PRAKTIKUM DVWA
DISUSUN OLEH :
Jl. Mahar Martanegara No.48, Utama, Kec. Cimahi Selatan, Kota Cimahi
2024
KATA PENGANTAR
Puji syukur saya panjatkan kehadirat Tuhan Yang Maha Esa. Atas berkat rahmat yang
telah diberikan kepada saya sehingga saya telah berhasil menyelesaikan Laporan Tugas
Praktikum SKJ ini. Tidak lupa juga saya mengucapkan terima kasih kepada semua pihak
yang telah berusaha berkontribusi dalam mengejakan laporan tugas ini.
Laporan ini di buat untuk memenuhi tugas dari guru di bidang keahlian Sistem
Informasi Jaringan dan Aplikasi pada mata pelajaran SKJ. Sebagai penyusun, saya berharap
pembaca laporan tugas ini dapat mengambil hal positif dan tentunya dapat menambah
wawasan.
Saya juga menyadari bahwa masih terdapat kekurangan, baik dari penyusunan
maupun tata bahasa penyampaian dari tugas yang saya buat. Oleh karena itu, saya dengan
rendah hati menerima saran dan kritik dari pembaca agar saya dapat memperbaiki Laporan
yang saya buat. Semoga Laporan yang saya buat ini dapat menambah wawasan bagi kita
semua.
Penulis
PAGE \* MERGEFORMAT 13
DAFTAR IS
KATA PENGANTAR..................................................................................................................................ii
DAFTAR ISI.............................................................................................................................................iii
BAB I......................................................................................................................................................1
PENDAHULUAN......................................................................................................................................1
1.2 Tujuan....................................................................................................................................1
BAB II.....................................................................................................................................................2
PEMBAHASAN........................................................................................................................................2
2.3 Menjelaskan apa yang dimaksud dengan SQL Injection dan XS!...............................................2
BAB III....................................................................................................................................................4
ISI...........................................................................................................................................................4
PAGE \* MERGEFORMAT 13
3.4 Command Injection..................................................................................................................11
3.5 Nikto........................................................................................................................................12
BAB IV..................................................................................................................................................13
PENUTUP.............................................................................................................................................13
4.1 Kesimpulan..............................................................................................................................13
4.2 Sumber................................................................................................................................13
PAGE \* MERGEFORMAT 13
BAB I
PENDAHULUAN
Praktikum DVWA (Damn Vulnerable Web App) dilakukan dalam konteks keamanan
sistem informasi yang kini sangat vital. DVWA merupakan sebuah aplikasi web yang
sengaja rentan, dirancang untuk membantu pengguna memahami dan menguji kerentanan
keamanan pada aplikasi web. Dengan fokus pada pemahaman kerentanan, praktikum DVWA
memberikan pengalaman praktis yang dapat dipahami oleh berbagai kalangan.
1.2 Tujuan
Tujuan praktikum DVWA (Damn Vulnerable Web App) adalah untuk melatih skill dan
tools para pakar keamanan sistem dalam lingkungan yang legal, membantu para developer
website untuk lebih memahami keamanan pada website yang mereka buat, dan membantu
pelajar atau guru untuk belajar keamanan aplikasi web.
DVWA digunakan untuk pelatihan web, pentester, dan profesional Cyber Security, serta
memberikan pengalaman praktis yang dapat dipahami oleh berbagai kalangan. Dalam
praktikum ini, mahasiswa akan mempelajari kerentanan web dari yang paling umum hingga
yang paling rumit, dengan beberapa level keamanan yang memiliki celah-celah kerentanan
berbeda-beda.
PAGE \* MERGEFORMAT 13
6. Bagaimana cara meningkatkan keamanan jaringan nirkabel agar tidak mudah
diretas?
BAB II
PEMBAHASAN
Fungsinya adalah untuk melatih skill dan tools para pakar keamanan sistem dalam
lingkungan yang legal, membantu para developer website untuk lebih memahami
keamanan pada website yang mereka buat, dan membantu pelajar atau guru untuk belajar
keamanan aplikasi web. DVWA juga digunakan untuk pelatihan web, pentester, dan
profesional Cyber Security.
2.3 Menjelaskan apa yang dimaksud dengan SQL Injection dan XS!
WPA SQL Injection adalah teknik penyerangan yang mengambil advantage dari
kesalahan pada aplikasi web yang memproses data masuk dari pengguna tanpa validasi
terlebih dulu. Hal ini dapat menimbulkan masalah karena data yang diinputkan oleh
pengguna dapat langsung dieksekusi sebagai perintah SQL, yang dapat mengakibatkan
kebocoran data, eksekusi perintah yang tidak diharapkan, dan lainnya.
Cross Site Scripting (XSS) adalah teknik penyerangan yang mengambil advantage
dari kesalahan pada aplikasi web yang tidak memvalidasi input pengguna. Hal ini dapat
menimbulkan masalah karena data yang diinputkan oleh pengguna dapat langsung
dieksekusi sebagai script JavaScript, yang dapat mengakibatkan kebocoran data, eksekusi
skrip yang tidak diharapkan, dan lainnya.
PAGE \* MERGEFORMAT 13
2.4 Menjelaskan apa yang dimaksud dengan XSS DOM, XSS Reflected, dan XSS
Stored!
Definisi: XSS Tersimpan adalah jenis yang paling merusak di mana penyerang
menyuntikkan konten berbahaya, biasanya kode JavaScript, ke dalam aplikasi
target. Kode berbahaya ini disimpan secara permanen oleh aplikasi, misalnya di
database.
Definisi: XSS yang direfleksikan terjadi ketika muatan penyerang adalah bagian
dari permintaan yang dikirim ke server dan kemudian direfleksikan kembali dalam
respons HTTP. Penyerang menggunakan teknik rekayasa sosial untuk mengelabui
korban agar membuat permintaan ke server.
Definisi: XSS berbasis DOM adalah serangan tingkat lanjut di mana skrip sisi klien
menulis data yang disediakan pengguna ke Model Objek Dokumen (DOM) dan
kemudian membaca dan mengeluarkannya ke browser. Payload berbahaya tidak
pernah dikirim ke server, sehingga lebih sulit dideteksi.
Contoh: Jika data salah ditangani, penyerang dapat menyuntikkan payload yang
disimpan sebagai bagian dari DOM dan dieksekusi ketika dibaca kembali dari
DOM tersebut..
PAGE \* MERGEFORMAT 13
BAB III
ISI
PAGE \* MERGEFORMAT 13
2. Extract zip menjadi file
PAGE \* MERGEFORMAT 13
3. Lalu coba masuk ke laman
login.php, dan pasti muncul error
seperti berikut
PAGE \* MERGEFORMAT 13
7. Pada XAMPP klik config
padaapache dan pilih ‘php.ini’
PAGE \* MERGEFORMAT 13
13. Cari recaptcha_public_key dan
private_key pada laman yang
kosong isikan dengan berikut
14. Lalu restart apache pada
XAMPP
PAGE \* MERGEFORMAT 13
18. Nah Ketika dicek pada setup.php
semuanya sudah terinstall
PAGE \* MERGEFORMAT 13
nya
6. Berikut detail dari isi database
DVWA yang sudah terinstall
7. Lalu buka halaman login.php
untuk masuk pada halaman login
8. Tampilan awal dari halaman
login adalah sebagai berikut
PAGE \* MERGEFORMAT 13
13. Ini script selanjutnya dengan
output sebagai berikut
16. XSS
XSS DOM
XSS Reflected
PAGE \* MERGEFORMAT 13
XSS Stored
PAGE \* MERGEFORMAT 13
2. Lalu pada IP yang DHCP kita
bisa lihat directory dari IP
Device yang kita sendiri
3.5 Nikto
N Perintah/Keterangan Hasil Gambar
o
1. nikto --host
http://192.168144.240/DVW
A-1.9/
2. Nikto adalah pemindai web server Open Source (GPL) yang melakukan pengujian
menyeluruh terhadap server web untuk beberapa item, termasuk lebih dari 6700 file /
program yang berpotensi berbahaya, memeriksa versi lawas lebih dari 1250 server, dan
masalah spesifik versi pada lebih dari 270 server. NIkto juga memeriksa item konfigurasi
server seperti adanya beberapa file indeks, pilihan server HTTP, dan akan mencoba untuk
mengidentifikasi server web dan perangkat lunak yang diinstal. Item pindaian dan plugin
sering diperbarui dan dapat diperbarui secara otomatis.
Nikto tidak dirancang sebagai alat diam-diam. Nikto akan menguji server web dalam
PAGE \* MERGEFORMAT 13
waktu tercepat, dan jelas ada di file log atau ke IPS / IDS. Namun, ada dukungan untuk
metode anti-IDS LibWhisker jika Anda ingin mencobanya (atau uji sistem IDS Anda).
BAB IV
PENUTUP
4.1 Kesimpulan
Kita dapat menyimpulkan bahwa praktikum DVWA adalah sebuah simulasi yang memungkinkan
pengguna untuk memahami dan menguji keamanan web secara langsung. Melalui DVWA,
peserta dapat belajar tentang berbagai kerentanan keamanan web seperti SQL injection, cross-site
scripting, dan lainnya. Selain itu, praktikum ini memberikan pengalaman praktis yang sangat
berharga dalam memahami cara melindungi situs web dari serangan cyber. Dengan demikian,
praktikum DVWA tidak hanya meningkatkan pemahaman tentang keamanan web tetapi juga
memberikan keterampilan yang diperlukan untuk melindungi informasi secara efektif di dunia
digital yang terus berkembang.
4.2 Sumber
https://spada.kemdikbud.go.id/course/view.php?id=3175
https://id.wikipedia.org/wiki/DVWA
https://belajarphp.net/belajar-web-security-dengan-tools-dvwa/
https://lms.onnocenter.or.id/wiki/index.php/DVWA
PAGE \* MERGEFORMAT 13