Burp Suite adalah perangkat keamanan gratis yang berguna untuk melakukan pengujian penetrasi web. Terdiri dari beberapa alat seperti proxy, spider, intruder, repeater, sequencer, dan decoder yang memungkinkan penangkapan dan modifikasi lalu lintas jaringan serta otomatisasi uji coba serangan."
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-avance
Cette formation Hacking & Sécurité, Avancé est une approche avancée des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion dans des réseaux et des applications. C’est la suite de la première formation l’essentiel du Hacking & Sécurité.
Durant cette formation Hacking & Sécurité, Avancé nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en se tardant sur les vulnérabilités les plus critiques : Social engineering, Dénis de service, le Fuzzing, les Botnets, Attaques Server-Side, Le Brute Force, Le cracking de mot de passe, Attaques Client-Side, MiTM Proxy, Elévation de privilège, Attaques Web, Attaques sur les réseaux sans fils, Bypassing HSSI, Bypassing MAC adress Authentication, Attaque WEP, Attaque WPA et WPA2, Clonage de points d'accès, L'attaque DoS.
A la fin de cette formation Hacking & Sécurité, Avancé vous serez capable de réaliser des audits de sécurité (test de pénétration) avancés au sein d’une infrastructure, tester la sécurité des réseaux sans fils ainsi que préparer un rapport sur vos activités avec des outils professionnels dédiés.
Comme dans la formation l’essentiel du Hacking & Sécurité cette formation Hacking & Sécurité, Avancé sera axée sur un lab détaillé et complet pour mettre toutes les techniques en pratiques.
Aussi vous pouvez télécharger pleines de ressources et outils en annexe de cette formation.
Cloud Managed Router merupakan hasil dari kombinasi antara perangkat router konvensional dengan teknologi cloud management, yang dikembangkan agar memudahkan pengguna untuk dapat mengatur perangkat router dari jarak jauh. Namun tentu saja dengan penerapan yang kurang tepat, maka hal ini bisa dimanfaatkan oleh orang yang tidak bertanggung jawab, bahkan dapat beresiko akses perangkat router diambil alih. Pada topik ini saya akan sedikit menceritakan bagaimana resiko tersebut bisa terjadi.
Overview of Internet and network security protocols and architectures.
Network and Internet security is about authenticity, secrecy, privacy, authorization, non-repudiation, data integrity and protection from denial of service (DOS) attacks.
In the early days of the Internet, security was not a concern so most protocols were developed without protection from various kinds of attacks in mind. The Internet is now infested with malware like worms, viruses, trojan horses and killer packets. Unprotected hosts run the risk of being seized by hackers and become part of botnets to launch even more elaborate attacks.
Careful protection of hosts in a network is therefore of paramount importance. Hosts that need not be reachable from the Internet are typically placed in a protected LAN. Hosts with reachability requirements like mail and web servers are placed in a special network zone called DMZ (DeMilitarized Zone).
Firewalls protect the different networks. Firewall functionality ranges from simple port and address filters up to stateful application and deep packet inspection firewalls that provide more protection.
In general, security policies should be as restrictive as reasonable possible. So usually something not explicitly allowed should be classified as forbidden and thus be blocked.
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-avance
Cette formation Hacking & Sécurité, Avancé est une approche avancée des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion dans des réseaux et des applications. C’est la suite de la première formation l’essentiel du Hacking & Sécurité.
Durant cette formation Hacking & Sécurité, Avancé nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en se tardant sur les vulnérabilités les plus critiques : Social engineering, Dénis de service, le Fuzzing, les Botnets, Attaques Server-Side, Le Brute Force, Le cracking de mot de passe, Attaques Client-Side, MiTM Proxy, Elévation de privilège, Attaques Web, Attaques sur les réseaux sans fils, Bypassing HSSI, Bypassing MAC adress Authentication, Attaque WEP, Attaque WPA et WPA2, Clonage de points d'accès, L'attaque DoS.
A la fin de cette formation Hacking & Sécurité, Avancé vous serez capable de réaliser des audits de sécurité (test de pénétration) avancés au sein d’une infrastructure, tester la sécurité des réseaux sans fils ainsi que préparer un rapport sur vos activités avec des outils professionnels dédiés.
Comme dans la formation l’essentiel du Hacking & Sécurité cette formation Hacking & Sécurité, Avancé sera axée sur un lab détaillé et complet pour mettre toutes les techniques en pratiques.
Aussi vous pouvez télécharger pleines de ressources et outils en annexe de cette formation.
Cloud Managed Router merupakan hasil dari kombinasi antara perangkat router konvensional dengan teknologi cloud management, yang dikembangkan agar memudahkan pengguna untuk dapat mengatur perangkat router dari jarak jauh. Namun tentu saja dengan penerapan yang kurang tepat, maka hal ini bisa dimanfaatkan oleh orang yang tidak bertanggung jawab, bahkan dapat beresiko akses perangkat router diambil alih. Pada topik ini saya akan sedikit menceritakan bagaimana resiko tersebut bisa terjadi.
Overview of Internet and network security protocols and architectures.
Network and Internet security is about authenticity, secrecy, privacy, authorization, non-repudiation, data integrity and protection from denial of service (DOS) attacks.
In the early days of the Internet, security was not a concern so most protocols were developed without protection from various kinds of attacks in mind. The Internet is now infested with malware like worms, viruses, trojan horses and killer packets. Unprotected hosts run the risk of being seized by hackers and become part of botnets to launch even more elaborate attacks.
Careful protection of hosts in a network is therefore of paramount importance. Hosts that need not be reachable from the Internet are typically placed in a protected LAN. Hosts with reachability requirements like mail and web servers are placed in a special network zone called DMZ (DeMilitarized Zone).
Firewalls protect the different networks. Firewall functionality ranges from simple port and address filters up to stateful application and deep packet inspection firewalls that provide more protection.
In general, security policies should be as restrictive as reasonable possible. So usually something not explicitly allowed should be classified as forbidden and thus be blocked.
Introduction to Web Application Penetration TestingAnurag Srivastava
Web Application Pentesting
* Process to check and penetrate the security of a web application or a website
* process involves an active analysis of the application for any weaknesses, technical flaws, or vulnerabilities
* Any security issues that are found will be presented to the system owner, together with an assessment of the impact, a proposal for mitigation or a technical solution.
This presentation will provide an overview of what a penetration test is, why companies pay for them, and what role they play in most IT security programs. It will also include a brief overview of the common skill sets and tools used by today’s security professionals. Finally, it will offer some basic advice for getting started in penetration testing. This should be interesting to aspiring pentesters trying to gain a better understanding of how penetration testing fits into the larger IT security world.
Additional resources can be found in the blog below:
https://www.netspi.com/blog/entryid/140/resources-for-aspiring-penetration-testers
More security blogs by the authors can be found @
https://www.netspi.com/blog/
ANOTHER BRICK OFF THE WALL: DECONSTRUCTING WEB APPLICATION FIREWALLS USING AU...Ioannis Stais
Web Applications Firewalls (WAFs) are fundamental building blocks of modern application security. For example, the PCI standard for organizations handling credit card transactions dictates that any application facing the internet should be either protected by a WAF or successfully pass a code review process. Nevertheless, despite their popularity and importance, auditing web application firewalls remains a challenging and complex task. Finding attacks that bypass the firewall usually requires expert domain knowledge for a specific vulnerability class. Thus, penetration testers not armed with this knowledge are left with publicly available lists of attack strings, like the XSS Cheat Sheet, which are usually insufficient for thoroughly evaluating the security of a WAF product.
In this presentation we introduce a novel, efficient, approach for bypassing WAFs using automata learning algorithms. We show that automata learning algorithms can be used to obtain useful models of WAFs. Given such a model, we show how to construct, either manually or automatically, a grammar describing the set of possible attacks which are then tested against the obtained model for the firewall. Moreover, if our system fails to find an attack, a regular expression model of the firewall is generated for further analysis. Using this technique we found over 10 previously unknown vulnerabilities in popular WAFs such as Mod-Security, PHPIDS and Expose allowing us to mount SQL Injection and XSS attacks bypassing the firewalls. Finally, we present LightBulb, an open source python framework for auditing web applications firewalls using the techniques described above. In the release we include the set of grammars used to find the vulnerabilities presented.
This presentation describes penetration testing with a Who, What, Where, When, and How approach. In the presentation, you may discover the common pitfalls of a bad penetration test and you could identify a better one. You should be able to recognize and differentiate both looking at the methods (attitude) and result.
W3C - Web Authentication API by Korea ETRI (Electronics and Telecommunication Research Institute)
- Presented at FIDO Technical Seminar on July 16th, 2018
The "Same-Origin" Policy is one of the corner stones of the web application security model, but it can also be very restricting for web application developers. In this presentation, the different methods for weakening the "SOP" are presented, along with the possible security flaws introduced in the web applications.
Introduction to Web Application Penetration TestingAnurag Srivastava
Web Application Pentesting
* Process to check and penetrate the security of a web application or a website
* process involves an active analysis of the application for any weaknesses, technical flaws, or vulnerabilities
* Any security issues that are found will be presented to the system owner, together with an assessment of the impact, a proposal for mitigation or a technical solution.
This presentation will provide an overview of what a penetration test is, why companies pay for them, and what role they play in most IT security programs. It will also include a brief overview of the common skill sets and tools used by today’s security professionals. Finally, it will offer some basic advice for getting started in penetration testing. This should be interesting to aspiring pentesters trying to gain a better understanding of how penetration testing fits into the larger IT security world.
Additional resources can be found in the blog below:
https://www.netspi.com/blog/entryid/140/resources-for-aspiring-penetration-testers
More security blogs by the authors can be found @
https://www.netspi.com/blog/
ANOTHER BRICK OFF THE WALL: DECONSTRUCTING WEB APPLICATION FIREWALLS USING AU...Ioannis Stais
Web Applications Firewalls (WAFs) are fundamental building blocks of modern application security. For example, the PCI standard for organizations handling credit card transactions dictates that any application facing the internet should be either protected by a WAF or successfully pass a code review process. Nevertheless, despite their popularity and importance, auditing web application firewalls remains a challenging and complex task. Finding attacks that bypass the firewall usually requires expert domain knowledge for a specific vulnerability class. Thus, penetration testers not armed with this knowledge are left with publicly available lists of attack strings, like the XSS Cheat Sheet, which are usually insufficient for thoroughly evaluating the security of a WAF product.
In this presentation we introduce a novel, efficient, approach for bypassing WAFs using automata learning algorithms. We show that automata learning algorithms can be used to obtain useful models of WAFs. Given such a model, we show how to construct, either manually or automatically, a grammar describing the set of possible attacks which are then tested against the obtained model for the firewall. Moreover, if our system fails to find an attack, a regular expression model of the firewall is generated for further analysis. Using this technique we found over 10 previously unknown vulnerabilities in popular WAFs such as Mod-Security, PHPIDS and Expose allowing us to mount SQL Injection and XSS attacks bypassing the firewalls. Finally, we present LightBulb, an open source python framework for auditing web applications firewalls using the techniques described above. In the release we include the set of grammars used to find the vulnerabilities presented.
This presentation describes penetration testing with a Who, What, Where, When, and How approach. In the presentation, you may discover the common pitfalls of a bad penetration test and you could identify a better one. You should be able to recognize and differentiate both looking at the methods (attitude) and result.
W3C - Web Authentication API by Korea ETRI (Electronics and Telecommunication Research Institute)
- Presented at FIDO Technical Seminar on July 16th, 2018
The "Same-Origin" Policy is one of the corner stones of the web application security model, but it can also be very restricting for web application developers. In this presentation, the different methods for weakening the "SOP" are presented, along with the possible security flaws introduced in the web applications.
Instant Payment Notification (IPN) is a messaging service that notifies users of events related to PayPal transactions. One can use IPN messages to automate back-office and administrative functions, such as fulfilling orders, tracking customers, and providing status and other transaction-related information.
How to Launch a Web Security Service in an HourCyren, Inc
Want to find out how to launch your very own web security service in less than an hour? We take a deep dive into the fastest growing security market, explore the limitations of existing solutions, and demonstrate how to take your Web security “to the cloud” today.
Pyscho-Strategies for Social EngineeringIshan Girdhar
We have various resources for learning social engineering like social-engineer.org, the art of deception by kevin mitnick, the art of social engineering by Christopher Hadgney etc. but then why this same old TALK? The purpose of this talk is to take you one step forward, by teaching you how exactly it could be done. I mean, how can you possibly hack computers without having the basic understanding of how operating system works, how computer protocols works? You need to know what you’re dealing with and then you go ahead and look for the security issues and vulnerabilities in them. Similar scenario is with social engineering, You need to know what you are dealing with. HUMANS. Right!. what do you know about humans other than but being one. How do they operate, how do they make decision, what all factors affects their response etc. Without understanding how humans work? Your knowledge of social engineering and toolkits will not suffice. This talk will unleash the psychological strategies to execute the structure of social engineering.
Cusomizing Burp Suite - Getting the Most out of Burp ExtensionsAugust Detlefsen
This lecture gives pentesters and security tool developers an overview of the APIs available to extend the Burp Suite intercepting proxy. Using open-source examples developed by the author I illustrate a number of key areas for anyone wishing to create extensions for Burp Suite:
- Passive scanning
- Active scanning
- Identifying insertion points
- Request modification
The presentation includes code samples and links to actual open source Burp Suite plugins developed by the author.
This will be a brief discussion on Pen Testing Web Services in 2012, though OWASP have testing guides which describes various methods and tools for performing black box and white box security testing on web services but they’re all outdated. The key points of the presentation will revolve around how to pen test web services, what are the pre-requisites, methodology, tools used, etc.
Nowadays, like the technology itself, hacking activities against mobile phone is growing very rapidly, both for mobile devices (operating system) or mobile applications, some applications providers even dedicate a penetration testing activity for applications that they created right before it gets released to the public, while others open a bug bounty programs, and sadly the rest just watch and do nothing.
On the other side, malware developer arround the world also already move their main target and has been developing malware to take over the mobile devices which surely keep all our personal/private and our work, some of it even make us to pay for getting it back.
This talks will be focusing more on the trend of mobile device security lately, mobile security penetration testing activity, also in practice, showing several types of common weaknesses/vulnerabiliies within the mobile applications and how the exploitation is done by the attacker, malware is created and planted, until it is successfully to take over the target mobile device.
Pentesting RESTful webservices talks about problems penetration testers face while testing RESTful Webservices and REST based web applications. The presentation also talks about tools and techniques to do pentesting of RESTful webservices.
The content:
1. Discuss about famous web attack vector
2. DVWA low security level walkthrough
3. Web Application Security Tools, nikto and nmap
4. Burp Suite Usage
Materi yang saya sampaikan pada cara Focus Group Discussion (FGD) BSSN mengenai peraturan Voluntary Vulnerability Disclosure Program (VVDP) milik BSSN, berkaitan dengan uji publik peraturan. Semoga bermanfaat
Cybercrime: A threat to Financial industryAmmar WK
Cybercrime to Financial Services, aimed at taking over customer transactions and online banking sessions, also
attacks against the financial institutions
themselves.
Pemateri akan membahas tentang fenomena "bug bounty" di dunia keamanan, membahas juga
mengenai "0day" exploit yang menjadi senjata andalan para pelaku kejahatan siber sampai "APT actor",
dan mengajak bersama-sama untuk membahas apakah benar "bug bounty" dapat membendung dampak dari 0day exploit.
1. Burp Suite
4
Pada BAB ini akan dibahas
mengenai perangkat Burp
Suite yaitu salah satu
perangkat untuk
melakukan web penetration
testing.
Ahmad Muammar, OSCP (C) 2013
2. Section 1
Burp Suite 1. Burp Suite
Burp Suite adalah salah satu perangkat keamanan gratis yang
sangat berguna dalam melakukan kegiatan web application se-
curity atau untuk kegiatan penetration testing. Burp yang pada
awalnya hanya merupakan aplikasi proxy server untuk melaku-
kan intercept baik terhadap http-request ataupun http-response
Daftar Isi ke server dan web aplikasi.
Sampai versi terakhir 1.5 yang dapat diunduh di
1. Burp Suite
http://portswigger.net/burp/download.html, burp yang dina-
! 1.1 Proxy makan suite juga berisikan tools-tools lain yang bermanfaat un-
tuk kegiatan Web application security dan penetration testing.
! 1.2 Spider
Burp Suite yang dikembangkan dnegan bahasa pemrograman
! 1.3 Intruder JAVA ini memiliki tools seperti proxy, spider, intruder, repeater,
! 1.4 Repeater sequencer, decoder, comparer untuk versi gratisnya. Serta Per-
angkat untuk melakukan scanning vulnerabilities terhadap web
! 1.5 Sequencer aplikasi dengan perangkat scanner pada versi Professionalnya.
! 1.6 Decoder Dan berikut akan kita bahas secara singkat perangkat-
perangkat yang terdapat pada Burp Suite, tetapi sebelum itu
! 1.7 Comparer
berikut adalah beberapa hal yang perlu dikonfigurasikan pada
! 1.8 Scanner Burp Suite dan pada browser agar berjalan sempurna.
! 1.9 Extender
48
3. Secara default maka proxy listener akan berjalan di
127.0.0.1:8080, dan alamat ini yang perlu kita set pada browser
yang akan kita pergunakan pada aktifitas web penetration test-
ing nantinya.
Gambar Aplikasi Burp Suite versi gratis
Untuk memastikan Burp Suite bekerja, pastikan bahwa proxy
Gambar Tab konfigurasi Proxy
listeners dari burp berjalan sempurna maka periksa pada Tab
Proxy dan tab Options, perhatikan pada bagian proxy-listeners Kemudian kita perlu untuk mengkonfigurasikan browser yang
untuk di-cek dan running, begitu pula bagian Intercept Client Re- akan kita pergunakan, dan untuke mempermudah dalam mela-
quest, dan pada beberapa kasus jika diperlukan juga melaku- kukan switch proxy, apabila kita menggunakan lebih dari 1
kan intercept Server Responses. proxy nantinya, maka untuk browser firefox atau chrome ada
49
4. add-os/extensions FoxyProxy yang dapat dipergunakan. Dan
berikut ini adalah gambar untuk mengkonfigurasikan Burp
proxy yang akan kita pergunakan nantinya.
Gambar Memilih Burp sebagai Proxy
Dan selanjutnya apabila kita mengakses suatu web maka akan di inter-
cept oleh burp, dan kita dapat memodifikasinya sebelum meneruskan
request tersebut ke web server dengan meng-click tombol Forward,
seperti gambar berikut ini,
Gambar Aplikasi Konfigurasi FoxyProxy
Sehingga, untuk mempergunakannya kita tinggal memilih kon-
figruasi untuk Burp proxy pada icon foxyproxy di firefox, seperti
pada gambar berikut ini: Gambar saat kita mengakses web DVWA dan langsung di intercept burp
50
5. 1.1 Proxy
Perangkat utama dari Burp suite yang awalnya dikenal dengan
Burp Proxy adalah aplikasi proxy server yang dapat kita konfigu-
rasikan untuk melakukan intercept terhadap seluruh transaksi
web. Seperti pada penjelasan sebelumnya maka kali ini kita
akan mempergunakan aplikasi web DVWA (Damn Vulnerable
Web Application) sebagai aplikasi yang akan kita test.
Sebagaimana kita ketahui bahwa aplikasi DVWA memiliki be-
berapa level yaitu low, medium dan high dan untuk merubah
level tersebut kita harus login terlebih dahulu kemudian mengak-
ses halaman security.php, jika tidak maka secara default level
security dari aplikasi adalah “high”.
Dengan memanfaatkan penggunaan burp maka kita akan mela-
Gambar setelah kita meneruskan request dengan meng-click Forward button kukan modifikasi security level dari aplikasi yang ternyata di set
lewat Cookie oleh aplikasi, sehingga security level milik kita
akan langsung ter-set dengan level low. Adapun yang kita laku-
kan adalah dengan melakukan intercept seperti gambar diba-
wah ini
51
6. Gambar Request ke web dvwa, dan terlihat aplikasi men-set level security ke high
Gambar Memodifikasi Cookie
Sebelum kita mem-Forward request tersebut, maka kita dapat
memodifikasi security level dari aplikasi, sehingga saat kita Dan seterusnya setiap request, kita harus memodifikasi sting
login level security kita adalah low, seperti gambar berikut security menjadi low pada tiap request, sehingga saat kita login
ke web aplikasi, level security yang kita punyai adalah low,
seperti gambar berikut
52
7. 1.2 Spider
Perangkat kedua dari Burp Suite adalah “Spider”, perangkat ini
berfungsi sebagai crawler yang akan secara aktif dan pasif me-
lakukan crawling terhadap web aplikasi untuk mendapatkan
data halaman web, direktori, bahkan melakukan submit form
dan mendapatkan variabel.
Spider dapat di konfigurasikan untuk mempergunakan scope
yang terdefinisi terlebih dahulu, dengan tujuan fokus terhadap
target, untuk menentukan scope, perlu didefinisikan pada Tab
Taget seperti pad agambar berikut:
Gambar saat login, sudah otomatis dengan security level: low
Gambar Scope yang didefinisikan
53
8. Untuk mulai melakukan kegiatan crawling web aplikasi, maka 1.3 Intruder
lakukan klik-kanan dan pilih opsi “Spider this host” seperti pada
gambar dibawah ini: Perangkat yang ketiga dari kumpulan Suite pada Burp adalah
Intruder. Intruder ini adalah perangkat yang yang bermanfaat
untuk melakukan otomatisasi kegiatan yang ditemukan pada
saat melakukan kegiatan penetration testing. Salah satu kegi-
atan yang dapat dilakukan dengan memanfaatkan intruder ada-
lah untuk melakukan HTTP based brute-forcing
Gambar melakukan Spider terhadap URL tertentu.
Dan kemudian akan terlihat bahwa spider berjalan, seiring berjalanya aktifitas crawl- Gambar Tab Intruder
ing, maka nantinya pada Target akan bertambah pula direktori dan file yang terdapat
pada list URL tersebut. Selanjutnya kita akan coba melakukan bruteforce terhadap web
login pada aplikasi DVWA. Salah satu kelebihan dari aplikasi
bruteforce ini adalah kita tidak perlu mengkonfigurasikan be-
berapa hal yang umumnya kita konfigurasikan pada aplikasi bru-
54
9. teforce lainnya, semisal thc-hydra yaitu HTTP Method yang Kemudian mengirimkannya ke Intruder, dengan melakukan klik
dipergunakan, kemudian error response dsb-nya. kanan pada seluruh request tersebut, seperti gambar berikut
ini:
Yang perlu kita lakukan adalah mendapatkan 1 request lengkap
saat proses login terjadi, sebagai contoh mempergunakan user-
name dan password sembarang, kemudian melakukan inter-
cept pada proses tersebut seperti gambar berikut ini:
Gambar pengiriman request login untuk bruteforce ke Intruder
Selanjutnya adalah mengkonfigurasikan intruder untuk melaku-
kan bruteforce terhadap halaman login tersebut memanfaatkan
Gambar request login ke aplikasi DVWA full request yang sudah kita tandai. Sebelum itu pastikan host
dan port serta protokol yang dipergunakan sudah benar (den-
gan SSL (https) atau tidak), seperti pada gambar berikut ini.
55
10. Gambar pengiriman request login untuk bruteforce ke Intruder Gambar Posisi Payload dari full request yang kita kirim ke intruder
Kemudian, kita akan mulai mengkonfigurasikan Intruder untuk Terdapat 5 Payload dengan 5 posisi pada request asli yang kita
proses bruteforce. Hal selanjutnya yang harus kita lakukan ada- kirimkan, selanjutnya untuk menandai payload yang mana saja
lah menandai payload, payload inilah nantinya yang akan dimo- serta posisinya untuk kita bruteforce, maka yang perlu kita laku-
difikasi oleh intruder saat melakukan request. kan pertama adalah menghilangkan seluruh tanda lalu kemu-
dian menandainya, hal ini dapat dilakukan dengan menggu-
Terdapat beberapa tipe attack yang didukung oleh intruder dan
nakan clear button.
hal ini sangat terkait dengan payload yang akan kita tandai dan
diberi posisi, seperti pada gambar berikut ini: Sehingga, seluruh payload belum tertandai seperti pada gam-
bar berikut,
56
11. Gambar menandai payload dan posisinya
Gambar Setelah kita melakukan clear payload positions
Selanjutnya adalah menentukan tipe attack untuk payload, di-
Selanjutnya, karena kita hanya ingin melakukan bruteforce ter-
mana yang tersedia adalah sniper, battering ram, pitchfork dan
hadap username dan password, maka kita hanya perlu menan-
clusterbomb, ada baiknya membaca help untuk tiap-tiap attack
dai payload 1 yaitu username yang dalam hal ini admin dan
type payload positions sesuai dengan kebutuhan anda, tetapi
payload 2 yaitu palsu sebagai password. Hal ini dapat kita laku-
secara sederhana sniper dan battering ram hanya mendukung
kan dengan mempergunakan Add button seperti pada gambar
single set payload dan sudah pasti tidak dapat kita pergunakan
berikut ini:
karena payload yang kita butuhkan lebih dari satu payload.
Hanya tersisa tipe attack pitchfork dan ClusterBomb, dan tipe
attack yang terakhir memungkinkan seluruh kombinasi dari pay-
57
12. load di ujicobakan, sehingga kita akan memilih clusterbomb se-
bagai tipe attack untuk payload positions seperti pada gambar
berikut,
Gambar memilih Attack Type Gambar mengkonfigurasikan simple list sebagai payload 2
Selanjutnya yang perlu kita lakukan adalah mengkonfigurasikan Seperti pada gambar diatas, kita mengkonfigurasikan payload
payload, yang sampai proses ini kita membutuhkan 2 buah pay- dengan posisi nomer 2 yang nantinya akan menjadi password
load, yaitu payload 1 untuk username dan payload 2 untuk pada proses bruteforce dengan intruder ini. Perlu diketahui
password. bahwa pada versi free maka proses bruteforce akan memakan
waktu lebih lama karena hanya bisa menggunakan 1 threads :).
Dan untuk tipe payload, kita bisa memilih simple list dan me- Anda juga selanjutnya dapat mengkonfigurasikan proses brute-
masukkan secara manual list tersebut satu-persatu dikare- force pada bagian Options.
nakan hanya versi pro yang mengijinkan untuk kita melakukan
penambahan dari list yang sudah ada seperti file kamus kata.
58
13. Untuk memulai melakukan bruteforce maka kita cukup memilih kan content-length, dan hal ini akan lebih mudah jika password
menu intruder dan memilih start attack seperti pada gambar yang salah menghasilkan halaman yang sama (length sama),
berikut, sedangkan apabila password yang salah menghasilkan
content-length yang berbeda (dalam hal ini menampilkan user-
name kembali saat gagal login) maka anda perlu mengkonfigu-
rasikan intruder (tab options) untuk mempermudah menemukan
password yang benar.
Gambar memulai proses bruteforce
Salah satu hal yang menarik adalah menentukan password Untuk DVWA ini kita berhasil melakukan bruteforce dengan in-
yang benar, dikarenakan intruder ini memang kegunaannya un- truder dan mendapatkan username admin dan password seba-
tuk melakukan automatisasi request dengan modifikasi, maka gai password, salah satu kelebihan lainnya kita tidak perlu
untuk menentukan mana password yang benar dan salah salah mengkonfigurasikan cookie (seperti jika kita mempergunakan
satu yang bisa kita pergunakan adalah dengan membanding-
59
14. hydra saat membruteforce login aplikasi dvwa) atau variable
lainnya yang diperlukan untuk login.
1.4 Repeater
Perangkat selanjutnya adalah Repeater, yang merupakan per-
angkat sederhana untuk secara manual melakukan modifikasi
(manipulasi) dan menjalankan single HTTP requests dan se-
cara langsung mendapatkan response dari aplikasi.
Untuk memanfaatkan repeater, sebagaimana penggunaan per-
angkat lainnya, kita cuma perlu melakukan klik kanan dan men-
girim request (Single) ke repeater, untuk kemudian dimodifikasi
dan di kirimkan secara tersendiri.
Untuk celah keamanan yang memungkinkan kita melakukan
eksploitasi terkait hal ini adalah celah OS Command Injection,
dan celah ini terdapat pada aplikasi DVWA, seperti pad a gam-
Gambar request yang akan kita manipulasi secara terpisah dengan repeater
bar berikut ini:
Dan celah keamana yang akan kita eksploitasi adalah pada ha-
laman /vulnerabilities/exec/index.php pada variable ip seperti
pada gambar berikut ini,
60
15. Gambar eksploitasi celah keamanan OS Command Injection dengan repeater Gambar proses eksploitasi celah keamanan os command injection dnegan repeater
Selanjutnya adalah kita tinggal menggonta-ganti request yang
ada khususnya pada variable ip, dan hal ini akan mempermu-
dah dan memberi banyak keleluasaan bagi kita dalam proses
penetration testing, dibandingkan mempergunakan browser un-
tuk tiap request.
61
16. 1.5 Sequencer
Perangkat ke-5 adalah sequencer, perangkat ini bermanfaat un-
tuk melakukan proses analisa kualitas tingkat kerandoman dari
beberapa sample data, sebagai contoh memeriksa session to-
kens dari suatu aplikasi dsb. Sebagai contoh kita akan memeri-
kas cookies dari aplikasi DVWA ini
Gambar pemilihan lokasi token pada response yang akan dianalisa.
Kemudian kita tinggal menjalankan Sequencer dengan menggu-
nakan button Start Live Capture, kemudian akan tampil hala-
man hasil analisa yang menunjukkan bahwa hasil tingkat keran-
doman untuk token tersebut adalah excellent, seperti pada gam-
bar berikut,
Gambar pengiriman request ke sequencer
Kemudian, token yang akan kita analisa adalah PHPSESSID
seperti pad agambar berikut ini,
62
17. 1.6 Decoder
Perangkat selanjutnya adalah Decoder, perangkat ini sangat
bermanfaat untuk melakukan decode terhadap berbagai jenis
encode yang umum dipergunakan seperti URL, HTML, Base64,
ASCII hex, Hex, Octal, Binary, dan GZIP serta juga mendukung
encoding dengan tipe-tipe diatas juga.
Selain itu perangkat decoder ini juga memiliki dukungan untuk
melakukan Hashing dengan dukungan beberapa algoritma
hash yang sudah umum, seperti: md5, md3, SHA, SHA -256,
SHA-384, SHA-512
Gambar hasil analisa tingkat kerandoman dari token yang dipilih
Gambar Penggunaan Decoder
63
18. 1.7 Comparer dengan security level high pada aplikasi DVWA, seperti pada
gambar berikut,
Burp comparer adalah perangkat yang berfungsi untuk melaku-
kan perbandingan, seperti aplikasi diff pada unix, tetapi dalam
hal ini yang dibandingkan adalah antara HTTP request atau
antara HTTP Response. Untuk mengirim ke comparer dapat
melakukan click kanan item yang akan di compare kemudian
dipilih request atau response-nya seperti pada gambar berikut
Gambar melakukan compare 2 buah request
Dari hasil perbandingan diatas kita mengetahui dan dapat mela-
kukan modifikasi cookie untuk membuat security level kita low
tanpa perlu melakukan set security pada aplikasi DVWA,
seperti yang kita lakukan sebelumnya pada bagian proxy.
Gambar Mengirimkan item ke Comparer
Sebagai contoh pemanfaatan Comparer adalah kita melakukan
perbandingan antara login dengan security level low dan login
64
19. 1.8 Scanner & 1.9 Extender (Pro-Only)
Perangkat selanjutnya yang terdapat pada Burp suite adalah
Burp Scanner dan Burp Extender. Kedua perangkat ini hanya
tersedia pada Burp dengan versi Pro, dan tidak akan di bahas
secara mendetail pada e-book ini.
Sedang untuk penggunaan Scanner kita tinggal melakukan klik-
kanan dan memilih mode aktif atau pasif, tetapi sebaiknya kita
mendefinisikan Scope terlebih dahulu serta melakukan crawl-
ing web aplikasi dengan Spider.
Gambar hasil penggunaan Burp Scanner untuk aplikasi dvwa
Dari hasil ujicoba tingkat keberhasilan burp dalam mendeteksi
celah keamanan relatif cukup baik, burp juga meminimalisir ha-
sil false positive, selain itu metode scanning yang dilakukan
Gambar Penggunaan Scanner
burp juga memberikan tingkat lebih dalah berhadapan dengan
Dan hasil dari penggunaan Burp Scanner akan terdapat pada perangkat keamanan web seperti IDS, IPS dan Web Applica-
tab scanner, seperti contoh berikut ini adalah melakukan scan- tion Firewall.
ning terhadap aplikasi dvwa.
65
20. Gambar validasi salah satu celah keamanan yang ditemukan Burp Scanner
Burp Extender adalah salah satu fitur yang memungkinkan
pengguna dan pengembang untuk mengembangkan penggu-
naan dan fungsi dari Burp Suite, sebagai contoh adalah salah
satu extender sqlmap untuk Burp Suite yang di buat dan dikem-
bangkan oleh Daniel Garcia
Gambar SQLMap Extender untuk Burp Suite
66