Melakukan penetrasi terhadap aplikasi web dan jaringan lokal adalah salah satu keterampilan inti dalam dunia ethical hacking. Untuk memulainya secara sistematis dan aman, kita perlu memahami kerangka kerja yang digunakan oleh komunitas keamanan global: OWASP Top 10.
OWASP (Open Web Application Security Project) adalah organisasi nirlaba yang secara berkala merilis daftar 10 jenis kerentanan paling umum dan berbahaya pada aplikasi web. Daftar ini menjadi standar utama dalam dunia penetration testing (pentest).
Dalam artikel ini, kita akan membahas secara rinci OWASP Top 10 dan bagaimana masing-masing dapat diuji, dimanfaatkan, dan didokumentasikan oleh seorang pentester dalam lingkungan lab atau jaringan internal.
A1: Broken Access Control
Kerentanan ini terjadi saat aplikasi tidak membatasi hak akses pengguna dengan benar. Akibatnya, pengguna biasa bisa mengakses data atau fungsi yang seharusnya dibatasi.
Contoh:
- Akses ke dashboard admin tanpa login sebagai admin
- Modifikasi URL:
/user/view/1001menjadi/user/view/1002
Cara Uji:
- Ubah ID di URL
- Gunakan BurpSuite repeater untuk mengirim ulang permintaan
- Cek apakah ada perbedaan respon (status 200 OK vs 403 Forbidden)
Tools:
- Burp Suite
- OWASP ZAP
A2: Cryptographic Failures (Dulu: Sensitive Data Exposure)
Kerentanan ini muncul saat data penting (password, nomor kartu kredit, dll.) tidak dienkripsi dengan baik.
Contoh:
- Password disimpan dalam format plaintext di database
- Tidak menggunakan HTTPS untuk login form
Cara Uji:
- Cek form login: apakah menggunakan HTTPS?
- Coba intercept data pakai BurpSuite, lihat apakah password dikirim dalam bentuk asli
Tools:
- Wireshark
- SSL Labs
A3: Injection (SQL, NoSQL, OS, LDAP)
Serangan injeksi terjadi saat input user tidak difilter dengan benar, memungkinkan perintah berbahaya dijalankan di server.
Contoh:
- SQL Injection:
' OR 1=1-- - Command Injection:
; ls -la
Cara Uji:
- Input karakter aneh di form:
' " < > ; -- - Gunakan SQLMap untuk eksploitasi otomatis
Tools:
- SQLMap
- Burp Suite
A4: Insecure Design
Bukan bug teknis, tapi kelemahan dalam perancangan sistem. Contohnya: tidak adanya kontrol dua faktor, atau form yang bisa diakses tanpa validasi sisi server.
Cara Uji:
- Telaah desain aplikasi
- Uji semua asumsi keamanan dari sisi user dan server
Tools:
- Manual testing
- Threat modeling tools
A5: Security Misconfiguration
Kesalahan konfigurasi server atau aplikasi yang menyebabkan celah keamanan.
Contoh:
- Direktori
.git/atau.envbisa diakses publik - Banner server terlalu informatif
Cara Uji:
- Gunakan Dirsearch untuk menemukan direktori terbuka
- Scan port dan banner info dengan Nmap
Tools:
- Dirsearch
- Nmap
- Nikto
A6: Vulnerable and Outdated Components
Menggunakan software/library yang sudah usang dan memiliki celah keamanan.
Cara Uji:
- Identifikasi framework, CMS, plugin yang digunakan
- Cek versinya, bandingkan dengan database CVE
Tools:
- WhatWeb
- Wappalyzer
- Searchsploit
A7: Identification and Authentication Failures
Kerentanan terkait login: password lemah, brute-force login, tidak ada lockout.
Cara Uji:
- Tes brute-force login (dengan izin)
- Coba bypass autentikasi (login tanpa password)
Tools:
- Hydra
- Burp Intruder
A8: Software and Data Integrity Failures
Contohnya: aplikasi mengunduh update dari server tanpa memverifikasi integritas file.
Cara Uji:
- Uji apakah file bisa diubah dalam proses update
- Cek apakah signature digital diverifikasi
Tools:
- Manual analysis
- Dependency-check tools
A9: Security Logging and Monitoring Failures
Tanpa log keamanan dan sistem deteksi, serangan bisa berlangsung lama tanpa terdeteksi.
Cara Uji:
- Coba akses endpoint tanpa hak dan lihat apakah ada pencatatan
- Cek file log: apakah aktivitas tercatat?
Tools:
- Splunk (SIEM)
- Logwatch
- Manual log review
A10: Server-Side Request Forgery (SSRF)
SSRF memungkinkan attacker memanfaatkan server untuk mengakses sumber daya internal.
Contoh:
- Aplikasi mengizinkan pengguna memasukkan URL untuk di-fetch oleh server
Cara Uji:
- Input URL
http://localhost:8000atauhttp://127.0.0.1:22 - Lihat respon
Tools:
- Burp Collaborator
- SSRFmap
Memahami dan menguji OWASP Top 10 adalah landasan penting dalam pentesting website. Seorang ethical hacker wajib memahami celah ini tidak hanya secara teknikal, tapi juga dari sisi risiko bisnis dan dampaknya.
Gunakan tools dengan bijak, selalu minta izin sebelum melakukan uji coba ke sistem yang bukan milik pribadi. Jangan hanya jadi pengguna tools, tapi pahami cara kerjanya, cara memperbaikinya, dan bagaimana melaporkan temuan secara profesional.
“Hacker etis bukan perusak sistem, tapi penjaga garda terdepan yang tahu bagaimana sistem dirusak.”
Leave a Reply