Dalam dunia keamanan siber, kemampuan untuk memahami, menemukan, dan mengeksploitasi vulnerability membutuhkan praktik langsung di lingkungan yang aman dan terkendali. Repository awesome-vulnerable-apps di GitHub yang dikelola oleh vavkamil merupakan salah satu koleksi paling komprehensif yang tersedia secara publik untuk tujuan ini. Koleksi ini mengumpulkan ratusan aplikasi vulnerable dari berbagai kategori yang dirancang khusus untuk pembelajaran keamanan siber, pengujian tools, dan pengembangan kemampuan red team maupun blue team. Setiap aplikasi dalam koleksi ini mengandung vulnerability yang disengaja dan terdokumentasi, memungkinkan peneliti dan praktisi keamanan untuk berlatih menemukan dan mengeksploitasi kerentanan dalam kondisi yang legal dan etis.
Koleksi ini disusun dalam struktur kategori yang memudahkan pengguna untuk menemukan aplikasi yang sesuai dengan kebutuhan pembelajaran mereka. Kategori utama mencakup aplikasi yang bisa diakses secara online, aplikasi berbayar yang menawarkan pengalaman lebih terstruktur, vulnerable VMs yang bisa di-deploy secara lokal, target untuk pengujian cloud security, aplikasi SSO untuk mempelajari autentikasi modern, target mobile security untuk pengujian aplikasi mobile, dan kategori OWASP Top 10 yang memetakan setiap vulnerability ke dalam klasifikasi standar industri. Kategori Teknologi juga tersedia untuk aplikasi yang menggunakan framework spesifik seperti WordPress, Node.js, dan firmware embedded. Struktur kategorisasi ini menjadikan koleksi ini bukan sekadar daftar link, melainkan sebuah learning path yang terstruktur.
Kategori OWASP Top 10: Target Berdasarkan Jenis Vulnerability
Salah satu fitur paling berharga dari koleksi ini adalah kategorisasi berdasarkan OWASP Top 10, standar internasional untuk klasifikasi web application security risk. Untuk SQL Injection, koleksi ini menyediakan aplikasi dengan berbagai level kompleksitas, mulai dari basic SELECT query injection hingga blind SQL injection dan time-based extraction yang memerlukan teknik lebih canggih. Setiap aplikasi menyertakan dokumentasi tentang jenis SQL injection yang diimplementasikan, memungkinkan pembelajar untuk memahami tidak hanya cara mengeksploitasi tetapi juga mengapa vulnerability ini terjadi dan bagaimana cara mencegahnya.
Untuk Cross-Site Scripting (XSS), koleksi ini mencakup variasi reflected XSS, stored XSS, dan DOM-based XSS pada berbagai konteks input seperti form fields, URL parameters, dan HTTP headers. Aplikasi XSS dalam koleksi ini juga menampilkan berbagai filter bypass technique, mulai dari filter yang sederhana berbasis blacklist hingga filter yang lebih canggih yang memerlukan encoding tricks dan parser differential exploitation. Variasi ini sangat penting karena di dunia nyata, filter XSS yang dihadapi peneliti maupun penyerang sangat beragam dan membutuhkan pemahaman mendalam tentang bagaimana browser memproses dan merender konten.
Kategori SSRF (Server-Side Request Forgery) dalam koleksi ini menampilkan aplikasi yang memungkinkan server untuk melakukan request ke internal resources yang seharusnya tidak dapat diakses dari luar. Ini termasuk SSRF untuk mengakses metadata services cloud seperti AWS EC2 metadata endpoint, SSRF untuk port scanning internal network, dan SSRF untuk membaca file lokal melalui file:// protocol handler. Untuk CORS Misconfiguration, aplikasi-aplikasi dalam koleksi ini memperagakan berbagai misconfiguration seperti wildcard origin reflection, null origin bypass, dan trusted subdomain exploitation yang masing-masing menunjukkan bagaimana kelemahan dalam konfigurasi CORS dapat mengarah pada kompromi data cross-origin.
XXE (XML External Entity) vulnerability ditampilkan dalam beberapa variasi termasuk basic XXE untuk file disclosure, blind XXE melalui out-of-band data exfiltration, dan XXE via file upload yang menerima input XML. Request Smuggling, yang merupakan salah satu vulnerability paling kompleks dalam OWASP Top 10, juga tersedia dalam koleksi ini dengan variasi CL.TE, TE.CL, dan TE.TE yang merepresentasikan berbagai jenis parser disagreement antara front-end reverse proxy dan back-end server. Ketersediaan aplikasi untuk setiap jenis vulnerability dalam OWASP Top 10 menjadikan koleksi ini sebagai referensi praktis yang sangat berharga untuk pembelajar yang ingin memahami seluruh spektrum web application security.
Kategori Teknologi: WordPress, Node.js, dan Firmware
Selain OWASP Top 10, koleksi ini juga menyediakan aplikasi vulnerable yang dikategorikan berdasarkan teknologi spesifik yang digunakan. Untuk WordPress, terdapat beberapa instalasi vulnerable yang memperagakan berbagai jenis vulnerability umum WordPress termasuk privilege escalation melalui misconfigured roles, SQL injection pada plugin legacy, file inclusion vulnerability, dan XML-RPC abuse untuk brute force. Aplikasi WordPress vulnerable ini sangat relevan bagi tim keamanan di Indonesia karena WordPress masih menjadi CMS paling banyak digunakan, dan memahami vulnerability WordPress secara hands-on merupakan kemampuan yang sangat dibutuhkan untuk melakukan assessment keamanan pada website organisasi.
Kategori Node.js menampilkan aplikasi vulnerable yang memanfaatkan karakteristik unik dari ekosistem JavaScript dan Node.js, termasuk prototype pollution, deserialization vulnerability pada JSON payloads, template injection pada Jinja2 atau Pug template engines, dan dependency confusion attacks yang mengeksploitasi mekanisme resolusi package di npm. Sementara itu, kategori firmware menyediakan target untuk pengujian keamanan embedded systems, termasuk vulnerability pada web interfaces perangkat IoT, hardcoded credentials, dan firmware extraction vulnerability yang memungkinkan analisis binary firmware. Diversifikasi teknologi ini memastikan bahwa koleksi ini relevan bagi berbagai jenis praktisi keamanan, tidak hanya mereka yang fokus pada web application security konvensional.
Manfaat untuk Berbagai Disiplin Keamanan
Koleksi ini memiliki manfaat yang berbeda-beda tergantung pada disiplin keamanan penggunanya. Untuk red team training, aplikasi vulnerable dalam koleksi ini menyediakan lingkungan latihan yang realistis untuk mengasah kemampuan exploitation, privilege escalation, dan lateral movement tanpa risiko hukum atau etika. Tim red team dapat menggunakan koleksi ini sebagai lab environment untuk menguji dan menyempurnakan teknik serangan mereka sebelum menerapkannya dalam engagement resmi. Setiap aplikasi memiliki level kompleksitas yang berbeda, memungkinkan progress pembelajaran yang terstruktur dari pemula hingga advanced practitioner.
Untuk blue team dan detection engineering, koleksi ini menawarkan peluang untuk mengembangkan dan menguji detection rules tanpa perlu mengorbankan keamanan lingkungan produksi. Analyst dapat menginstal aplikasi vulnerable ini di lab terisolasi, mengeksploitasi vulnerability di dalamnya, dan kemudian mengembangkan detection rules yang efektif untuk mencegah serangan serupa di lingkungan produksi. Proses ini memungkinkan blue team untuk membangun pemahaman mendalam tentang teknik technique serangan dari perspektif attacker, yang merupakan prasyarat penting untuk mengembangkan pertahanan yang efektif. Dengan memahami bagaimana attacker berpikir dan bekerja, blue team dapat merancang detection logic yang lebih proaktif dan tepat sasaran.
Bagi peserta CTF (Capture The Flag), koleksi ini merupakan sumber latihan yang sangat berharga karena banyak aplikasi vulnerable di dalamnya dirancang dengan mekanisme challenge yang menyerupai soal CTF. Berlatih di aplikasi vulnerable nyata memberikan pengalaman yang lebih autentik dibandingkan berlatih di platform CTF komersial karena kompleksitas dan realisme yang ditawarkan. Untuk pengujian scanner dan tool keamanan, koleksi ini menyediakan benchmark yang bisa digunakan untuk mengevaluasi efektivitas scanner vulnerability seperti OWASP ZAP, Burp Suite, Nessus, dan scanner lainnya. Dengan menguji scanner terhadap aplikasi vulnerable yang sudah diketahui vulnerability-nya, pengguna dapat mengidentifikasi kekuatan dan kelemahan tool mereka, termasuk false positive rate dan false negative rate.
Analisa Retasan
Koleksi awesome-vulnerable-apps merupakan bukti nyata bahwa komunitas keamanan siber memahami betapa pentingnya hands-on lab environment untuk pengembangan kemampuan pertahanan. Dalam industri keamanan, ada kesenjangan besar antara pengetahuan teoretis tentang vulnerability dan kemampuan praktis untuk menemukan, mengeksploitasi, dan mendeteksi vulnerability di lingkungan nyata. Koleksi ini menjembatani kesenjangan tersebut dengan menyediakan ratusan target yang beragam, mulai dari web applications sederhana hingga firmware embedded systems. Setiap organisasi keamanan yang serius dalam pengembangan tim mereka seharusnya mengintegrasikan koleksi ini ke dalam program training dan Continuous Professional Development mereka.
Bagi ekosistem keamanan siber di Indonesia, pentingnya lab environment semakin meningkat seiring dengan pertumbuhan adopsi teknologi digital yang pesat. Banyak organisasi Indonesia kini mengoperasikan web applications, mobile apps, cloud infrastructure, dan IoT devices yang semuanya memerlukan pengujian keamanan berkala. Namun, kemampuan untuk melakukan pengujian ini membutuhkan tim yang terlatih dan berpengalaman. Dengan memanfaatkan koleksi ini sebagai bagian dari program training, organisasi Indonesia dapat membangun tim keamanan yang memiliki kemampuan hands-on yang solid tanpa harus mengeluarkan biaya besar untuk pelatihan komersial atau risiko menguji langsung di lingkungan produksi.
Rekomendasi kami adalah memulai dengan membangun lab environment terisolasi menggunakan VirtualBox atau Proxmox, menginstal beberapa aplikasi vulnerable dari kategori yang paling relevan dengan teknologi yang digunakan oleh organisasi, dan mengembangkan structured learning program yang mencakup kedua perspektif: exploitation dari sisi red team dan detection dari sisi blue team. Pendekatan ini tidak hanya meningkatkan kemampuan teknis tim, tetapi juga membangun budaya keamanan yang proaktif di mana tim memahami ancaman dari sudut pandang attacker dan mampu merancang pertahanan yang efektif berdasarkan pemahaman tersebut.
Sumber: GitHub – awesome-vulnerable-apps | Maintainer: vavkamil | Kategori: Online, VMs, Cloud, OWASP, Mobile, Firmware

