Dec 7, 2012

~Damn Vulnerable web app (DVWA)~

Assalamualaikum, semua..

ok, sebelum ni saya ada tunjuk sedikit basic JavaScript aka jS. Mesti ada sebab musababnye kenapa saya tunjuk sedikit mengenai jS kan, kan, kan?? Nak tahu kenapa? sila baca semula tajuk post di atas.. :)

DVWA ni merupakan tempat latihan kepada sesape yang nak mencuba bidang pentest. Antara modul latihan yang termaktub didalam DVWA ialah:

a. Brute force attack
b. Command Execution
c. CSRF
d. SQLi
e. Upload
f. XSS (stored and reflected)

Sebelum kita nak mencuba, perkara di bawah mesti diselesaikan terlebih dahulu:
1. Install xampp server (sebab kita cuma buat kat localhost sahaja. kalau tak bahaye.. :)
click :  http://xampp.en.softonic.com/

2. Download dan install DVWA (of course yang ni mesti lah kan!)
click : http://sourceforge.net/projects/dvwa/

3. Untuk modul yang ke-4 (SQLi), boleh teruskan buat latihan berdasarkan tunjuk ajar sifu di bawah:
click: http://www.hackyeah.com/2010/05/hack-yeah-sql-injection-walkthrough-dvwa/

4. Modul ke 5 (upload file), baca link di bawah :
click : http://soykrucil.blogspot.com/2011/06/dvwa-upload-with-high-level.html

5. Boleh cuba guna JavaScript untuk XSS sama ada untuk stored and reflected.
i. XSS untuk reflected dan stored
contoh untuk low: boleh cuba buat:

<script>alert("hai, welcome")</script>

untuk medium pulak: boleh cuba:

<ScriPt>alert("hai, welcome again.")</sCriPt>

ii. apa beza xss stored dan reflected ek?
ans: kalau xss stored (install kat database, so setiap kali kita buka page tu pop up "hai, welcome" akan keluar). manakala xss reflected akan keluar time tu sahaja. bila buka lagi lain kali, dah tak pop up lagi..

~selamat mencuba :) ~


0 komentar tetamu neza: