Praktek Pentest Website (Lanjutan) Berdasarkan OWASP TOP 10 - Rian010/Journal GitHub Wiki

Praktek Pentest Website (Lanjutan) Berdasarkan OWASP TOP 10

OWASP Top 10 adalah standar internasional yang menjelaskan sepuluh jenis keamanan terbesar pada website. Berikut adalah beberapa jenis keamanan yang dapat dicek dalam praktek pentest website (lanjutan):

Injection

Injection adalah serangan yang menginputkan query atau script yang tidak diinginkan ke dalam sistem. Untuk melakukan pengecekan injection, penetester dapat menggunakan beberapa tools seperti sqlmap, Havij, atau BurpSuite. Contoh soal injection adalah sebagai berikut:

http://example.com/search.php?query=test

Penetester dapat mengubah query menjadi sebagai berikut:

http://example.com/search.php?query=test' UNION SELECT * FROM users --

Broken Authentication and Session Management

Broken Authentication and Session Management adalah serangan yang mengambil kontrol atau mengubah otentikasi atau sesi pengguna. Untuk melakukan pengecekan broken authentication and session management, penetester dapat menggunakan beberapa tools seperti BurpSuite atau ZAP. Contoh soal broken authentication and session management adalah sebagai berikut:

http://example.com/admin/login.php

Penetester dapat mengubah header cookies menjadi sebagai berikut:

sessionID=abcdefg12345; userID=1; userRole=admin

Sensitive Data Exposure

Sensitive Data Exposure adalah serangan yang mengambil data sensitif yang disimpan atau diproses oleh sistem. Untuk melakukan pengecekan sensitive data exposure, penetester dapat menggunakan beberapa tools seperti DirBuster atau gobuster. Contoh soal sensitive data exposure adalah sebagai berikut:

http://example.com/data.php

Penetester dapat mencoba mengakses url tersebut dengan beberapa metode seperti directory listing atau file inclusion.

XML External Entity (XXE)

XML External Entity (XXE) adalah serangan yang mengambil file atau mengakses jaringan yang tidak diinginkan dengan menggunakan entitas XML. Untuk melakukan pengecekan XXE, penetester dapat menggunakan beberapa tools seperti BurpSuite atau ZAP. Contoh soal XXE adalah sebagai berikut:

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<root>&xxe;</root>

Broken Access Control

Broken Access Control adalah serangan yang mengakses resource yang tidak diizinkan oleh sistem. Untuk melakukan pengecekan broken access control, penetester dapat menggunakan beberapa tools seperti BurpSuite atau ZAP. Contoh soal broken access control adalah sebagai berikut:

http://example.com/profile.php?userID=123

Penetester dapat mengubah userID menjadi sebagai berikut:

http://example.com/profile.php?userID=456

Security Misconfiguration

Security Misconfiguration adalah serangan yang mengambil advantage dari konfigurasi yang tidak benar atau tidak aman pada sistem. Untuk melakukan pengecekan security misconfiguration, penetester dapat menggunakan beberapa tools seperti Nikto atau Nessus. Contoh soal security misconfiguration adalah sebagai berikut:

http://example.com/.env

Penetester dapat mencoba mengakses file tersebut untuk mendapatkan informasi konfigurasi sistem.

Demikian beberapa contoh praktek pentest website (lanjutan) berdasarkan OWASP TOP 10. Selamat mencoba!

images (10)

⚠️ **GitHub.com Fallback** ⚠️