Tutorial Programming dan Informasi Teknologi

November 29, 2016

Rela aplikasi lo di Hack???? (ZAP In Action - 1 )



Selamat pagi teman teman semua, Saat beberapa penulis di forum ini  sibuk memberikan pengetahuannya dalam membuat sebuah aplikasi baik berbasis java ataupun .net, saya mencoba membalik perspektif kita. Kali ini kita belajar akan tetapi dimulai dari merusak bukan membuat 😈.

Usaha untuk membangun sebuah aplikasi berbasis web bisa dibilang tidak mudah, beberapa penulis Teknoinspira adalah individu - individu terpilih yang bekerja disalah satu perusahaan IT terkemuka di Indonesia.  Seleksi yang bisa dibilang tidak mudah, dan seleksi itulah yang membuat mereka menjadi programmer yang handal.

Mungkin teman - teman penulis yang ada disini bisa memberikan sedikit info tentang perjuangan mereka menjadi programmer, kemungkinan besar mereka akan menjawab bahwa usaha untuk membangun aplikasi tidak semudah membalikkan telapak tangan (Klo kata Programmer .net "Coding itu tidak semudah tekan F5 di IDE Visual Studio").

Kembali kepada Perspektif perusak😈, Penulis coba mengangkat tentang "Mudahnya" menemukan kelemahan pada website yang kita buat tanpa harus punya pengalaman sebagai developer .net ataupun java, hmmm ngeri khan dengernya, ya betul sekali, bahkan ABG labil 😝bisa melakukannya.

Pada tahapan ini akan kita bahas langkah awal dalam tahapan penetrasi terhadap web , Tahapan yang dimaksud adalah tahapan menemukan kelemahan pada suatu web.

"To the point" aja la yah, kita akan coba menemukan kelemahan pada web dengan menggunakan perangkat lunak yang bernama ZAP (Zed Attack Proxy). Teman teman bisa mengunduh perangkat lunak ini di "https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project", selain tautan untuk download, dilink ini juga banyak tutorial mengenai ZAP itu sendiri. Pertanyaan yang mucul adalah "Harus di Linux?", pilih sesuai dengan OS yang kalian punya, yg biasa dimanjakan "klak klik" ya pilih yg windows duonk. Mantap khan , ga perlu yang jago "console" lah, yang belum tau "console", console itu semacam jendela yang cara interaksinya lewat command (Lebih banyak ngetik dari pada Nunjuk pake mouse) . Makin ngerikan saat tau Tools ini cukup hebat ditangan orang yang sekalipun belum / jarang main console.

Sumber : https://sathisharthars.files.wordpress.com/2015/04/owasp-zaproxy.jpg
Setelah teman teman berhasil mendownload , cari link / tombol ZAP seperti yang terlihat digambar dibawah ini:

Setelah tombol itu diklik , teman teman akan menemui jedela selamat datang yang tampak seperti gambar dibawah ini:

Saat teman teman mendapatkan jendela seperti gambar dibawah ini berarti teman teman telah berhasil meng-install ZAP.
Lanjut klik "start" saja , selanjutnya teman teman bisa meng-klik tanda plus (+), dan pilih "Quick Start' seperti gambar diatas. Berikan input berupa alamat IP kedalam kotak "URL To Attack', lalu klik tombol "Attack" dan selanjutnya biar zap yang bekerja.


Perhatikan beberapa jendela yang ada dibawah, jendela - jendela tersebut menunjukan aktivitas "Scanning", Klik tombol "Scan Progress"


Jendela "Jenis Kelemahan" akan tampil setelah tombol "Scan Progress" anda tekan, Jendela ini menunjukan pencarian kelemahan yang ada pada website target.

Pada gambar diatas terlihat proses pencarian kelemahan pada website target, seiring "update" dari ZAP maka jenis kelemahan akan terus bertambah, "Heartbleed" lumayan baru lah.

Setelah proses Scan selesai, pilih tab "Alerts" dan perhatikan kelemahan yang berhasil terdeteksi


Sampai disini teman teman telah berhasil menemukan kelemahan pada web target, pada tulisan selanjutnya akan kita bahas bagaimana meng-ekploitasi kelemahan tersebut. Sabar yah "Stay Foolish and Stay hungry".

Note : 
1. Semua tulisan diatas adalah opini semata, mohon saran dan kritikan.
2. Tulisan ini untuk edukasi semata, jika terjadi sesuatu maka itu murni ditanggung pelaku
3. Jangan melakukan percobaan terhadap aplikasi langsung jika belum paham kosekuensinya.
4. Pencarian kelemahan yang saya lakukan adalah percobaan terhadap aplikasi yang ada pada sebuah "virtual machine"
5. Disarankan, dilakukan di "environtment" lokal yang anda miliki

Cukup dulu yah, nantikan tulisan selanjutnya 😈


No comments:

Post a Comment

Contact Form

Name

Email *

Message *