Analisa Security Header pada Website Menggunakan Shcheck. Saat melakukan pentesting aplikasi berbasis web, salahsatu yang harus diperiksa adalah sudah benar atau tidaknya penerapan security pada header website tersebut. Biasanya saya melakukan pengecekan melalui website securityheaders.com dimana output dari website tersebut termasuk yang paling lengkap.
Tampilkan postingan dengan label Security. Tampilkan semua postingan
Tampilkan postingan dengan label Security. Tampilkan semua postingan
Menentukan Severity Kerentanan Menggunakan CVSS
Sabtu, 25 September 2021
Cara Menghitung CVSS. Oke ini hanyalah catatan pribadi bagi saya mengenai bagaimana kita menentukan sebuah severity dari temuan bug menggunakan Common Vulnerability Scoring System atau CVSS. Common Vulnerability Scoring System adalah standar industri yang bebas dan terbuka untuk menilai tingkat severity kerentanan keamanan sistem. CVSS mencoba untuk menetapkan skor severity dari sebuah kerentanan, memungkinkan responden untuk memprioritaskan object mana yang harus diperbaiki terlebih dahulu sesuai dengan tingkat resikonya.
Audit Keamanan WordPress Menggunakan WPScan
Senin, 31 Mei 2021
Audit Keamanan WordPress Menggunakan WPScan. Sampai sejauh ini saya rasa WPScan masih merupakan tool terbaik untuk melakukan audit keamanan pada website yang menggunakan CMS WordPress. Tool ini bisa dipakai untuk langkah awal dalam menangani masalah keamanan di WordPress karena modul scanner di tool ini sudah cukup lengkap. Bahkan pasif scan nya bisa langsung mendeteksi plugin mana yang sudah kadaluarsa dan harus diupdate (jika ada).
Find Real IP Address Behind Cloudflare using Fetch Image Feature
Jumat, 05 Maret 2021
Find Real IP Address Behind Cloudflare using Fetch Image Feature. Hallo kali ini saya akan memberikan sedikit tips untuk mencari real ip yang dihide oleh Cloudflare. Well seperti yang kita tahu bawa Cloudflare akan menyembunyikan real ip address dan menggantinya dengan ip address milik Cloudflare. Hal pertama yang harus ada adalah target memiliki fitur fetch image dan yang kedua harus memiliki web service.
Static Analysis Aplikasi Android Menggunakan MobSF
Rabu, 24 Februari 2021
Static Analysis Aplikasi Android Menggunakan MobSF. Dalam pentesting, static analysis adalah sebuah aktifitas dimana kita menganalisa kode dari aplikasi tanpa mengeksekusi kode tersebut. Static analysis biasanya digunakan untuk menemukan sebuah kesalahan atau bug dari aplikasi. Nah, untuk melakukan static analysis pada aplikasi Android salahsatu tool yang cukup populer digunakan adalah MobSF.
Menggunakan DoH di Android, iOS, dan Desktop
Kamis, 28 Januari 2021
Menggunakan DoH di Android, iOS, dan Desktop. Agar trafik kita tidak diintercept oleh provider, kita bisa menggunakan VPN atau software anonimity lainnya. Namun, ada yang lebih simple, yakni menggunakan DNS over HTTPS. Jadi yang dienkripsi hanya DNS nya saja.
Konfigurasi Teler Real-time HTTP Intrusion Detection
Kamis, 31 Desember 2020
Install dan Konfigurasi teler Real-time HTTP Intrusion Detection. Oke kali ini saya akan sharing sedikit mengenai cara install dan konfigurasi teler untuk mendeteksi threat dengan cara menganalisa log HTTP pada server.
Scan Live Hosts di Linux Menggunakan Nmap
Minggu, 15 November 2020
Scan Live Hosts di Linux menggunakan Nmap. Di tutorial ini kita akan membahas bagaimana cara memindai block network dan memfilter host yang hidup saja. Kita bisa menggunkan nmap untuk kebutuhan ini.
Menguji Keamanan Web dan Server menggunakan Sn1per
Selasa, 11 Agustus 2020
Menguji Keamanan Web dan Server menggunakan Sn1per. Ada beberapa tool atau framework yang akan sangat membantu dalam proses pentest. Salahsatunya adalah Sn1per, framework yang dilengkapi dengan modul scanner aplikasi web.
Web Fuzzing Menggunakan Ffuf
Senin, 10 Agustus 2020
Login SSH menggunakan Private Key yang Sudah Ditentukan
Sabtu, 11 Juli 2020
Login SSH menggunakan Private Key yang Sudah Ditentukan. Kita tentu tau bahwa salahsatu basic hardening dalam mengamankan SSH adalah mendisable login melalui password dan login menggunakan private key. Nah, jika kita memiliki beberapa device dan sering berpindah-pindah sistem, tentu akan sangat ribet jika kita harus melakukan pairing key dari setiap private ssh key di setiap device.
Mengintegrasikan Fail2ban dengan Firewall UFW
Jumat, 10 Juli 2020
Mengintegrasikan Fail2ban dengan Firewall UFW. Secara default ban action yang digunakan dalam fail2ban adalah menggunakan rule iptables. Itulah kenapa yang digunakan adalah parameter iptables-multiport ataupun iptables-allports. Yang jadi permasalahan adalah ketika kita juga mengaktifkan UFW atau Uncomplicated Firewall, biasanya rule blocking yang ditulis atau diterapkan oleh fail2ban menjadi terabaikan. Jadi meski ada rule IP sudah dibanned di iptables, IP tersebut masih bisa mengakses ke server kita.
Menghapus Rule Firewall UFW di Ubuntu dan Debian
Menghapus Rule Firewall di UFW. Berbeda dengan CentOS yang menggunakan firewalld sebagai default firewall, Ubuntu dan Debian menggunakan UFW atau Uncomplicated Firewall. Nah, command atau pengoperasiannya pun berbeda. Dan di tutorial ini kita akan membahas sedikit mengenai bagaimana cara menghapus rule di UFW yang paling umum dan sering digunakan.
Memberi Password pada USB Flashdisk di Debian dan Ubuntu
Jumat, 29 Mei 2020
Memberi Password pada USB Flashdisk di Debian dan Ubuntu. Di tutorial ini saya akan sharing sedikit bagaimana cara memberikan password pada USB Flashdisk di sistem operasi Debian dan turunannya termasuk Ubuntu, Linux Mint, maupun Kali Linux.
Membangun Server DNS-over-HTTPS Menggunakan VPS
Selasa, 07 April 2020
Membangun Server DNS-over-HTTPS menggunakan VPS. Di tutorial ini saya akan sharing sedikit mengenai bagaimana cara membangun server DoH. Yang kita butuhkan disini adalah satu VPS dengan spek yang sekiranya mampu menjalankan docker.
Install dan Konfigurasi DNSCrypt di Ubuntu dan Debian
Minggu, 05 April 2020
Install DNSCrypt Proxy di Debian, Kali Linux, Ubuntu dan Linux Mint. Sebenarnya ini sudah kesekian kalinya saya membahas mengenai instalasi DNScrypt di linux. Sebelumnya saya pernah membahas bagaimana cara install DNSCrypt di Ubuntu. Nah, ternyata masih ada yang bingung ketika instalasi di Debian dan Kali Linux. Jadi di tutorial ini saya akan membahasnya.
Audit Keamanan Website menggunakan Uniscan
Rabu, 18 Maret 2020
Audit Keamanan Website menggunakan Uniscan. Untuk mempermudah proses scanning atau audit keamanan kita bisa menggunakan tools yang sudah tersedia seperti w3af, subdomain scanner, dll. Nah, satu lagi tool yang bisa kalian gunakan untuk membantu proses information gathering adalah Uniscan.
Mengaktifkan Fitur DNS over HTTPS di Browser Opera
Selasa, 04 Februari 2020
Mengaktifkan Fitur DNS over HTTPS di Browser Opera. Kali ini saya akan sharing mengenai bagaimana mengaktifkan fitur DoH atau DNS over HTTPS di browser Opera. Opera sendiri menjadi browser favorit saya karena ringan namun memiliki fitur yang cukup lengkap seperti built-in VPN dan juga adblock.
Install dan Konfigurasi VPN WireGuard di Ubuntu
Minggu, 02 Februari 2020
Konfigurasi VPN WireGuard di Ubuntu. Oke kali ini saya akan membahas tentang Wireguard. Wireguard adalah protokol VPN "masa depan" yang diklaim lebih cepat dan lebih aman dari protokol VPN lain seperti IPsec ataupun OpenVPN. Konfigurasinya pun sebenarnya lebih mudah dibanding protokol VPN lain, bisa dibilang kita hanya perlu bertukar key saja.
Daftar Perintah Iptables yang Wajib Diketahui
Selasa, 21 Januari 2020
Daftar Perintah Iptables yang Wajib Diketahui. Oke ini hanyalah catatan pribadi saya jika di kemudian hari saya butuhkan. Sebenarnya ada banyak firewall yang bisa digunakan di linux seperti firewalld, csf, ataupun ufw. Namun, sebenarnya semua firewall diatas hanya menulis konfigurasinya ke iptables. Jadi, buat kalian yang ingin tetap stay old school dengan tetap menggunakan iptables, berikut beberapa perintah atau rule iptables yang biasa digunakan dan wajib diketahui oleh seorang sysadmin.