Write up Multiple vulnerability DVWA

Sebelum memulai ada beberapa hal yang harus disetting dari level pengujian ini

Pada gambar dibawah ini terdapat setting DVWA security untuk level-level tertentu.

Berikut ini adalah deskripsi dari masing-masing level yang terdapat pada DVWA.

1. Brute Force

Form ini digunakan untuk pengujian brute force tool & membuktikan tidak amannya password yang lemah. Attacker menggunakan burp suite free edition untuk melakukan serangan

• Brute Force (Low Level)

Sebagai acuan username yang valid dan tidak valid kita melihat respon massage nya ( incorrect ) yang mana ini akan di aplikasi sebagai nilai true pada intruder.

coba setting intrudernya di burp suite

• Result Intruder

2. Command Injection

Command Injection adalah kerentanan format string yang terjadi ketika input pengguna yang tidak difilter lalu diteruskan ke shell sistem (system(), exec(), dll). Seorang penyerang dapat mengeksploitasi kerentanan ini dengan urutan perintah yang ditambahkan ke format yang sesuai untuk mengeksekusi perintah shell.

• Command Injection (Low)

• Command Injection (Medium)

Tidak ada perbedaan antara command injection medium dengan command injection low. Masih bisa menampilkan result dengan insert command secara langsung.

3. CSRF

Cross-site Request Forgery (CSRF) atau bisa disebut dengan one-click attack adalah sebuah serangan yang menggunakan injeksi script baik itu berupa kode javascript, link, atau gambar dengan memanfaatkan token autentikasi

• CSRF (Low)

Dengan melakukan modify file dari form password dari suatu page website.

Copy and save potongan script dibawah.

Menjadi seperti ini untuk melakukan change password

Dari hasil editan diatas akan menampilkan html dibawah ini bisa sisipkan di menu sebuah website dan di manipulasi form nya agar tidak ketahuan

4. SQL Injection

SQL Injection merupakan teknik eksploitasi dengan cara memodifikasi perintah sql pada form input aplikasi yang memungkinkan penyerang untuk dapat mengirimkan sintaks ke database aplikasi.

• Low Level

5. XSS

XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

• XSS (Reflected)

Reflected XSS merupakan tipe XSS yang paling umum dan yang paling mudah dilakukan oleh penyerang. Penyerang menggunakan social engineering agar tautan dengan kode berbahaya ini diklik oleh pengguna. Dengan cara ini penyerang bisa mendapatkan cookie pengguna yang bisa digunakan selanjutnya untuk membajak session pengguna

• Low Level

• XSS (Stored)

XSS stored adalah instruksi XSS yang disimpan dalam database & akan aktif setiap kali form yang terinfeksi direload.

• Low Level

 <script>alert(‘apip’)</script

Referensi:

Command Injection | Mukhammad Akbar

Apa Itu CSRF Bagaimana Cara Kerjanya? dan Tips Pencegahannya

SQL Injection

XSS - Wikipedia bahasa Indonesia, ensiklopedia bebas