Halo semua... workshop ini sangat kami rekomendasikan bagi kalian junior programmer terutama web developer, namun kalian yang middle atau senior programmer juga boleh ikut kok..
Nantinya kita akan praktek menggunakan sistem yang bernama SHL Vulnerable Web Application (SVWA) dibuat secara native menggunakan bahasa pemrograman PHP.
Jelas lah min aplikasinya aja dibuat secara native dan pake PHP, pasti banyak celah!!
Eits.. jangan salah ya. Berarti kalo dibuatnya pakai bahasa pemrograman lain dan pake framework pasti aman gituh??
Kalo jawaban kalian "Iyaa.. aman" sepertinya mainmu kurang jauh...
kami sangat rekomendasikan kalian untuk ikut workshop ini deh supaya wawasan kalian tentang keamanan jadi terbuka.. dan kalian tau jawabanya yang tepat dari pertanyaan di atas.
Jadi nanti kita akan praktek bersama cara mencari celah dan cara mengeksploitasinya, kita akan praktek celah yang umum yang terjadi di luar sana di dunia industri, diantaranya :
Malicious File Upload
Celah ini terjadi karena programmer tidak memfilter file yang akan diupload sehingga dalam beberapa kasus server kalian dapat diretas dengan mudah hanya dengan mengupload sebuah file
IDOR (Indirect Object Reference)
Ini adalah jenis celah yang sangat umum terjadi, bisa dikatakan jenis celah hak akses karena seorang attacker bisa menghubah record database orang lain yang tidak seharusnya..
misalkan di aplikasi kalian ada fitur update profile, seharusnya aplikasi kalian hanya bisa menghupdate profile milik orang yang itu sendiri (yang sedang login).. tapi yang terjadi fitur itu bisa mengubah profile orang lain...
XSS
Nah.. yang ini sering banget. celah ini terjadi karena apa yang diinputkan oleh user entah via adress bar browser atau form input ditampilkan kembali ke user.. Dalam beberapa kasus celah ini bisa mengambil alih akses orang lain. Umumnya ada di form pencarian.
Sql Injection
Ini celah yang berbahaya karena tidak adanya filter sebelum query SQL dieksekusi, dampak utama celah ini adalah pada database, misalnya melihat isi seluruh database atau.. bahkan yang paling parah bisa mengambil alih server kalian.
Lalu selain diajari cara ngehack, apakah kita akan diajarkan cara memperbaiki celahnya? Ya tentu dong pasti...
Kita akan mengawali workshop ini dengan teori Software Development Security, dilanjutkan dengan praktek cara hacking celah di atas & cara memperbaikinya.
Jadi siapkan mental kalian ya guys... kami tunggu di sana ya..
Kalian bisa check repositorynya di https://github.com/darkcyber/SVWA-SHL-Vulnerable-Web-Apps-/blob/master/README.md
