Module 1: Foundations

Pengantar Web Penetration Testing

25 menit
Intermediate

Apa itu Web Penetration Testing?

Web penetration testing adalah proses sistematis untuk menemukan dan mengeksploitasi kerentanan pada web application dengan tujuan membantu organisasi memperbaiki postur keamanan mereka sebelum attacker sungguhan melakukannya.

Seorang web pentester berpikir seperti attacker, menggunakan tools dan teknik yang sama — namun dengan izin eksplisit dan tujuan defensif.

Penting: Always Get Written Permission
Jangan pernah melakukan pentesting pada sistem yang tidak kamu miliki atau tidak memiliki izin tertulis. Unauthorized access adalah tindakan ilegal di hampir semua yurisdiksi.

Metodologi OWASP Testing Guide

OWASP (Open Web Application Security Project) menyediakan framework komprehensif untuk web application security testing:

Fase-fase utama:

  1. Information Gathering — Mengumpulkan informasi tentang target (subdomain, teknologi, endpoints)
  2. Configuration & Deployment — Memeriksa konfigurasi server, SSL/TLS, HTTP headers
  3. Identity Management — Menguji mekanisme autentikasi dan otorisasi
  4. Input Validation — Testing SQL injection, XSS, command injection, dll
  5. Error Handling — Memeriksa error messages yang mengekspos informasi sensitif
  6. Cryptography — Mengevaluasi implementasi enkripsi
  7. Business Logic — Testing alur bisnis yang bisa disalahgunakan

Setup Lab Environment

Instalasi Burp Suite Community Edition

Burp Suite adalah intercepting proxy yang menjadi tool utama setiap web pentester.

# Download dari https://portswigger.net/burp/communitydownload
# Jalankan installer sesuai OS

# Atau gunakan Kali Linux yang sudah include Burp Suite:
burpsuite

Konfigurasi Proxy di Browser

  1. Buka Burp Suite, pergi ke Proxy > Options
  2. Pastikan listener aktif di 127.0.0.1:8080
  3. Di browser, set proxy ke 127.0.0.1:8080
  4. Install PortSwigger CA Certificate di browser untuk intercept HTTPS
Burp Suite → Proxy → Options → Export CA Certificate
Firefox: about:preferences#privacy → Certificates → Import
Chrome: Settings → Privacy → Certificates → Import

Target Lab: DVWA dan PortSwigger Web Academy

# Setup DVWA dengan Docker
docker run --rm -it -p 80:80 vulnerables/web-dvwa

# Atau gunakan lab gratis di:
# https://portswigger.net/web-security/all-labs
# https://www.hackthebox.com (Machines & Challenges)
# https://tryhackme.com

HTTP Basics Review

Sebelum mulai pentesting, pastikan kamu memahami struktur HTTP request/response:

POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Cookie: session=abc123

username=admin&password=password123

HTTP/1.1 302 Found
Location: /dashboard
Set-Cookie: session=xyz789; HttpOnly; Secure; SameSite=Strict
Content-Type: text/html

Headers penting yang selalu diperiksa:

  • X-Frame-Options — proteksi clickjacking
  • Content-Security-Policy — proteksi XSS
  • Strict-Transport-Security — force HTTPS
  • X-Content-Type-Options — MIME sniffing protection
  • Set-Cookie flags — HttpOnly, Secure, SameSite

Checklist Sebelum Memulai

  • Scope of engagement sudah jelas dan terdokumentasi
  • Written permission sudah diperoleh
  • Lab environment sudah siap (Burp Suite, target application)
  • Backup dan snapshot VM sebelum mulai
  • Kamu paham apa yang boleh dan tidak boleh dilakukan