Instalasi Mutillidae

-

 

Instalasi Mutillidae 

  1. Pengantar OWASP Mutillidae: OWASP Mutillidae adalah aplikasi web dengan celah keamanan yang dirancang untuk pendidikan dan pelatihan keamanan aplikasi web oleh OWASP.

  2. Tujuan dan Manfaat

  • Pendidikan: Platform untuk belajar kerentanan keamanan.
  • Pengujian Penetrasi: Tempat latihan dalam lingkungan aman.
  • Pengembangan: Membantu pengembang memahami dan mengatasi kelemahan aplikasi web.
  1. Fitur Utama
  • Jenis Kerentanan: Contoh seperti SQL Injection, XSS, dan CSRF.
  • Mode Pelatihan dan Tantangan: Untuk belajar dan menguji keterampilan.
  • Dokumentasi: Panduan dan tutorial untuk memahami kerentanan.

    4. Instalasi dan Konfigurasi

  • Pastikasn sudah memiliki virtual box dan kali linux
  • buka browser di kali linux dan download xampp untuk linux


  • lakukan instalasi, dengan membuka terminal pada file manger > download
  • ketikkan 'ls -l' untuk mencari data yg ada
  • masukkan 'sudo chmod +x xampp-linux-x64-8.2.12-0-installer.run', masukan sandi kali
  • masukkan kembali sudo ./xampp-linux-x64-8.2.12-0-installer.run


  • instal hingga selesai
  • nyalakan untuk mysql


  • buka phpmyadmin tambahkan untuk file mutillidae

  • buka pada file system > lampp > htdocs > mutillidae > src > includes, open terminal here
  • buka terminal ketikkan "ls -l" untuk menampilkan file
  • buka sudo nano database-config.inc


  • hapus untuk passnya pastikan kososng.


  • masuk ke localhost/mutillidae, scroll hingga ke bawah hingga bertemu opt out


  • mutillidae siap di gunakan.


  1. Kerentanan yang Dipelajari
  • SQL Injection: Menyuntikkan perintah SQL jahat ke query database melalui input form.
  • Cross-Site Scripting (XSS): Menyisipkan skrip jahat ke halaman web yang dilihat pengguna lain.
  • Cross-Site Request Forgery (CSRF): Melakukan tindakan tak diinginkan atas nama pengguna terautentikasi melalui permintaan berbahaya.
  • Insecure Direct Object References (IDOR): Mengakses data yang tidak seharusnya dengan memanipulasi parameter URL atau form.
  1. Praktik Keamanan Terbaik
  • Validasi dan Sanitasi Input: Untuk mencegah injeksi.
  • Penggunaan Parameterized Queries: Menghindari SQL Injection.
  • Penggunaan Token CSRF: Mencegah serangan CSRF.
  • Akses Kontrol yang Ketat: Pastikan hanya pengguna berwenang yang mengakses data tertentu.


Komentar

Posting Komentar

Postingan populer dari blog ini

LOCAL/REMOTE FILE INCLUSION

-
Gambar
 LOCAL/REMOTE FILE INCLUSION DEMO 1: SERANGAN LFI  • Buat sebuah folder di C:\xampp\htdocs\ bernama lfi.  •Di dalam folder lfi, buat file bernama index.php dengan isi sebagai berikut: <?php // index.php $page = isset ( $_GET [ 'page' ]) ? $_GET [ 'page' ] : 'home.php' ; include ( $page ); • Buat file home.php di folder yang sama dengan isi: <?php echo "Welcome to the home page!" ;  • Buka browser dan akses http://localhost/lfi/index.php. •Untuk membaca file di sistem Windows, kita bisa mencoba membaca file C:\xampp\htdocs\lfi\home.php dengan mengubah parameter URL:  http://localhost/lfi/index.php?page=C:/xampp/htdocs/lfi/home.php  •Coba akses file sensitif seperti konfigurasi Apache:  http://localhost/lfi/index.php?page=C:/xampp/apache/conf/httpd.conf DEMO 2: SERANGAN RFI  • Buat folder di C:\xampp\htdocs\ bernama uploads.  •Buat file upload.php di C:\xampp\htdocs\lfi\ dengan isi sebagai berikut:  <?php if ( $_SERVER [ 'R...
Baca selengkapnya

OSINT

-
  OSINT Open Source Intelligence (OSINT) adalah proses pengumpulan dan analisis informasi yang tersedia  untuk umum dari berbagai sumber terbuka untuk tujuan intelijen. OSINT menggunakan informasi  yang dapat diakses oleh publik dan secara sah, seperti situs web, media sosial, laporan publik, basis  data, dan publikasi lainnya. OSINT digunakan oleh berbagai pihak, termasuk perusahaan,  pemerintah, penegak hukum, dan profesional keamanan siber untuk mengumpulkan informasi yang  relevan dan berharga. Sumber-Sumber OSINT Sumber-sumber OSINT dapat dikategorikan menjadi beberapa jenis, antara lain: 1. Sumber Media:  - Situs berita, artikel, jurnal, dan laporan media. 2. Sumber Internet:  - Situs web perusahaan, blog, forum, dan komunitas online. 3. Media Sosial:  - Platform seperti Facebook, Twitter, LinkedIn, Instagram, dan lainnya. 4. Sumber Pemerintah:  - Laporan publik, data sensus, basis data paten, dan dokumen hukum. 5. Sumber Akademik:...
Baca selengkapnya

CROSS SITE REQUEST FORGERY

-
Gambar
  CROSS SITE REQUEST FORGERY Apa Itu Cross-Site Request Forgery (CSRF)? Cross-Site Request Forgery (CSRF) adalah salah satu jenis serangan pada aplikasi web di mana penyerang mengeksploitasi identitas pengguna untuk mengirimkan permintaan yang tidak sah ke server aplikasi. CSRF sering kali berhasil karena aplikasi web tidak memverifikasi keaslian permintaan yang datang dari pengguna yang telah diautentikasi. Cara Kerja CSRF Pengguna Login : Pengguna login ke situs web A dan mendapatkan cookie sesi yang sah. Penyerang Membuat Permintaan Berbahaya : Penyerang membuat halaman web berbahaya atau email yang mengandung permintaan berbahaya ke situs web A. Pengguna Mengunjungi Halaman Berbahaya : Pengguna mengunjungi halaman berbahaya tersebut atau membuka email yang mengandung permintaan berbahaya. Permintaan Tidak Sah Dikirim : Karena pengguna sudah login ke situs web A, permintaan berbahaya tersebut dikirim ke server dengan menggunakan cookie sesi pengguna, sehingga permintaan tersebut...
Baca selengkapnya