Nama: Carina Yoehadi

EXECUTIVE SUMMARY

Tes ini dilakukan untuk menentukan tingkat keamanan web HVWA dengan cara mengidentifikasi potensi risiko dan kerentanannya. Selama proses pengujian, ditemukan bahwa web tersebut memiliki beberapa kerentanan yaitu SQL injection, parameter tampering, serta unrestricted file upload yang dapat dimanfaatkan oleh penyerang. Penyerang dapat melakukan bruteforce karena password yang lemah, melakukan bypass login, memanipulasi data, serta melihat kredensial pengguna lain, karena sebagian besar data tidak dienkripsi/dihash dengan baik.

INFORMATION GATHERING

#Melakukan command ip a untuk menampilkan IP address, konfigurasi network interface, dan informasi jaringan lainnya pada local machine.

image.png

#Melakukan command nmap -O -sV pada ip 192.168.0.* (bintang artinya untuk mencari dari 0-255)

-O untuk mengetahui operating system, -sV untuk mengetahui service/version detection untuk mengetahui nama dan versi dari service (seperti SSH, HTTP) yg berjalan pada port terbuka, sehingga info ini bisa digunakan untuk exploit jika terdapat CVE.

image.png

image.png

Diketahui bahwa ip 192.168.0.103 ialah ip target dan diketahui port yang terbuka ialah port 20 dengan service SSH, dan service versionnya OpenSSH 9.6p1 dengan OS ubuntu linux. Serta port 80 dengan service http atau web, dgn version Apache httpd 2.4.58

#Melakukan command netdiscover untuk menemukan perangkat lain yang terhubung di jaringan lokal (LAN) dengan cara melakukan ARP scan. Cara ini bisa lebih cepat dibandingkan nmap

image.png

Hasilnya juga menunjukkan bahwa ip 192.168.0.103 ialah ip machine target

#Melakukan command gobuster dir -u http://192.168.0.103:80/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php -t 10

image.png