๐ Panduan Lengkap DVWA & WebGoat: Lab Pentesting Terbaik
๐ Fakta Penting: 87% profesional keamanan siber merekomendasikan DVWA dan WebGoat sebagai tools pembelajaran terbaik untuk pemula (Survey Cybersecurity Insitute, 2023).
๐ Daftar Isi
๐ Apa Itu DVWA & WebGoat?
DVWA (Damn Vulnerable Web App)
Aplikasi web yang sengaja dibuat rentan untuk tujuan pembelajaran:
- PHP/MySQL based
- Menyediakan berbagai level keamanan
- Fokus pada vulnerability web tradisional
WebGoat
Framework pembelajaran interaktif dari OWASP:
- Java-based
- Pelajaran terstruktur dengan solusi
- Mencakup vulnerability modern
๐ก Perbedaan Utama: DVWA lebih cocok untuk simulasi real-world hacking, sementara WebGoat lebih terstruktur seperti kursus.
๐ ️ Instalasi DVWA
Langkah 1: Persyaratan Sistem
- Web server (XAMPP/WAMP/LAMP)
- PHP 5.4+
- MySQL 5.0+
Langkah 2: Proses Instalasi
- Download DVWA dari GitHub resmi
- Ekstrak ke folder htdocs (XAMPP) atau www (WAMP)
- Rename
config/config.inc.php.distkeconfig.inc.php - Buka
http://localhost/dvwa/setup.php - Klik "Create/Reset Database"
Langkah 3: Login
Gunakan kredensial default:
Username: admin Password: password
๐ ️ Instalasi WebGoat
Metode 1: Docker (Direkomendasikan)
docker pull webgoat/webgoat docker run -p 8080:8080 -t webgoat/webgoat
Metode 2: Manual
- Download dari GitHub WebGoat
- Jalankan dengan Java:
java -jar webgoat-server-*.jar
- Akses di
http://localhost:8080/WebGoat
Login Pertama Kali
Buat akun baru saat pertama kali mengakses
๐ง Fitur Utama DVWA
| Modul | Kerentanan | Level Kesulitan |
|---|---|---|
| Brute Force | Login tanpa proteksi | Pemula |
| Command Injection | Eksekusi perintah OS | Menengah |
| SQL Injection | Bypass authentication | Menengah |
| XSS | Cross-site scripting | Menengah |
| File Upload | Upload shell | Advanced |
๐ Tips: Atur level kesulitan di DVWA Security untuk menyesuaikan dengan skill Anda (Low/Medium/High/Impossible).
๐ง Fitur Utama WebGoat
| Kategori | Pelajaran | Konsep |
|---|---|---|
| A1: Injection | SQL, LDAP, XXE | OWASP Top 10 |
| A2: Auth | JWT, Password Reset | Autentikasi |
| A7: XSS | DOM, Stored, Reflected | Client-side |
| API Security | GraphQL, REST | Modern Web |
๐ Fitur Unik: WebGoat menyediakan solusi dan penjelasan detail setelah menyelesaikan setiap pelajaran.
⚖️ Perbandingan DVWA vs WebGoat
| Aspek | DVWA | WebGoat |
|---|---|---|
| Tujuan | Simulasi real-world | Pembelajaran terstruktur |
| Target User | Pentester | Developer & Security Engineer |
| Kerentanan | Tradisional | Modern + Tradisional |
| Struktur | Bebas eksplorasi | Lesson-based |
| Bahasa | PHP | Java |
๐ก Rekomendasi: Gunakan keduanya! DVWA untuk praktik langsung, WebGoat untuk memahami konsep mendalam.
๐งช Panduan Praktikum
1. SQL Injection di DVWA
- Set security level ke "Low"
- Buka modul SQL Injection
- Input:
' OR '1'='1 - Analisis hasil query
2. Cross-Site Scripting di WebGoat
- Buka pelajaran "Cross-Site Scripting"
- Ikuti instruksi untuk inject script
- Lihat efek di browser
3. Challenge Lanjutan
- Coba naikkan level security di DVWA
- Selesaikan semua pelajaran WebGoat
- Gabungkan teknik dari kedua platform
๐ Siap Memulai Perjalanan Pentesting?
Gabungkan pembelajaran dari DVWA dan WebGoat untuk pengalaman lengkap!
๐ Referensi & Sumber Belajar
- DVWA GitHub
- WebGoat OWASP
- PentesterLab (untuk latihan tambahan)