maaf juga kalo tritnya berantakan, soalnya masih nubi.
oke, langsung aja ga pake lama. Apa itu webgoat? webgoat adalah aplikasi berbasis java (JSP) untuk simulasi hacking. Disini, kita dapat melakukan pen test, seperti sql injection, xss, dsb (banyak buanget).
beberapa tools yg harus ada:
- browser (ya iyalah, web hacking kok ga pk browser :ngakak)
- webgoat (ini vuln webnya)
- webscarab (ini tools hackingnya, semacam aplikasi MITM)
tools tersebut bisa agan2 download http://sourceforge.net/projects/owasp/files/
Pada trit ini, saya menggunakan OS wind*ws 7 dengan browser firef*x 4
Cara penggunaan webgoat:
- jalankan file webgoat.bat (port 80) atau webgoat_8080.bat (port 8080)
- habis itu, di browser, pilih new tab, ketikkan localhost/webgoat/attack (buat yg jalanin webgoat.bat), atau ketikkan localhost:8080/webgoat/attack (buat yg jalanin webgoat_8080.bat)
- muncul authentikasi minta username dan password, masukkan username=guest, password=guest, kemudian bakal dimunculin halaman home webgoatnya:
- klik start webgoat dan selamat menikmati~~ eh, maksudnya selamat hacking
- jalankan webscarab.jar (di kompie sudah harus ada java, kl belum, silakan mendownload dulu)
- pada bagian intercept, centang "Intercept requests" (supaya setiap request bisa kita modify)
- kemudian kita ubah settingan proxy di firefox. caranya: pilih tools->options, pada tab advance, pilih setting, lalu atur jadi:
- oke, berikutnya kita refresh webgoatnya lagi, tapi dengan mengubah urlnya menjadi: localhost./webgoat/attack (utk port 80) atau localhost.:8080/webgoat/attack (utk port 8080). Perhatikan tanda titiknya
- ketika menekan ENTER, webscarab akan "bereaksi" memunculkan 1 window baru bertitle "Edit Request", nah, disini, kita bisa mengedit semua request data yg akan dikirim ke server, kita dapat mengubah SessionID, value data, dsb.
maafkan sekiranya trit ini membingungkan agan2 sekalian. selamat belajar hacking!!
