Foto User
Penetration Testing on a Web with OWASP ZAP

Chanda Falsamei Lubis

Sosial Media


0 orang menyukai ini
Suka

Summary

OWASP ZAP (Zed Attack Proxy) adalah salah satu tools web security bersifat open- source yang paling banyak digunakan. Dikembangkan oleh OWASP (Open Web Application Security Project), ZAP dirancang untuk membantu developer dan Security Tester dalam menemukan kelemahan keamanan di aplikasi web mereka. ZAP dapat digunakan untuk melakukan uji penetrasi manual dan otomatis.

Description

Fitur OWASP ZAP  

Berikut adalah beberapa fitur utama dari OWASP ZAP :

  • Penetration Testing ZAP dirancang untuk melakukan penetration testing pada aplikasi web untuk mengidentifikasi kerentanan keamanan seperti SQL injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), dan lainnya. 
  • Proxy Functionality ZAP dapat diatur sebagai proxy antara pengguna dan aplikasi web yang diuji. Ini memungkinkan ZAP untuk memantau dan mengintersep lalu lintas HTTP dan HTTPS, membantu pengguna menganalisis dan memodifikasi permintaan dan tanggapan.
  • Automated Scanning ZAP menyediakan fungsionalitas pemindaian otomatis untuk mengidentifikasi kerentanan keamanan tanpa campur tangan manusia secara langsung. Ini mencakup pemindaian terhadap berbagai kerentanan yang umumnya ditemui dalam aplikasi web.  
  • Spider Functionality ZAP dapat melakukan crawling atau spidering otomatis terhadap situs web untuk mengidentifikasi semua halaman yang mungkin ada. Ini membantu dalam memahami struktur aplikasi dan memastikan seluruh permukaan serangan diuji.
  • Scripting dan Automasi ZAP mendukung scripting dan otomasi, memungkinkan pengguna membuat skrip kustom untuk melakukan tugas tertentu atau mengotomatiskan beberapa aspek pengujian keamanan. 
  • Reporting Setelah melakukan pemindaian, ZAP dapat menghasilkan laporan keamanan yang memberikan ringkasan hasil pemindaian, daftar kerentanan yang ditemukan, dan rekomendasi untuk mitigasi.
  • Plug-in Architecture ZAP memiliki arsitektur yang memungkinkan pengguna untuk menginstal plug-in tambahan. Ini memungkinkan penyesuaian dan perluasan fungsionalitas ZAP sesuai kebutuhan pengguna.
  • Authentication Testing ZAP mendukung pengujian otentikasi dengan memungkinkan pengguna untuk menyimulasikan login dan menguji bagaimana aplikasi berperilaku terhadap pengguna yang terotentikasi.

 

Di sini, saya akan melakukan Penetration Testing pada sebuah web, yaitu https://ppdb.disdik.sumutprov.go.id/ menggunakan OWASP ZAP. Berikut langkah-langkahnya :

  • Menu Tools → Options → Network → Server Certificate → Generate → Save
  • Ganti konfigurasi proxy pada browser agar mengarahkan lalu lintas melalui alamat dan port yang digunakan oleh ZAP (umumnya, alamat localhost dan port 8080).
  • Buka Firefox / browser apapun → Open Application Menu → Settings → Privacy & Security → Certificates → View Certificates → Import file yang telah    disimpan tadi → Lalu klik OK.
  • Buka Firefox / browser apapun → Open Application Menu → Settings → General → Network Settings → Settings → Ubah ke manual Proxy dengan isi “alamat localhost dan port 8080” → Lalu klik OK.

 

Spidering akan membuat peta situs web.

  • Start Scan → Setelah selesai scan → Klik Export → Save.
  • Dan ini merupakan hasil report dari Spidering yang dilakukan.

 

 

Dan inilah tampilan hasil report dari attack yang dilakukan tadi.

 

Tabel ini menunjukkan jumlah pemberitahuan dari setiap jenis pemberitahuan, bersama dengan tingkat risiko jenis pemberitahuan.

 

Informasi Course Terkait
  Kategori: Cyber Security
  Course: Cyber Security SIB Batch 6