S1 Informatika - Universitas Muhammadiyah Surabaya

Web Security Lab

Case 1 — Login Tanpa Keamanan

MUDAH

Form login tanpa enkripsi, tanpa CSRF, tanpa rate limiting. Kredensial divalidasi di sisi klien.

Plain Text Client-Side Auth No CSRF
Buka Case 1 →

Case 2 — Reflected XSS

MENENGAH

Pencarian yang menampilkan input pengguna langsung ke halaman tanpa sanitasi via innerHTML.

Reflected XSS innerHTML No Sanitization
Buka Case 2 →

Case 3 — IDOR (Insecure Direct Object Reference)

MENENGAH

Halaman profil mengambil data berdasarkan parameter ID. Ganti ID untuk mengakses data pengguna lain.

IDOR No Auth Check Parameter Tampering
Buka Case 3 →

Case 4 — SQL Injection (Simulasi)

SULIT

Form login yang menyusun query SQL dari input pengguna tanpa escaping. Bypass autentikasi dengan injeksi SQL.

SQL Injection Auth Bypass String Concatenation
Buka Case 4 →

Case 5 — Open Redirect

MUDAH

Halaman redirect yang menggunakan parameter URL tanpa validasi. Bisa diarahkan ke domain eksternal untuk phishing.

Open Redirect No URL Validation Phishing Vector
Buka Case 5 →

Case 6 — Command Injection (Simulasi)

SULIT

Form diagnostic yang menjalankan perintah sistem dari input pengguna tanpa filtering. Eksekusi perintah arbitrer.

Command Injection No Input Filtering RCE Vector
Buka Case 6 →

Cara Pakai dengan Burp Suite

  1. Buka Burp Suite, aktifkan Intercept di tab Proxy.
  2. Konfigurasi browser melalui proxy 127.0.0.1:8080.
  3. Buka salah satu case — request akan tertahan di Burp.
  4. Analisis dan modifikasi parameter sebelum meneruskan.