Mohon tunggu...
Ngurah Ap
Ngurah Ap Mohon Tunggu... Mahasiswa - Mahasiswa

Mahasiswa UBSI Jurusan Sistem Informasi yang memiliki minat di bidang software development.

Selanjutnya

Tutup

Ilmu Alam & Tekno Pilihan

Serangan Brute Force pada Aplikasi Web Juice Shop Menggunakan Brute Force

26 Desember 2024   22:56 Diperbarui: 26 Desember 2024   22:56 44
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
 Burp Suite Proxy dengan permintaan di intercept

Keamanan informasi adalah aspek krusial dalam pengembangan sistem informasi, terutama di tengah semakin kompleksnya ancaman yang muncul seiring perkembangan teknologi. Salah satu teknik serangan yang sering digunakan adalah brute force, yaitu metode untuk mencoba berbagai kombinasi kode secara berulang pada form login atau autentikasi guna mendapatkan akses tidak sah. Untuk mengidentifikasi dan mengatasi celah keamanan seperti ini, salah satu alat yang efektif digunakan adalah Burp Suite. Aplikasi ini memungkinkan pengujian keamanan dengan menganalisis dan mencegat permintaan HTTP secara mendalam. Dalam penelitian ini, eksperimen dilakukan menggunakan metode brute force password dengan Burp Suite untuk mengevaluasi efektivitas dan dampaknya pada keamanan sistem informasi. Penelitian ini bertujuan menjawab pertanyaan tentang sejauh mana metode brute force dapat mengeksploitasi sistem dan bagaimana variasi kecepatan permintaan memengaruhi keberhasilan serangan, sekaligus memberikan rekomendasi untuk pengembangan sistem yang lebih aman.

Apa itu Brute Force?

Brute force adalah salah satu teknik cryptanalysis yang bertujuan untuk menebak kata sandi atau kunci dengan mencoba berbagai kombinasi secara berulang-ulang hingga menemukan yang benar. Menurut Sinaga dalam bukunya Python Cryptography, metode ini dilakukan dengan menghasilkan kunci baru secara otomatis jika percobaan sebelumnya gagal, hingga akhirnya berhasil mendekripsi pesan asli (Mulyanto et al., 2022). Dalam konteks password, brute force sering digunakan untuk menguji keamanan suatu sistem dengan mengevaluasi seberapa kuat password yang digunakan.

Namun, teknik ini memiliki implikasi hukum yang serius di Indonesia. Berdasarkan Pasal 30 UU ITE Ayat (1), tindakan mengakses sistem elektronik milik orang lain tanpa izin, dengan cara apa pun, termasuk menggunakan teknik brute force, merupakan pelanggaran hukum. Lebih lanjut, Pasal 30 Ayat (3) menjelaskan bahwa melanggar atau menerobos sistem pengamanan juga termasuk perbuatan yang melanggar hukum. Oleh karena itu, meskipun brute force dapat digunakan untuk pengujian keamanan, penggunaannya harus mendapatkan izin dari pemilik sistem agar tidak melanggar undang-undang.

Apa itu Burp Suite?

Burp Suite adalah aplikasi pengujian keamanan yang dikembangkan oleh PortSwigger dan menjadi salah satu alat utama bagi auditor keamanan, peneliti, serta penguji dalam mengevaluasi keamanan berbagai sistem. Salah satu keunggulan Burp Suite adalah kemampuannya untuk mencegat dan menampilkan permintaan HTTP secara terstruktur, sehingga memudahkan analisis komunikasi antara klien dan server. Selain itu, Burp Suite dilengkapi dengan fitur-fitur seperti pengujian injeksi, eksplorasi kerentanan, dan pemetaan aplikasi yang membantu mendeteksi serta mengevaluasi celah keamanan secara mendalam. Dengan antarmuka yang intuitif dan fleksibilitas dalam pengaturan, Burp Suite memungkinkan profesional keamanan untuk bekerja secara sistematis dalam mengidentifikasi ancaman dan meningkatkan keamanan aplikasi.

 Studi Kasus: Brute Force di OWASP Juice Shop

OWASP Juice Shop

OWASP Juice Shop adalah sebuah aplikasi web yang sengaja dirancang untuk menguji para pengembang dan pentester dalam mengidentifikasi dan memahami berbagai kerentanannya yang sering terjadi pada aplikasi web. Aplikasi ini menggabungkan elemen-elemen keamanan dunia nyata dengan pengalaman berbelanja online yang berbasis model toko daring (Vriano, 2023). Aplikasi ini berfungsi sebagai sarana latihan bagi para profesional di bidang keamanan siber, dengan menghadirkan berbagai jenis kerentanan yang umum ditemukan dalam pengembangan aplikasi web.

Persiapan Lingkungan

Eksperimen ini menggunakan Burp Suite Community Edition dan aplikasi Juice Shop sebagai alat untuk pengujian keamanan. Burp Suite dikonfigurasi untuk menangkap dan menganalisis permintaan HTTP/HTTPS dari browser. Juice Shop dipilih karena dirancang untuk tujuan edukasi dalam mengidentifikasi kerentanannya. Eksperimen ini juga memerlukan daftar kata sandi 1000 most common passwords untuk serangan brute force.

Tahapan Penyerangan

 1. Konfigurasi Burp Suite dan Identifikasi Endpoint

Jalankan aplikasi Burp Suite dan aktifkan fitur intercept pada tab Proxy. Setelah itu akses web Juice Shop, masukkan kredensial (misalnya, admin@gmail.com / password123). Permintaan POST login akan di intersep dan ditampilkan di tab Intercept. Di sini, pastikan endpoint login (misalnya /rest/user/login) terlihat jelas bersama parameter email dan password. Klik kanan pada permintaan ini dan pilih Send to Intruder untuk memulai pengaturan serangan. 

 Burp Suite Proxy dengan permintaan di intercept
 Burp Suite Proxy dengan permintaan di intercept

 2. Pengaturan Intruder

Setelah permintaan dikirim ke tab Intruder, buka tab Positions untuk mengatur parameter target. Mode serangan diatur ke Sniper, yang memungkinkan hanya satu parameter dimodifikasi dalam satu waktu. Hapus semua tanda payload () dengan memilih Clear, lalu tambahkan tanda pada nilai parameter password. Biarkan parameter email tetap diisi dengan nilai statis, misalnya admin@gmail.com. 

Burp Suite Proxy di Tab Intruder
Burp Suite Proxy di Tab Intruder

HALAMAN :
  1. 1
  2. 2
Mohon tunggu...

Lihat Konten Ilmu Alam & Tekno Selengkapnya
Lihat Ilmu Alam & Tekno Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun