Belajar Ethical Hacking dengan bWAPP

Pernah kepikiran pengen nyoba eksploitasi celah keamanan di web application? Atau mau mengasah skill ethical hacking kamu? Kalau iya, bWAPP (Buggy Web Application) bisa jadi pilihan yang pas.

bWAPP adalah aplikasi web yang sengaja dibuat rentan terhadap berbagai jenis serangan. Tujuannya biar kamu bisa belajar mendeteksi, menganalisis, dan mengeksploitasi celah keamanan itu secara legal — tanpa merusak sistem orang lain.

Kalau DVWA (Damn Vulnerable Web Application) sudah pernah kamu coba, bWAPP ini ibarat versi “level up”-nya. Menurut pembuatnya dari ITSEC Games, ada lebih dari 100 kerentanan yang bisa kamu eksplorasi di sini.

Baca:

• Belajar Keamanan Website Menggunakan DVWA

Beberapa Bug yang Bisa Kamu Temui di bWAPP

• SQL Injection (termasuk Blind SQL Injection, Boolean-based, Time-based)
• HTML, iFrame, SSI, OS Command, PHP, XML, XPath, LDAP, dan SMTP Injection
• AJAX & Web Services (JSON/XML/SOAP) issues
• Heartbleed vulnerability (OpenSSL) + detection script
• Shellshock vulnerability (CGI)
• Cross-Site Scripting (XSS) dan Cross-Site Tracing (XST)
• Cross-Site Request Forgery (CSRF)
• File upload tanpa pembatasan, backdoor files, dan directory traversal
• Local & Remote File Inclusion (LFI/RFI)
• Server Side Request Forgery (SSRF)
• XML External Entity (XXE)
• Konfigurasi service yang nggak aman (FTP, NTP, Samba, SNMP, VNC, WebDAV, dll.)
• POODLE, HTTP Parameter Pollution, DoS (Slow Post, SSL Exhaustion, XML Bomb), dan banyak lagi.

Level

Di bWAPP sendiri, level keamanan dibagi menjadi tiga: Low, Medium, dan High.

• Low: Tidak ada proses sanitasi sama sekali pada fiturnya, sehingga payload dasar pun biasanya langsung berhasil menembus.
• Medium: Ada sedikit filtering, tapi masih bisa dieksploitasi dengan trik bypass tertentu.
• High: Sejauh ini tidak dapat dieksploitasi. Level ini menjadi contoh penerapan secure coding yang benar.

Penting Diperhatikan

Karena jumlah dan tingkat kerentanannya banyak banget, jangan instal bWAPP di sistem operasi utama kamu. Gunakan Virtual Machine atau server khusus lab pentest untuk mencegah risiko orang lain ikut masuk ke sistem kamu.

Cara Install

Bisa pakai setup manual (LAMP stack) atau langsung pilih bee-box, yaitu VM khusus yang sudah berisi bWAPP siap pakai.

• Download bWAPP: [Link bWAPP]
• Download bee-box (Pre-installed VM): [Link bee-box]

Disini saya unduh yang versi bee-box. Ekstrak, lalu load melalui VMWare.

Berikut kredensial defaultnya:

bee : bug

root : bug

MySQL creds:

root : bug

Oh iya by default bee-box menggunakan network Bridge. Kalian bisa ubah ke NAT.

Oh iya, di bee-box sendiri kemungkinan ada perbedaan mapping keyboard antara pembuat VM dengan kita. Pengalaman saya ketika mengetik huruf "w", yang muncul adalah "z". Kalian bisa perbaiki dengan command:

sudo mkdir -p /etc/X11/Xsession.d

echo 'setxkbmap us' | sudo tee /etc/X11/Xsession.d/80setxkbmap > /dev/null

sudo chmod +x /etc/X11/Xsession.d/80setxkbmap

Oke, Sekarang kita uji coba. Cek IP VM dengan perintah ifconfig.

Lalu buka melalui browser IP tersebut. Contoh:

• http://172.16.8.165/bWAPP/login.php

Masuk dengan user bee dan password bug. Lalu kita bisa mulai melakukan eksplorasi.

Oke mungkin next time kita akan bahas challenge di bWAPP ini ya. Sekian sharing kali ini.