Dalam prakteknya, WebApp security membutuhkan lab untuk mencoba tools yang ada, dan tentu saja tidak bertentangan dengan hukum yang berlaku di Indonesia. Dengan adanya UU ITE yang berlaku Indonesia tentu tidak serta merta kita melakukan scanning/testing web milik orang tanpa izin dari pemiliknya. Maka dari itu, untuk mencegah hal yang tidak diinginkan, kita dapat membuat lab sendiri baik dalam bentuk fisik maupun virtual. Jika Anda memiliki perangkat fisik yang memadai, itu lebih baik. Namun, yang akan dibahas disini adalah membangun virtual lab yang kami yakin, komputer yang Anda punya masih bisa digunakan.
Untuk membangun virtual lab, Anda bisa menggunakan virtualbox, KVM, VMware, atau software virtualisasi apapun yang Anda kuasai. Berikut link downloadnya:
https://www.virtualbox.org/wiki/Downloads
http://www.linux-kvm.org/page/Downloads
https://www.vmware.com/products/player
Sementara untuk membangun web server, dapat menggunakan Apache, Nginx, dll. tergantung selera masing-masing, yang terpenting adalah mencari web application yang sengaja dibuat untuk latihan seperti:
DVWA, http://www.dvwa.co.uk/
OWASP Broken Web App, https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
bWAPP, https://sourceforge.net/projects/bwapp/files/bee-box/
webGOAT, https://github.com/jerryhoff/WebGoat.NET
* list lengkap bisa dilihat di http://www.amanhardikar.com/mindmaps/PracticeUrls.html
Kemudian untuk tools, yang biasanya digunakan adalah web proxy seperti BurpSuite, ZAProxy, dan proxy-proxy lainnya yang berguna untuk analisis HTTP header. Sementara untuk tools lainnya akan dibahas di post terpisah.
No comments:
Post a Comment