Web adalah attack surface terbesar di dunia cybersecurity. Sebelum bisa nge-exploit web app, kamu harus paham dulu gimana web bekerja. Ini roadmap teknologi web yang wajib dikuasai.
1. HTTP vs HTTPS
HTTP = plain text, bisa di-sniff. HTTPS = encrypted pakai TLS/SSL. Di cybersecurity, intercepting HTTPS pakai Burp Suite atau ZAP sangat penting untuk vulnerability testing.
2. HTML, CSS, JavaScript
HTML = struktur, CSS = style, JS = interaksi. XSS (Cross-Site Scripting) terjadi karena input tidak disanitasi dan dieksekusi di browser victim. Pemahaman DOM manipulation penting untuk bypass filter.
3. Server-Side Language (PHP, Node.js, Python)
Server-side processing menangani database, authentication, dan business logic. SQL Injection terjadi di layer ini karena query tidak diparameterize. RCE (Remote Code Execution) juga sering target server-side.
4. Database (MySQL, PostgreSQL, MongoDB)
Database = tempat penyimpanan data. SQL Injection target relational DB, sedangkan NoSQL Injection target MongoDB. Privilege escalation di database bisa lead ke full system compromise.
5. Cookies, Session, Authentication
Cookies menyimpan session token. Session hijacking terjadi saat attacker mencuri session ID. Authentication bypass = teknik bypass login tanpa credential. JWT manipulation juga sering terjadi.
6. REST API vs GraphQL
REST API pakai HTTP verbs (GET, POST, PUT, DELETE). GraphQL = query language yang flexible. Keduanya punya vulnerability: IDOR (Insecure Direct Object Reference), mass assignment, dan injection.
7. Web Server (Apache, Nginx, IIS)
Web server menghandle request HTTP dan serve static content. Misconfiguration (directory listing, default pages, outdated version) bisa lead ke information disclosure dan exploitation.
8. SSL/TLS & Certificate
TLS encrypt komunikasi antara client dan server. Weak cipher suites, expired certificates, atau self-signed certs bisa exploited. Heartbleed dan POODLE adalah contoh vulnerability di TLS implementation.
9. Web Framework & Known Vulnerabilities
Framework (Django, Laravel, Spring Boot) punya security features built-in, tapi juga punya CVE (Common Vulnerabilities and Exposures). Patch management penting untuk mengurangi attack surface.
10. Web Application Firewall (WAF)
WAF = firewall khusus web app. Bisa detect dan block SQL Injection, XSS, dan DDoS. Tapi WAF bisa bypassed dengan encoding, case variation, dan payload fragmentation.
📚 Sumber Referensi
Materi ini berdasarkan TryHackMe Web Fundamentals, OWASP Web Security Testing Guide, dan pengalaman praktisi penetration testing di lapangan (2026).