Website Security Audit with OWASP ZAP BackBox Linux

Monday, November 30, 2015

Untuk mencegah tindakan peretasan yang dilakukan oleh attacker yang tidak bertangung jawab alangkah baiknya kita melakukan audit website terlebih dahulu sebelum website di launch. Hal ini memungkinkan kita untuk menemukan bug pada website kita dan segera menambalnya sebelum ditemukan oleh orang lain.
Di tutorial kali ini saya menggunakan ZAP untuk melakukan scanning bug website.
NB : saya melakukan testing di local server sehingga saya pastikan bahwa target yang saya gunakan adalah milik saya sendiri dan tidak merugikan orang lain.

ZAP sudah tersedia di OS Pentesting BackBox Linux.
Buka terminal lalu masukkan command : zaproxy

Setelah terbuka, masukkan target di kolom url to attack

Tunggu sampai proses scan selesai.
Di kolom tools , pilih fuzz.., lalu selet pada file yang ingin di scan lebih dalam .
Lalu klik Add > File Fuzzer > jbrofuzz

Selanjutnya, setelah scan selesai, pilih url yang error , klik kanan, dan open with browser.
Tinggal scan via sqlmap.
Bug yang bisa di scan oleh ZAP ini bukan hanya sql injection.

jika ada yang kebingungan , silahkan tanya via kolom komentar atau kirim email ke yuyudhn@outlook.com
Sekian tutorial kali ini, semoga bermanfaat.

Artikel Terkait Linux ,Security ,Tools

2 comments:

  1. Gan mau tanya backbox cocok gak untuk digunakan sehari2? Selain utk pentest?

    ReplyDelete
  2. salam . kemarin saya buat SI trus saya mau lihat sampai mana keamanannya , dan saya udah liat tutorial agan, tapi saya gak ngerti cara liat IP pada SI saya, karna SI yang saya buat kan belom di posting masinh menggunakan XAMPP

    ReplyDelete