Selamat datang di dunia keamanan web, di mana tantangan dan peluang berjalan seiringan. Di era digital ini, pemahaman tentang keamanan web telah menjadi kebutuhan penting, bukan hanya bagi profesional IT, tetapi juga bagi mereka yang berinteraksi dengan teknologi setiap hari. Dalam artikel ini, kita akan membahas tentang salah satu alat yang paling populer dan efektif dalam belajar keamanan web - Damn Vulnerable Web Application (DVWA).
DVWA adalah aplikasi web yang sengaja dirancang mengandung celah keamanan didalamnya. Tujuannya adalah untuk memberikan lingkungan belajar yang aman dan hukum bagi mereka yang ingin mempelajari keamanan web dan menguji keterampilan mereka. DVWA menawarkan berbagai level keamanan dan tantangan yang dapat disesuaikan, menjadikannya pilihan yang sempurna bagi pemula hingga profesional berpengalaman.
Tujuan dari artikel ini adalah untuk membantu Anda membangun lingkungan belajar keamanan web Anda sendiri dengan DVWA di Ubuntu 14.04. Kami akan membimbing Anda melalui setiap langkah proses instalasi dan konfigurasi, memastikan Anda memiliki semua yang Anda butuhkan untuk memulai perjalanan Anda dalam mempelajari dan menguasai keamanan web.
Manfaat dari artikel ini tidak hanya terbatas pada instalasi DVWA. Dengan memahami cara kerja DVWA, Anda akan mendapatkan pemahaman yang lebih baik tentang keamanan web secara umum. Anda akan belajar tentang berbagai jenis serangan web, bagaimana mereka bekerja, dan yang paling penting, bagaimana mencegahnya.
Jadi, mari kita mulai perjalanan ini bersama dan membangun lingkungan belajar keamanan web Anda sendiri dengan DVWA di Ubuntu 14.04. Selamat membaca dan belajar!
Apa itu DVWA?
Sebelum kita melangkah lebih jauh, mari kita pahami apa itu DVWA. Damn Vulnerable Web Application (DVWA) adalah aplikasi web yang sengaja dirancang dengan berbagai celah keamanan. DVWA dibuat oleh pentester dan pengembang sebagai alat untuk mempraktikkan teknik dan alat pengetesan penetrasi dalam lingkungan yang aman dan hukum.
DVWA dirancang untuk menjadi platform belajar yang sangat interaktif bagi mereka yang tertarik dengan dunia keamanan web. Dengan berbagai level keamanan yang dapat disesuaikan, DVWA memberikan pengguna kesempatan untuk memahami dan mempraktikkan berbagai jenis serangan web, mulai dari Cross Site Scripting (XSS) hingga SQL Injection, dalam lingkungan yang terkendali.
DVWA pertama kali dirilis pada tahun 2008 oleh Ryan Dewhurst sebagai bagian dari proyek akhirnya. Sejak itu, DVWA telah berkembang dan menjadi salah satu alat paling populer di kalangan profesional keamanan dan penggemar. Dengan komunitas yang aktif dan berdedikasi, DVWA terus diperbarui dan ditingkatkan untuk mencakup tantangan keamanan web terbaru dan paling relevan.
Jadi, jika Anda mencari cara untuk mempelajari keamanan web atau ingin mengasah keterampilan Anda, DVWA bisa menjadi pilihan yang tepat. Dengan DVWA, Anda tidak hanya belajar teori, tetapi juga mendapatkan pengalaman praktis yang berharga dalam mengidentifikasi, mengeksploitasi, dan mencegah celah keamanan web. Selanjutnya, kita akan membahas bagaimana cara menginstal DVWA di Ubuntu 14.04 dan memulai perjalanan belajar Anda.
Persiapan Sebelum Instalasi DVWA
Sebelum kita memulai proses instalasi DVWA, ada beberapa hal yang perlu kita persiapkan. Memastikan bahwa sistem dan perangkat lunak Anda memenuhi persyaratan yang diperlukan akan membantu proses instalasi berjalan lancar dan menghindari masalah yang mungkin muncul di kemudian hari.
Persyaratan Sistem dan Perangkat Lunak
Berikut adalah persyaratan sistem dan perangkat lunak yang dibutuhkan untuk menginstal DVWA di OS Ubuntu 14.04:
- Sistem Operasi: Ubuntu 14.04
- Web Server: Apache
- Database Server: MySQL
- PHP: Versi 5.x atau yang lebih baru
Perlu sobat ketahui alasan mengapa menggunakan Linux Ubuntu 14.04 yang mana merupakan versi yang sudah lawas, karena ketika artikel ini dibuat sudah terdapat Ubuntu versi 23.10.
Alasan utama menggunakan versi lama Ubuntu 14.04 ialah karena membutuh sumber daya yang lebih rendah dibandingkan versi diatasnya misalnya versi 23.10 yang minimal membutuhkan RAM 1GB. Dengan Ubuntu versi 14.04 yang admin penulis praktekan ialah mengalokasikan RAM 640MB (lihat capture gambar dibawah yang tampilkan total RAM 636MB.
Cek total RAM dengan meminfo - Gambar 1 |
Dengan alokasi RAM yang lebih rendah berdampak menghemat sumber daya pada software virtualisasi seperti VMware atau Virtualbox.
Karena aplikasi web DVWA yang ingin kita buat ini nantinya akan dijadikan sasaran tembak untuk latihan belajar keamanan web, bukan digunakan untuk melayani banyak user misalnya untuk proses pendaftaran atau transaksi pemesanan sebuah produk. Maka itu sistem yang akan kita siapkan dan alokasikan pada sumber daya secukupnya dan minimalis.
Memeriksa dan Mempersiapkan Sistem Anda
Setelah memastikan bahwa sistem Anda memenuhi persyaratan di atas, langkah selanjutnya adalah memeriksa dan mempersiapkan sistem Anda untuk instalasi. Berikut adalah beberapa langkah yang dapat Anda lakukan:
1. Host terkoneksi ke Internet: Pastikan dan cek host server Linux Ubuntu dapat terkoneksi ke internet dengan baik, karena semua proses instalasi komponen aplikasi yang dibutuhkan langsung diambil dari repository Ubuntu yang tersedia secara online. Cara sederhana lakukan koneksi ialah dengan jalankan perintah: ping google.com , dan bila hasil responnya "reply" berarti host sudah terkoneksi internet.
2. Periksa IP Address dan DNS: Sebelum memulai, Anda dapat memeriksa IP address dan DNS pada sistem operasi Ubuntu bilamana sudah diset dengan benar sesuai dengan lingkungan jaringan Anda.
Karena bila IP address dan DNS yang belum diset dengan benar berakibat web aplikasi dan sistem Ubuntu tidak dapat diakses dan tidak terkoneksi ke internet, yang hasil akhirnya komponen aplikasi seperti Apache, MySQL dan lainnya tidak dapat di-instal.
Cara periksa IP-address jalankan command berikut:
root@ubuntu:~#ifconfig
Cara edit dan set static IP address dan DNS, jalankan command berikut untuk meng-edit konfigurasi IP Address dan DNS menggunakan text editor nano:
root@ubuntu:~# nano /etc/network/interfaces
Dibagian bawah ini ialah contoh cara set static IP address dan DNS.
Khusus untuk angka IP address disesuaikan dengan lingkungan jaringan internal anda, jangan ikuti dan tiru mentah-mentah nilai angka IP address seperti contoh dibawah.
Pada contoh dibawah menggunakan skenario IP Address 192.168.0.50, sementara pada lingkungan jaringan penulis menggunakan IP Address 192.168.30.21.
auto eth0
iface eth0 inet static
address 192.168.0.50
netmask 255.255.255.0
gateway 192.168.0.1
network 192.168.0.0
broadcast 192.168.0.255
dns-nameservers 8.8.8.8 8.8.4.4
Berikut dibawah ini adalah contoh konfigurasi IP address dan DNS yang ada pada lingkungan jaringan penulis.
Edit Static IP Address dan DNS - Gambar 2 |
Setelah disimpan lanjutkan restart ethernet dengan cara dibawah ini:
$ sudo service networking restart
$ sudo ifdown eth0
$ sudo ifup eth0
Untuk verifikasi jalankan kembali command : ifconfig , untuk pastikan IP address yang diset sudah sesuai.
Jalankan ping google.com untuk pastikan sistem operasi Ubuntu bisa terkoneksi ke internet dengan baik.
3. Perbarui Sistem Anda: Anda dapat melakukannya dengan menjalankan perintah `sudo apt-get update` dan `sudo apt-get upgrade` di terminal. Aktivitas ini sifatnya opsional (bisa dilakukan, atau jika tidak dilakukan juga tidak apa-apa), karena web DVWA yang hendak kita bangun ini memang disengaja agar mengandung celah kerentanan sebanyak mungkin.
Dengan persiapan ini, sistem Anda sekarang siap untuk instalasi DVWA. Dalam bagian berikutnya, kita akan membahas langkah-langkah detail untuk menginstal DVWA di Ubuntu 14.04.
Langkah-Langkah Instalasi DVWA di Ubuntu 14.04
Setelah mempersiapkan sistem Anda, saatnya untuk memulai proses instalasi DVWA. Berikut adalah langkah-langkah yang perlu Anda ikuti:
Panduan berikut ini dilengkapi dengan screenshot, langsung klik pada gambar untuk ditampilkan dalam format yang lebih besar agar mudah dibaca.
1. instal mysql , dengan jalankan command-line:
root@ubuntu:~# apt-get install mysql-server
Command instal mysql-server - Gambar 3 |
Sistem akan tampilkan mohon persetujuan untuk lanjut lakukan instal aplikasi mysql-server. Ketik Y untuk lanjutkan dan setuju instal aplikasi mysql-server.
Ketik Y untuk lanjutkan instal mysql-server - Gambar 4 |
Ketika diminta input password, segera input password untuk aplikasi database mysql. Harap diperhatikan password yang akan kita set ini ialah password untuk akun root (super administrator).
Mysql-server set password untuk akun root - Gambar 5 |
Proses input password dilakukan sampai 2x yang bertujuan untuk memastikan password pertama dan password kedua sama.
Ulangi input password mysql-server - Gambar 6 |
Sampai akhir kembali lagi ke status prompt console seperti screenshot dibawah yang berarti proses instalasi mysql-server sudah selesai.
Instal mysql-server selesai - Gambar 7 |
Kita lanjutkan proses berikut dengan lakukan instal aplikasi apache2 dan komponen library PHP dengan jalankan perintah:
root@ubuntu:~# apt-get install unzip apache2 php5 php5-mysql php-pear
Instal Apache2 dan PHP - Gambar 8 |
Muncul konfirmasi, ketik Y untuk setuju lakukan instalasi aplikasi Apache2 dan komponen PHP.
Ketik Y untuk setuju instal Apache2 dan PHP - Gambar 9 |
Selesai instal aplikasi Apache2 dan PHP, lanjutkan download file-file utama DVWA, tapi sebelumnya kita pastikan dahulu posisi saat ini didalam sistem sedang berada di dalam directory /home/nama-user, dengan jalankan perintah:
root@ubuntu:~# pwd
Dapat dilihat pada contoh screenshot dibawah ternyata posisi saat ini sudah benar didalam directory kerja user yang dapat kita gunakan untuk menyimpan file download DVWA.
Cek posisi directory - Gambar 10 |
Ketik perintah berikut untuk download file DVWA menggunakan utility wget:
root@ubuntu:~# wget https://github.com/digininja/DVWA/archive/master.zip
Download file DVWA - Gambar 11 |
Setelah proses download selesai, jalankan perintah ls , untuk pastikan file DVWA yang bernama master.zip sudah tersimpan didalam directory user.
Sukses download file DVWA - Gambar 12 |
Lanjutkan dengan ekstrak file master.zip yang didalamnya berisi DVWA dengan jalankan utility unzip:
root@ubuntu:~# unzip master.zip
Ekstrak file master.zip DVWA dengan unzip - Gambar 13 |
Selesai proses ekstrak file master.zip, jalankan perintah ls untuk melihat daftar file dan directory apa saja. Pastikan hasil ekstrak terdapat directory DVWA-master yang berwarna biru seperti pada screenshot dibawah.
Cek file hasil ekstrak dari master.zip - Gambar 14 |
Selanjutkan kita akan pindahkan semua file yang berada pada directory DVWA-master ke sub-directory /var/www/html/. Caranya dengan gunakan utility mv.
Perhatikan hasil akhir yang kita inginkan semua file DVWA akan berpindah dan tersimpan didalam directory DVWA, bukan DVWA-master.
root@ubuntu:~# mv DVWA-master/ /var/www/html/DVWA
move DVWA-master ke sub-directory www-html - Gambar 15 |
Selesai jalankan perintah mv , lakukan verifikasi untuk pastikan semua file DVWA tersimpan di directory DVWA didalam sub-directory html.
Cek DVWA didalam sub-directory html - Gambar 16 |
Berikutnya kita lanjut lakukan konfigurasi pada file config.inc.php, sebelumnya kita buat duplikat dan sekaligus lakukan rename nama file dari config.inc.php.dist -> config.inc.php.
root@ubuntu:~#cd /var/www/html/DVWA/config
root@ubuntu:~# cp config.inc.php.dist config.inc.php
Duplikat file config.inc.php.dist menjadi config.inc.php - Gambar 17 |
Lakukan edit file config.inc.php dengan utility text editor nano.
Edit file config.inc.php dengan editor nano - Gambar 18 |
Yang perlu diedit ialah pada area password untuk akses ke database mysql, lebih jelasnya lihat screenshot dibawah.
Dari nano editor, untuk simpan tekan tombol Ctrl+O, lalu untuk keluar tekan tombol Ctrl+X.
Password aktual yang ada di database mysql akan kita set di langkah berikutnya.
Set password untuk akses database mysql - Gambar 19 |
Lanjut membuat database dvwa di mysql.
Akses ke console mysql - Gambar 20 |
Jalankan perintah buat database dvwa di dalam console mysql.
Berikut perintah lengkap dengan eksekusi pembuatan dvwa dan termasuk set password untuk kebutuhan agar sistem web apache dapat mengakses database.
mysql> create database dvwa;
mysql> create user dvwa@localhost identified by 'p@ssw0rd';
mysql> grant all on dvwa.* to dvwa@localhost;
mysql> flush privileges;
Buat database dvwa di mysql - Gambar 21 |
Selesai konfig pembuatan dan password untuk database DVWA, lanjut ke konfig file php.ini
root@ubuntu:~# nano /etc/php5/apache2/php.ini
Edit konfig Apache2 file php.ini - Gambar 22 |
Cari string: allow_url_include = Off
Dan ganti Off menjadi On , sehingga hasil akhirnya
allow_url_include = On
Untuk memudahkan pencarian, didalam aplikasi editor nano Anda bisa tekan kombinasi tombol CTRL dan W. Lalu input allow_url_include seperti contoh screenshot dibawah. Setelah di-input, tekan enter agar editor nano langsung lakukan pencarian.
Search string allow_url_include di file php.ini - Gambar 23 |
Setelah ketemu Anda langsung dapat lakukan edit pada string agar menjadi:
allow_url_include = On
Hasil akhirnya dapat dilihat pada screenshot dibawah. Selesai edit lakukan save dengan tekan kombinasi tombol Ctrl+O. Lalu untuk keluar dari nano editor tekan tombol Ctrl+X.
Edit allow_url_include = On di file php.ini - Gambar 24 |
Lanjut dengan set permission pada directory DVWA didalam sub-directory /var/www/html/DVWA.
root@ubuntu:~# chmod -R 777 /var/www/html/DVWA/
Set permission 777 pada directory DVWA - Gambar 25 |
Lakukan verifikasi untuk pastikan hasil set permission 777 pada directory DVWA sudah diberlakukan, yang ditangai dengan stabilo hijau terang, dapat dilihat gambar screenshot dibawah.
Sukses set permission 777 pada directory DVWA - Gambar 26 |
Lanjut konfig pada file apache2.conf, dengan ketikan perintah:
root@ubuntu:~# nano /etc/apache2/apache2.conf
Lalu tambahkan string Servername localhost ,lihat contoh screenshot dibawah.
konfig file apache2.conf - Gambar 27 |
Selanjutnya lakukan kita pastikan service Apache2 running dengan jalankan perintah:
root@ubuntu:~# service apache2 start
root@ubuntu:~# service apache2 restart
Start service Apache2 - Gambar 28 |
Kita mulai akses ke aplikasi web DVWA dari browser, input pada area alamat url : https://ip-address/DVWA/setup.php , lalu klik tombol "Create/Reset Database" di area bagian bawah.
Reset database DVWA - Gambar 29 |
Bila sukses reset database DVWA akan tampil seperti gambar dibawah dimana kita diarahkan ke halaman web authentikasi.
Bila ternyata tampilan halaman web tidak berubah masih di posisi reset database, maka Anda dapat merubah url secara manual dengan ketik : http://ip-address/DVWA/.
Halaman Authentikasi DVWA - Gambar 30 |
Kita dapat mulai lakukan login pada halaman authentikasi DVWA dengan lakukan input sebagai berikut:
user: admin
password : password
Input login web DVWA - Gambar 31 |
Setelah sukses login maka akan masuk ke halaman web yang di area kolom kiri tampil beragam menu untuk kita dapat lakukan latihan atau belajar keamanan web.
Sukses login DVWA - Gambar 32 |
Ada yang hampir ketinggalan, kita dapat lakukan sedikit konfig untuk opsi default level security menjadi low.
Caranya dengan lakukan edit file config.inc.php
root@ubuntu:~# nano /var/www/html/DVWA/config/config.inc.php
Lalu cari string default level security seperti screenshot dibawah, untuk diset menjadi low.
Set default level security menjadi low - Gambar 33 |
Kemudian dari halaman web GUI bisa kita set dengan klik manual di menu DVWA security , lalu klik drop-down menu pilih "low".
Set DVWA security level menjadi low - Gambar 34 |
Tujuan dari lakukan set level security menjadi low pada file config.inc.php agar bila OS Ubuntu 14.04 dilakukan restart atau pun Apache2 service dilakukan restart maka secara default security level ialah "low".
4 Manfaat DVWA untuk Belajar Keamanan Web
Setelah berhasil menginstal dan mengkonfigurasi DVWA, saatnya untuk memanfaatkan platform ini untuk belajar keamanan web. Berikut adalah beberapa cara dan contoh skenario yang dapat Anda gunakan:
1. Memahami Serangan Web: DVWA mencakup berbagai jenis serangan web, seperti Cross-Site Scripting (XSS), SQL Injection, dan CSRF. Anda dapat menggunakan DVWA untuk memahami bagaimana serangan ini bekerja dan bagaimana mereka dapat dieksploitasi. Misalnya, Anda dapat mencoba melakukan serangan XSS dan melihat bagaimana skrip jahat dapat disuntikkan ke situs web.
2. Mempelajari Teknik Pengetesan Penetrasi: DVWA adalah platform yang bagus untuk mempelajari dan mempraktikkan teknik pengetesan penetrasi. Anda dapat mencoba berbagai alat dan teknik, dan melihat bagaimana mereka bekerja dalam lingkungan yang aman dan terkendali.
3. Melakukan Latihan: DVWA menawarkan berbagai skenario latihan yang dapat Anda gunakan untuk memperdalam pemahaman Anda tentang keamanan web. Misalnya, Anda dapat mencoba untuk mengeksploitasi celah keamanan pada tingkat keamanan "Low", lalu mencoba lagi pada tingkat keamanan "Medium" atau "High" untuk melihat bagaimana peningkatan keamanan dapat mencegah serangan tersebut.
4. Menguji Keterampilan Anda: Setelah Anda merasa nyaman dengan dasar-dasar keamanan web, Anda dapat menggunakan DVWA untuk menguji keterampilan Anda. Coba tantang diri Anda untuk menemukan dan mengeksploitasi celah keamanan tanpa melihat petunjuk, dan lihat seberapa jauh Anda bisa melangkah.
Ingatlah bahwa tujuan utama DVWA adalah untuk belajar. Jadi, jangan takut untuk membuat kesalahan dan jangan ragu untuk mencoba hal-hal baru. Dengan waktu dan latihan, Anda akan menjadi semakin mahir dalam keamanan web.
Kesimpulan
Dalam perjalanan kita melalui artikel ini, kita telah membahas berbagai aspek penting dari DVWA, mulai dari apa itu DVWA, persiapan sebelum instalasi, langkah-langkah instalasi di Ubuntu 14.04, konfigurasi dan pengaturan, hingga bagaimana menggunakan DVWA untuk belajar keamanan web.
DVWA adalah alat yang sangat berharga bagi siapa saja yang ingin mempelajari lebih lanjut tentang keamanan web. Dengan berbagai level keamanan dan tantangan yang dapat disesuaikan, DVWA memberikan platform yang aman dan terkendali untuk memahami dan mempraktikkan berbagai jenis serangan web.
Namun, perlu diingat bahwa belajar keamanan web bukan hanya tentang mengetahui cara mengeksploitasi celah keamanan. Sebaliknya, tujuannya adalah untuk memahami bagaimana celah-celah ini dapat muncul dan bagaimana mencegahnya, sehingga kita dapat membangun aplikasi web yang lebih aman dan andal.
Kami berharap artikel ini telah memberikan Anda pemahaman yang baik tentang DVWA dan bagaimana cara menggunakannya. Jika Anda belum mencoba DVWA, kami sangat menyarankan Anda untuk melakukannya. Tidak ada cara yang lebih baik untuk belajar selain dengan praktik langsung.
FAQs
Berikut adalah beberapa pertanyaan yang sering diajukan tentang instalasi dan penggunaan DVWA:
1. Apa itu DVWA?
- DVWA, atau Damn Vulnerable Web Application, adalah aplikasi web yang sengaja dirancang dengan berbagai celah keamanan. Tujuannya adalah untuk memberikan lingkungan belajar yang aman dan hukum bagi mereka yang ingin mempelajari keamanan web dan menguji keterampilan mereka.
2. Apakah DVWA aman untuk digunakan?
- Ya, DVWA aman untuk digunakan selama digunakan dengan bijaksana dan bertanggung jawab. DVWA seharusnya hanya digunakan dalam lingkungan yang terkendali/internal dan tidak pernah diinstal di server produksi atau diekspos ke internet.
3. Bagaimana cara menginstal DVWA di Ubuntu 14.04?
- Proses instalasi DVWA di Ubuntu 14.04 melibatkan beberapa langkah, termasuk mengunduh DVWA, menginstal perangkat lunak yang diperlukan seperti Apache dan MySQL, mengkonfigurasi DVWA, dan menyelesaikan instalasi melalui browser web. Anda dapat merujuk ke bagian "Langkah-Langkah Instalasi DVWA di Ubuntu 14.04" di artikel ini untuk panduan lengkap.
4. Apa saja jenis serangan web yang dapat dipelajari dengan DVWA?
- DVWA mencakup berbagai jenis serangan web, seperti Cross-Site Scripting (XSS), SQL Injection, dan CSRF. DVWA memberikan pengguna kesempatan untuk memahami dan mempraktikkan berbagai jenis serangan web dalam lingkungan yang terkendali.
5. Apakah saya perlu memiliki pengetahuan sebelumnya tentang keamanan web untuk menggunakan DVWA?
- Tidak, DVWA dirancang untuk semua tingkat pengguna, dari pemula hingga profesional berpengalaman. Meskipun pengetahuan dasar tentang web dan PHP akan sangat membantu, DVWA adalah alat belajar yang bagus untuk memulai perjalanan Anda dalam mempelajari keamanan web.
Semoga FAQ ini dapat membantu menjawab beberapa pertanyaan Anda tentang DVWA. Jika Anda memiliki pertanyaan lain, jangan ragu untuk mencari lebih lanjut atau bertanya kepada komunitas keamanan web.
Sumber referensi : https://github.com/digininja/DVWA
Tidak ada komentar