Wireless, dan Dasar Kriptografi untuk Proteksi yang Efektif
About Lesson

Kepada peserta mata kuliah keamanan Jaringan, hari ini kita akan mempelajari tentang web security. Pada praktikum hari ini kita akan menggunakan alat bantu DVWA (Damn Vulnerable Web Application). Silahkan kerjakan latihan keamanan web dengan DVWA berikut ini:

  1. Konfigurasi DVWA (cara konfigurasi silahkan lihat di bagian bawah); set security level – low
  2. Lakukan SQL Injection di DVWA: coba 5 script injection yang berbeda! Laporkan data apa yang anda dapatkan serangan ini!
  3. Lakukan Cross Site-Scripting (XSS) di DVWA! lakukan 2 script XSS yang berbeda!
  4. Laporkan serangan command injection di DVWA! Laporkan informasi apa saja yang anda dapatkan pada komputer target melalui serangan ini!
  5. Scanning 2 website (bebas) dgn nikto. Nikto dapat diunduh pada web berikut: https://cirt.net/Nikto2
    cari informasi :
    a. servernya pake apa
    b. celah keamanan web tersebut
    c. Cari penjelasan tentang celah keamanan tersebut !
  6. Jelaskan apa itu OWASP top 10!
  7. Buat laporan dan kumpulkan ke email dengan subjek latihan 8 keamanan jaringan

Konfigurasi DVWA

  1. DVWA memerlukan XAMPP . Bila kalian belum menginstall XAMPP silahkan unduh dari link berikut https://www.apachefriends.org/index.html ;
  2. Alternarif untuk pengguna Linux dapat menggunakan LAMP. LAMP dapat diunduh pada link berikut: https://bitnami.com/stack/lamp/installer
  3. Unduh DVWA dari link berikut : http://www.dvwa.co.uk/
  4. unzip file DVWA dan letakkan di folder htdocs
  5. Jalankan XAMPP! Jalankan file xampp-control. Kemudian klik tombol start pada opsi Apache dan MySQL.
  6. Jalankan browser dan buka halaman http://localhost/dvwa/index.php. Jika tampil error database, abaikan dulu. Yang terpenting adalah DVWA telah dapat diakses dari browser.
  7. Default username : admin
  8. Default password : password
  9. Masuk ke  setup.php dan create database
  10. Set security level:low
  11. Bila terjadi error, lakukan modifikasi pada file config.inc.php ; kemudian set db_password=”;  coba create database!
  12. Untuk yang pake MariaDB ada konfigurasi di database yang harus dirubah. Silahkan baca link berikut: https://github.com/ethicalhack3r/DVWA/commit/994441df931edcaae09ac658fe336397a8c3177b

Have Fun!

bahan bacaan:

http://www.computersecuritystudent.com/SECURITY_TOOLS/DVWA/DVWAv107/

https://www.owasp.org/

Tentang Sql Injection:

http://ha.ckers.org/sqlinjection/

https://pentestlab.wordpress.com/2012/09/18/sql-injection-exploitation-dvwa/

http://samiux.blogspot.com/2013/08/howto-dvwa-sql-injection.html

Tentang XSS

http://ha.ckers.org/xss.html

https://stdout.cowthink.org/exploiting-dvwa-writeup-reflected-cross-site-scripting-xss/

Reflective XSS – DVWA Part 2

Instalasi DVWA untuk Kali Linux

http://www.sunnytech7.com/pages/install-and-configure-dvwa-in-kali-linux.html

http://tekk3y.blogspot.co.id/2015/02/penetration-tests-part-one-setting-up.html

tutorial instalasi

DVWA itu adalah web server yang sengaja dibuat memiliki banyak sekali celah keamanan. Jadi kita bisa belajar dan mencoba beragam teknik penyerangan Web tanpa harus melanggar hukum. Diantaranya ada serangan SQL Injection, XSS, password cracking dll. Dengan level security yang bisa diatur, DVWA bisa mensimulasikan banyak sekali tipe serangan pada web. DVWA berukuran kecil dan hanya membutuhkan XAMPP, sehingga bisa digunakan pada sistem yang beragam. Untuk para web developer bisa jadi tempat yang tepat untuk mempelajari celah keamanan pada web, sehingga bisa membangun Web yang berfungsi dengan baik dan aman. Para Security Professional pun bisa menguji skill penetration testnya disini.

Referensi tentang dvwa bisa dilihat di :

http://www.dvwa.co.uk/

Previous
Next