Membangun Lingkungan Belajar Keamanan Web dengan DVWA di Ubuntu 14.04

Kenapa belajar keamanan Web

Selamat datang di dunia keamanan web, di mana tantangan dan peluang berjalan seiringan. Di era digital ini, pemahaman tentang keamanan web telah menjadi kebutuhan penting, bukan hanya bagi profesional IT, tetapi juga bagi mereka yang berinteraksi dengan teknologi setiap hari. Dalam artikel ini, kita akan membahas tentang salah satu alat yang paling populer dan efektif dalam belajar keamanan web - Damn Vulnerable Web Application (DVWA).

DVWA adalah aplikasi web yang sengaja dirancang mengandung celah keamanan didalamnya. Tujuannya adalah untuk memberikan lingkungan belajar yang aman dan hukum bagi mereka yang ingin mempelajari keamanan web dan menguji keterampilan mereka. DVWA menawarkan berbagai level keamanan dan tantangan yang dapat disesuaikan, menjadikannya pilihan yang sempurna bagi pemula hingga profesional berpengalaman.

Tujuan dari artikel ini adalah untuk membantu Anda membangun lingkungan belajar keamanan web Anda sendiri dengan DVWA di Ubuntu 14.04. Kami akan membimbing Anda melalui setiap langkah proses instalasi dan konfigurasi, memastikan Anda memiliki semua yang Anda butuhkan untuk memulai perjalanan Anda dalam mempelajari dan menguasai keamanan web.

Manfaat dari artikel ini tidak hanya terbatas pada instalasi DVWA. Dengan memahami cara kerja DVWA, Anda akan mendapatkan pemahaman yang lebih baik tentang keamanan web secara umum. Anda akan belajar tentang berbagai jenis serangan web, bagaimana mereka bekerja, dan yang paling penting, bagaimana mencegahnya.

Jadi, mari kita mulai perjalanan ini bersama dan membangun lingkungan belajar keamanan web Anda sendiri dengan DVWA di Ubuntu 14.04. Selamat membaca dan belajar!

Apa itu DVWA?

Sebelum kita melangkah lebih jauh, mari kita pahami apa itu DVWA. Damn Vulnerable Web Application (DVWA) adalah aplikasi web yang sengaja dirancang dengan berbagai celah keamanan. DVWA dibuat oleh pentester dan pengembang sebagai alat untuk mempraktikkan teknik dan alat pengetesan penetrasi dalam lingkungan yang aman dan hukum.

DVWA dirancang untuk menjadi platform belajar yang sangat interaktif bagi mereka yang tertarik dengan dunia keamanan web. Dengan berbagai level keamanan yang dapat disesuaikan, DVWA memberikan pengguna kesempatan untuk memahami dan mempraktikkan berbagai jenis serangan web, mulai dari Cross Site Scripting (XSS) hingga SQL Injection, dalam lingkungan yang terkendali.

DVWA pertama kali dirilis pada tahun 2008 oleh Ryan Dewhurst sebagai bagian dari proyek akhirnya. Sejak itu, DVWA telah berkembang dan menjadi salah satu alat paling populer di kalangan profesional keamanan dan penggemar. Dengan komunitas yang aktif dan berdedikasi, DVWA terus diperbarui dan ditingkatkan untuk mencakup tantangan keamanan web terbaru dan paling relevan.

Jadi, jika Anda mencari cara untuk mempelajari keamanan web atau ingin mengasah keterampilan Anda, DVWA bisa menjadi pilihan yang tepat. Dengan DVWA, Anda tidak hanya belajar teori, tetapi juga mendapatkan pengalaman praktis yang berharga dalam mengidentifikasi, mengeksploitasi, dan mencegah celah keamanan web. Selanjutnya, kita akan membahas bagaimana cara menginstal DVWA di Ubuntu 14.04 dan memulai perjalanan belajar Anda.

Persiapan Sebelum Instalasi DVWA

Sebelum kita memulai proses instalasi DVWA, ada beberapa hal yang perlu kita persiapkan. Memastikan bahwa sistem dan perangkat lunak Anda memenuhi persyaratan yang diperlukan akan membantu proses instalasi berjalan lancar dan menghindari masalah yang mungkin muncul di kemudian hari.

Persyaratan Sistem dan Perangkat Lunak

Berikut adalah persyaratan sistem dan perangkat lunak yang dibutuhkan untuk menginstal DVWA di OS Ubuntu 14.04:

- Sistem Operasi: Ubuntu 14.04
- Web Server: Apache
- Database Server: MySQL
- PHP: Versi 5.x atau yang lebih baru

Perlu sobat ketahui alasan mengapa menggunakan Linux Ubuntu 14.04 yang mana merupakan versi yang sudah lawas, karena ketika artikel ini dibuat sudah terdapat Ubuntu versi 23.10.

Alasan utama menggunakan versi lama Ubuntu 14.04 ialah karena membutuh sumber daya yang lebih rendah dibandingkan versi diatasnya misalnya versi 23.10 yang minimal membutuhkan RAM 1GB. Dengan Ubuntu versi 14.04 yang admin penulis praktekan ialah mengalokasikan RAM 640MB (lihat capture gambar dibawah yang tampilkan total RAM 636MB.

Cek total RAM dengan meminfo - Gambar 1

Dengan alokasi RAM yang lebih rendah berdampak menghemat sumber daya pada software virtualisasi seperti VMware atau Virtualbox.

Karena aplikasi web DVWA yang ingin kita buat ini nantinya akan dijadikan sasaran tembak untuk latihan belajar keamanan web, bukan digunakan untuk melayani banyak user misalnya untuk proses pendaftaran atau transaksi pemesanan sebuah produk. Maka itu sistem yang akan kita siapkan dan alokasikan pada sumber daya secukupnya dan minimalis.

Memeriksa dan Mempersiapkan Sistem Anda

Setelah memastikan bahwa sistem Anda memenuhi persyaratan di atas, langkah selanjutnya adalah memeriksa dan mempersiapkan sistem Anda untuk instalasi. Berikut adalah beberapa langkah yang dapat Anda lakukan:

1. Host terkoneksi ke Internet: Pastikan dan cek host server Linux Ubuntu dapat terkoneksi ke internet dengan baik, karena semua proses instalasi komponen aplikasi yang dibutuhkan langsung diambil dari repository Ubuntu yang tersedia secara online. Cara sederhana lakukan koneksi ialah dengan jalankan perintah: ping google.com  , dan bila hasil responnya "reply" berarti host sudah terkoneksi internet.

2. Periksa IP Address dan DNS: Sebelum memulai, Anda dapat memeriksa IP address dan DNS pada sistem operasi Ubuntu bilamana sudah diset dengan benar sesuai dengan lingkungan jaringan Anda.

Karena bila IP address dan DNS yang belum diset dengan benar berakibat web aplikasi dan sistem Ubuntu tidak dapat diakses dan tidak terkoneksi ke internet, yang hasil akhirnya komponen aplikasi seperti Apache, MySQL dan lainnya tidak dapat di-instal.

Cara periksa IP-address jalankan command berikut:

root@ubuntu:~#ifconfig

Cara edit dan set static IP address dan DNS, jalankan command berikut untuk meng-edit konfigurasi IP Address dan DNS menggunakan text editor nano:

root@ubuntu:~# nano /etc/network/interfaces

Dibagian bawah ini ialah contoh cara set static IP address dan DNS.

Khusus untuk angka IP address disesuaikan dengan lingkungan jaringan internal anda, jangan ikuti dan tiru mentah-mentah nilai angka IP address seperti contoh dibawah.

Pada contoh dibawah menggunakan skenario IP Address 192.168.0.50, sementara pada lingkungan jaringan penulis menggunakan IP Address 192.168.30.21.

auto eth0
  iface eth0 inet static
  address 192.168.0.50
  netmask 255.255.255.0
  gateway 192.168.0.1
  network 192.168.0.0
  broadcast 192.168.0.255
  dns-nameservers 8.8.8.8 8.8.4.4

Berikut dibawah ini adalah contoh konfigurasi IP address dan DNS yang ada pada lingkungan jaringan penulis.

Edit Static IP Address dan DNS - Gambar 2

Setelah disimpan lanjutkan restart ethernet dengan cara dibawah ini:

$ sudo service networking restart
$ sudo ifdown eth0
$ sudo ifup eth0

Untuk verifikasi jalankan kembali command : ifconfig  , untuk pastikan IP address yang diset sudah sesuai.

Jalankan ping google.com untuk pastikan sistem operasi Ubuntu bisa terkoneksi ke internet dengan baik.

3. Perbarui Sistem Anda: Anda dapat melakukannya dengan menjalankan perintah `sudo apt-get update` dan `sudo apt-get upgrade` di terminal. Aktivitas ini sifatnya opsional (bisa dilakukan, atau jika tidak dilakukan juga tidak apa-apa), karena web DVWA yang hendak kita bangun ini memang disengaja agar mengandung celah kerentanan sebanyak mungkin.

Dengan persiapan ini, sistem Anda sekarang siap untuk instalasi DVWA. Dalam bagian berikutnya, kita akan membahas langkah-langkah detail untuk menginstal DVWA di Ubuntu 14.04.

Command instal mysql-server - Gambar 3

Sistem akan tampilkan mohon persetujuan untuk lanjut lakukan instal aplikasi mysql-server. Ketik Y untuk lanjutkan dan setuju instal aplikasi mysql-server.

Ketik Y untuk lanjutkan instal mysql-server - Gambar 4

Ketika diminta input password, segera input password untuk aplikasi database mysql. Harap diperhatikan password yang akan kita set ini ialah password untuk akun root (super administrator).

Mysql-server set password untuk akun root - Gambar 5

Proses input password dilakukan sampai 2x yang bertujuan untuk memastikan password pertama dan password kedua sama.

Ulangi input password mysql-server - Gambar 6

Sampai akhir kembali lagi ke status prompt console seperti screenshot dibawah yang berarti proses instalasi mysql-server sudah selesai.

Instal mysql-server selesai - Gambar 7

Kita lanjutkan proses berikut dengan lakukan instal aplikasi apache2 dan komponen library PHP dengan jalankan perintah:

root@ubuntu:~# apt-get install unzip apache2 php5 php5-mysql php-pear

Instal Apache2 dan PHP - Gambar 8

Muncul konfirmasi, ketik Y untuk setuju lakukan instalasi aplikasi Apache2 dan komponen PHP.

Ketik Y untuk setuju instal Apache2 dan PHP - Gambar 9

Selesai instal aplikasi Apache2 dan PHP, lanjutkan download file-file utama DVWA, tapi sebelumnya kita pastikan dahulu posisi saat ini didalam sistem sedang berada di dalam directory /home/nama-user, dengan jalankan perintah:

root@ubuntu:~# pwd

Dapat dilihat pada contoh screenshot dibawah ternyata posisi saat ini sudah benar didalam directory kerja user yang dapat kita gunakan untuk menyimpan file download DVWA.

Cek posisi directory - Gambar 10

Download file DVWA - Gambar 11

Setelah proses download selesai, jalankan perintah ls , untuk pastikan file DVWA yang bernama master.zip sudah tersimpan didalam directory user.

Sukses download file DVWA - Gambar 12

Lanjutkan dengan ekstrak file master.zip yang didalamnya berisi DVWA dengan jalankan utility unzip:

root@ubuntu:~# unzip master.zip

Ekstrak file master.zip DVWA dengan unzip - Gambar 13

Selesai proses ekstrak file master.zip, jalankan perintah ls untuk melihat daftar file dan directory apa saja. Pastikan hasil ekstrak terdapat directory DVWA-master yang berwarna biru seperti pada screenshot dibawah.

Cek file hasil ekstrak dari master.zip - Gambar 14

Selanjutkan kita akan pindahkan semua file yang berada pada directory DVWA-master ke sub-directory /var/www/html/. Caranya dengan gunakan utility mv.

Perhatikan hasil akhir yang kita inginkan semua file DVWA akan berpindah dan tersimpan didalam directory DVWA, bukan DVWA-master.

root@ubuntu:~# mv DVWA-master/ /var/www/html/DVWA

move DVWA-master ke sub-directory www-html - Gambar 15

Selesai jalankan perintah mv , lakukan verifikasi untuk pastikan semua file DVWA tersimpan di directory DVWA didalam sub-directory html.

Cek DVWA didalam sub-directory html - Gambar 16

Berikutnya kita lanjut lakukan konfigurasi pada file config.inc.php, sebelumnya kita buat duplikat dan sekaligus lakukan rename nama file dari config.inc.php.dist -> config.inc.php.

root@ubuntu:~#cd /var/www/html/DVWA/config

root@ubuntu:~# cp config.inc.php.dist config.inc.php 

Duplikat file config.inc.php.dist menjadi config.inc.php - Gambar 17

Lakukan edit file config.inc.php dengan utility text editor nano.

Edit file config.inc.php dengan editor nano - Gambar 18

Yang perlu diedit ialah pada area password untuk akses ke database mysql, lebih jelasnya lihat screenshot dibawah.

Dari nano editor, untuk simpan tekan tombol Ctrl+O, lalu untuk keluar tekan tombol Ctrl+X.

Password aktual yang ada di database mysql akan kita set di langkah berikutnya.

Set password untuk akses database mysql - Gambar 19

Lanjut membuat database dvwa di mysql.

Akses ke console mysql - Gambar 20

Buat database dvwa di mysql - Gambar 21

Edit konfig Apache2 file php.ini - Gambar 22

Cari string:  allow_url_include = Off
Dan ganti Off menjadi On , sehingga hasil akhirnya

Search string allow_url_include di file php.ini - Gambar 23

Setelah ketemu Anda langsung dapat lakukan edit pada string agar menjadi:  

allow_url_include = On

Hasil akhirnya dapat dilihat pada screenshot dibawah. Selesai edit lakukan save dengan tekan kombinasi tombol Ctrl+O. Lalu untuk keluar dari nano editor tekan tombol Ctrl+X.

Edit allow_url_include = On di file php.ini - Gambar 24

Lanjut dengan set permission pada directory DVWA didalam sub-directory /var/www/html/DVWA.

root@ubuntu:~# chmod -R 777 /var/www/html/DVWA/

Set permission 777 pada directory DVWA - Gambar 25

Sukses set permission 777 pada directory DVWA - Gambar 26

Lanjut konfig pada file apache2.conf, dengan ketikan perintah:

root@ubuntu:~# nano /etc/apache2/apache2.conf

Lalu tambahkan  string Servername localhost ,lihat contoh screenshot dibawah.

konfig file apache2.conf - Gambar 27

Selanjutnya lakukan kita pastikan service Apache2 running dengan jalankan perintah:

root@ubuntu:~# service apache2 start

root@ubuntu:~# service apache2 restart

Start service Apache2 - Gambar 28

Kita mulai akses ke aplikasi web DVWA dari browser, input pada area alamat url : https://ip-address/DVWA/setup.php , lalu klik tombol "Create/Reset Database" di area bagian bawah.

Reset database DVWA - Gambar 29

Bila sukses reset database DVWA akan tampil seperti gambar dibawah dimana kita diarahkan ke halaman web authentikasi.

Bila ternyata tampilan halaman web tidak berubah masih di posisi reset database, maka Anda dapat merubah url secara manual dengan ketik : http://ip-address/DVWA/. 

Halaman Authentikasi DVWA - Gambar 30

Kita dapat mulai lakukan login pada halaman authentikasi DVWA dengan lakukan input sebagai berikut:

user: admin

password : password

Input login web DVWA - Gambar 31

Sukses login DVWA - Gambar 32

Ada yang hampir ketinggalan, kita dapat lakukan sedikit konfig untuk opsi default level security menjadi low.

Caranya dengan lakukan edit file config.inc.php

root@ubuntu:~# nano /var/www/html/DVWA/config/config.inc.php

Lalu cari string default level security seperti screenshot dibawah, untuk diset menjadi low.

Set default level security menjadi low - Gambar 33

Kemudian dari halaman web GUI bisa kita set dengan klik manual di menu DVWA security , lalu klik drop-down menu pilih "low".

Set DVWA security level menjadi low - Gambar 34

Tujuan dari lakukan set level security menjadi low pada file config.inc.php agar bila OS Ubuntu 14.04 dilakukan restart atau pun Apache2 service dilakukan restart maka secara default security level ialah "low".

4 Manfaat DVWA untuk Belajar Keamanan Web

Setelah berhasil menginstal dan mengkonfigurasi DVWA, saatnya untuk memanfaatkan platform ini untuk belajar keamanan web. Berikut adalah beberapa cara dan contoh skenario yang dapat Anda gunakan:

1. Memahami Serangan Web: DVWA mencakup berbagai jenis serangan web, seperti Cross-Site Scripting (XSS), SQL Injection, dan CSRF. Anda dapat menggunakan DVWA untuk memahami bagaimana serangan ini bekerja dan bagaimana mereka dapat dieksploitasi. Misalnya, Anda dapat mencoba melakukan serangan XSS dan melihat bagaimana skrip jahat dapat disuntikkan ke situs web.

2. Mempelajari Teknik Pengetesan Penetrasi: DVWA adalah platform yang bagus untuk mempelajari dan mempraktikkan teknik pengetesan penetrasi. Anda dapat mencoba berbagai alat dan teknik, dan melihat bagaimana mereka bekerja dalam lingkungan yang aman dan terkendali.

3. Melakukan Latihan: DVWA menawarkan berbagai skenario latihan yang dapat Anda gunakan untuk memperdalam pemahaman Anda tentang keamanan web. Misalnya, Anda dapat mencoba untuk mengeksploitasi celah keamanan pada tingkat keamanan "Low", lalu mencoba lagi pada tingkat keamanan "Medium" atau "High" untuk melihat bagaimana peningkatan keamanan dapat mencegah serangan tersebut.

4. Menguji Keterampilan Anda: Setelah Anda merasa nyaman dengan dasar-dasar keamanan web, Anda dapat menggunakan DVWA untuk menguji keterampilan Anda. Coba tantang diri Anda untuk menemukan dan mengeksploitasi celah keamanan tanpa melihat petunjuk, dan lihat seberapa jauh Anda bisa melangkah.

Ingatlah bahwa tujuan utama DVWA adalah untuk belajar. Jadi, jangan takut untuk membuat kesalahan dan jangan ragu untuk mencoba hal-hal baru. Dengan waktu dan latihan, Anda akan menjadi semakin mahir dalam keamanan web.